Les laboratoires et les pharmacies sont parmi les plus importants collecteurs de données de santé. Pourtant, tous n’ont pas conscience de l’importance de leurs obligations dans ce domaine (et des risques associés). Petit rappel de ces règles.
Conformité des laboratoires et pharmacies
Les laboratoires et pharmacies sont responsables du traitement des données à caractère personnel de leurs patients, et sont susceptibles de collecter un nombre important de données de santé de ces derniers.
Ils doivent ainsi s’assurer de collecter et réaliser des traitements de données conformes au RGPD et à la Loi Informatique et Libertés, car celle-ci comporte de nombreuses dispositions spécifiques aux données de santé.
Pour les aider, la CNIL met en ligne de nombreuses fiches pratiques et adopte des référentiels afin de les guider dans leurs démarches de mise en conformité.
Ainsi, la CNIL a récemment adopté un référentiel sur la gestion des officines de pharmacie et travaille sur l’élaboration de référentiels pour les laboratoires pharmaceutiques exploitant des médicaments.
Gestion des sous-traitants
Pour traiter des données à caractère personnel de leurs patients, les laboratoires ou les pharmacies peuvent faire appel à des logiciels, hébergés sur leurs propres serveurs ou sur les serveurs des éditeurs des logiciels, lorsque les logiciels sont fournis en tant que « Software as a Service ».
Dans ce cas, les éditeurs de ces logiciels sont des sous-traitants des laboratoires et pharmacies.
Lorsqu’ils font appel à des sous-traitants, les responsables du traitement doivent redoubler de vigilance compte tenu de la nature sensible des données qu’ils leur confient et mettre en place des clauses contractuelles conformes au RGPD.
Les sous-traitants ont l’obligation de garantir aux responsables du traitement un niveau de sécurité adapté aux risques engendrés par le traitement. Il est de la responsabilité des responsables du traitement de s’assurer que ces mesures de sécurité sont suffisantes et effectivement mises en œuvre par les sous-traitants auxquels ils font appel.
Les responsables du traitement doivent également s’assurer que leurs sous-traitants se conforment à leurs instructions quant aux traitements des données à caractère personnel.
A ce titre, la CNIL a sanctionné en 2022 la société Dedalus Biologie d’une amende de 1,5 millions d’euros notamment car :
– Dedalus Biologie ne s’était pas conformée aux instructions des laboratoires et avait traité les données au-delà des instructions reçues ;
– Dedalus Biologie n’avait pas mis en œuvre de mesures de sécurité techniques et organisationnelles satisfaisantes et adaptées aux risques du traitement, notamment lors des opérations de migration du logiciel vers un autre, ces manquements ayant conduit à la fuite de données personnelles et de santé d’environ 500.000 personnes.
Enfin, en cas d’hébergement externalisé des données de santé, les responsables du traitement doivent s’assurer que cet hébergeur dispose de la certification « Hébergement des Données de Santé ».
