© Photo libre de droits
LE
B.A.BADU RGPD :
Afin d’être bien en phase avec les obligations
fixées par la directive RGPD, l'entreprise doit
systématiquement s’astreindre à :
»
Obtenir le consentement du client en cas de
collecte de données ;
»
Etre à même de documenter sa conformité en
tenant à jour, par exemple, un registre au sein
de l'entreprise ;
»
Désigner un DPO (Data Professionnel Officer)
qui ne pourra être le chef d'entreprise et ne
devra pas systématiquement être la personne
en charge de la qualité.
Q
uatre lettres sources d’inquiétudes pour les sociétés :
RGPD. Un acronyme pourtant rassurant puisque
l’entrée en vigueur de la directive européenne dite
RGPD (Règlement Général sur la Protection des Données), le 25
mai 2018, sur le territoire de l’Union Européenne est perçue par
nombre de personnes comme une source d’inquiétudes. « Il s’agit
pourtant d’un évènement, somme toute, mineur » estime Frantz
Lecarpentier
1
expert en système d’information ; avant d’ajouter :
« à condition d’avoir su anticiper ».
Une anticipation d’autant plus logique que ce texte prolonge
la directive européenne de 1995, dont l’ambition était de
généraliser au niveau européen la loi française de 1978, dite
« loi informatique et liberté ». Destiné à protéger les citoyens,
et en particulier ceux en ligne, ce texte de 99 articles vise à
sécuriser et à défendre les droits des citoyens européens et donc
l’ensemble des consommateurs du vieux continent.
Droit à l’oubli
Rien d’étonnant dès lors à ce qu’« il porte sur l'application
du principe de "privacy by design", sur l'établissement de
relations responsabilisées entre les entreprises responsables de
traitement et ses sous-traitants et sur l'instauration de nouvelles
régulations », ajoute encore Frantz Lecarpentier.
Avec l’entrée en vigueur de la directive RGPD, sont en effet
réaffirmés les droits pour les personnes concernées de maîtriser
leurs données en leur conférant des droits (droit d’accès, droit de
rectification, droit d’effacement, droit d’opposition…).
Consentement express
En outre les données recueillies pourront concerner des
informations utiles à la dispensation médicamenteuse, à la
livraison d’un produit ou encore à son paiement. Aucune donnée
supplémentaire ne pourra être demandée sur les sites sans le
consentement express du patient. Pas question donc de collecter
à l’insu du client/patient des informations sur l’âge, le sexe, le
numéro de Sécurité Sociale ou encore sur la Carte Vitale.
Et, bien évidemment, ces données ne pourront en aucun cas être
croisées avec celles contenues dans le dossier pharmaceutique
(DP) existant ou dans le futur dossier médical partagé (DMP)
dont la mise en place devrait être généralisée à la fin de l’année
2018, selon le directeur de l’Assurance maladie, Nicolas Revel.
Data Professionnel Officer
Il appartiendra enfin aux sociétés concernées de démontrer de
manière documentée leur mise en conformité avec les exigences
légales. A charge alors à chacune de ces structures d’instaurer
un Data Professionnel Officer (DPO), auquel toute demande de
retrait de données pourra être adressée. Créée par la directive,
cette fonction n’est toutefois pas encore clairement définie. « La
question qui se pose aujourd’hui est en effet de savoir si chaque
entreprise devra disposer d’un DPO, ou bien si ce rôle de DPO
pourrait être assumé par une tierce personne ».
1 Cofondateur du site
www.theragora.frInformations sensibles
Mis à part ce point de détail, les règles fixées par la directive
RGPD n’ont rien d’extraordinaire pour les pharmaciens
car, en France, le monde de la santé est de longue date
sensibilisé à cette problématique. La directive de 1995
reconnaissait en effet le statut d’informations sensibles aux
données de santé comme à celles portant sur les domaines
religieux et politiques dès lors qu’elles sont personnelles.
Et pour cause ! Les données personnelles de santé pourraient
faire l’objet de bien des convoitises, en particulier de la part de
sociétés d’assurance ou de banques désireuses de mesurer les
risques qu’elles pourraient être amenées à couvrir voire à garantir.
Pour autant, les données de santé peuvent se révéler très utiles
en particulier dans le domaine de la recherche. D’où l’intérêt
de pouvoir les « anonymiser ». Un procédé qui vise à collecter
des données personnelles et à faire disparaître l’identité des
personnes qu’elles concernent via un tiers de confiance. « Un
process dont la légalité a été reconnu par la directive européenne
de 1995 », précise Me Tangi Noël, Docteur en Droit, Avocat au
Barreau de Rennes.
Six objectifs
La directive RGPD ne va donc pas révolutionner le secteur de la
santé en France. D'autant que 80% des enjeux de sécurité dans
les TPE/PME relèvent tantôt de process, tantôt d’une politique
de communication interne ou encore du contrôle des pratiques.
En clair, pour les petites entreprises, il s’agit moins de solutions
techniques que de management.
Afin de faciliter leur quotidien, les entreprises doivent
s'employer à répondre aux exigences de la directive RGPD qui
vise six objectifs : renforcer la confiance ; améliorer l’efficacité
commerciale ; mieux gérer l’entreprise ; améliorer la sécurité des
données de l’entreprise ; rassurer les clients et donneurs d’ordre ;
créer de nouveaux services.
Pour plus d'informations :
http://www.theragora.fr/pdfs/RGPD(guide BPI-cnil.pdf)
http://www.theragora.fr/pdfs/RGPD(fiche-1 BPI-cnil-Que-faire-
quand-votre-entreprise-communique-vend-en-ligne.pdf)
|
page (11)
s a n t é
N°62 - Mai / Juin 2018