RGPD en pharmacie : êtes-vous vraiment en conformité ?

Vous avez probablement entendu parler du RGPD. Peut-être même suivi une formation en 2018. Mais entre ce qu'on sait en théorie et ce qu'on fait au quotidien, il y a souvent un fossé. Certaines habitudes courantes en officine posent problème sans qu'on s'en rende compte. Voici les 4 points qui reviennent le plus souvent.

1. Le registre des traitements

L'article 30 du RGPD impose un document listant tous vos traitements de données personnelles. En pratique ? Beaucoup ne l'ont jamais créé. D'autres l'ont rempli une fois en 2018 et ne l'ont plus ouvert depuis.

Pourtant, les traitements à documenter sont nombreux : ordonnances, carte de fidélité, vidéosurveillance, gestion du personnel, comptabilité, site web, réception de documents numériques. Chaque traitement doit préciser sa finalité, les catégories de données, les destinataires et la durée de conservation.

L'absence de registre est l'un des manquements les plus faciles à constater lors d'un contrôle CNIL. Et l'un des plus systématiquement sanctionnés. Bonne nouvelle : le guide CNIL-CNOP fournit un modèle adapté aux officines. Ça prend une heure à remplir, et ça peut vous éviter pas mal d'ennuis.

2. L'hébergement des données de santé

Tout outil qui manipule des données de santé doit les héberger chez un prestataire certifié HDS (Hébergeur de Données de Santé). Ce n'est pas une recommandation, c'est l'article L.1111-8 du Code de la santé publique.

Concrètement, ça concerne votre LGO, votre outil de télétransmission, votre messagerie pro si vous y échangez des données patients, et tout outil de réception de documents. La question à poser à chacun de vos prestataires : "Êtes-vous certifié HDS ?" Si la réponse est floue, c'est non.

Le nouveau référentiel HDS 2.0 entre en vigueur le 16 mai 2026 et renforce les exigences. Notre article sur l'hébergement HDS détaille ce que ça implique concrètement.

3. Les données qui traînent

Ouvrez votre boîte email. Vous y trouverez probablement des ordonnances datant de 2023 ou 2024 (on en parlait ici). Sur votre bureau, peut-être une clé USB avec des fichiers datant de 2019. Et dans votre LGO, des fiches patients inactifs depuis des années.

L'article 5.1.e du RGPD est clair : les données ne doivent pas être conservées au-delà de ce qui est nécessaire. Les ordonnances, c'est 3 ans après dispensation. Le dossier patient, 3 ans après la dernière intervention. Le registre des stupéfiants, 10 ans. Tout ce qui dépasse est un risque inutile.

Demandez à votre éditeur de LGO si une purge automatique est paramétrée. Si ce n'est pas le cas, planifiez un nettoyage annuel. Et pour les emails, c'est pareil : un risque qui se matérialise le jour d'un contrôle CNIL ou d'une fuite de données.

4. Pas de procédure en cas de fuite

"Ça n'arrive qu'aux autres." Jusqu'au jour où un préparateur envoie un email avec la pièce jointe d'un patient au mauvais destinataire. Ou qu'une clé USB est perdue dans les transports. Ces scénarios sont bien plus fréquents que les cyberattaques sophistiquées.

Les articles 33 et 34 du RGPD imposent une notification à la CNIL dans les 72 heures. En 2024, la CNIL a reçu 5 629 notifications de violations de données, en hausse de 20%.

Avez-vous une procédure écrite ? Votre équipe sait-elle qui prévenir et dans quel ordre ? Si la réponse est non, c'est un manquement documenté en cas de contrôle.

Le plus simple : un document d'une page, affiché dans le back-office, avec les étapes à suivre et les contacts. Ça se prépare en 30 minutes. Et le jour où ça arrive, vous ne serez pas en train d'improviser sous pression.

Et les 7 autres points ?

Ces 4 sujets ne sont que la partie émergée. Il y a aussi le chiffrement des documents, la sécurité des postes, l'information des patients, la désignation d'un référent RGPD, les contrats de sous-traitance, la procédure écrite en cas de fuite, la sensibilisation de l'équipe.

On a construit un outil gratuit qui couvre les 11 points essentiels en 3 minutes. Pas de jargon, pas d'audit payant. Juste un bilan clair avec des recommandations concrètes.