Délibération nº 2006-161 du 8 juin 2006 portant adoption d'une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en oeuvre par les pharmaciens à des fins de gestion de la pharmacie (norme simplifiée nº 52).
La Commission nationale de l'informatique et des libertés,
Vu la convention nº 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, notamment son article 8 ;
Vu la loi nº 78-17 du 6 janvier 1978, modifiée par la loi nº 2004-801 du 6 août 2004, relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 11, 22, 23 et 24-I ;
Vu les articles 226-13 et 226-14 du code pénal relatifs au secret professionnel ;
Vu le code de la santé publique, et notamment ses articles L. 4211-1 et suivants, L. 1111-8 et R. 5112 et suivants ;
Vu les articles L. 161-29, R. 115-1 et suivants et R. 161-47 du code de la sécurité sociale ;
Vu le décret nº 93-221 du 16 février 1993 relatif aux règles professionnelles des infirmiers et infirmières ;
Vu le décret nº 95-284 du 14 mars 1995 portant code de déontologie pharmaceutique, codifié aux articles R. 4235-1 à R. 4235-77 du code de la santé publique ;
Vu le décret nº 95-1000 du 6 septembre 1995 portant code de déontologie médicale, codifié aux articles R. 4127-1 à R. 127-112 du code de la santé publique ;
Vu le décret nº 2005-1309 du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978 modifiée ;
Vu la délibération nº 97-008 du 4 février 1997 portant adoption d'une recommandation sur le traitement des données de santé à caractère personnel ;
Après avoir recueilli les observations du Conseil national de l'ordre des pharmaciens et de l'Union des syndicats de pharmaciens d'officine ;
En vertu de l'article 24 de la loi du 6 janvier 1978 modifiée, la Commission nationale de l'informatique et des libertés est habilitée à établir des normes destinées à simplifier l'obligation de déclaration des traitements les plus courants et dont la mise en oeuvre, dans des conditions régulières, n'est pas susceptible de porter atteinte à la vie privée ou aux libertés.
Les traitements informatisés de données à caractère personnel mis en oeuvre par les pharmaciens à des fins de gestion de la pharmacie et d'analyse statistique des ventes de médicaments, produits de santé et dispositifs médicaux sont de ceux qui peuvent, sous certaines conditions, relever de cette définition,
Décide :
Article 1. Champ d'application.
Peuvent bénéficier de la procédure de déclaration simplifiée de conformité à la présente norme les traitements de données à caractère personnel mis en oeuvre par les pharmaciens qui répondent aux conditions définies aux articles 2 à 7 ci-après.
Article 2. Finalités du traitement.
Les traitements sont mis en oeuvre pour faciliter la gestion administrative de la pharmacie, la dispensation des médicaments, produits de santé et dispositifs médicaux et l'analyse statistique des ventes.
Ils n'assurent pas d'autres fonctions que :
– la tenue de l'ordonnancier prévu à l'article R. 5125-45 du code de la santé publique ;
– la tenue des registres pour les produits dont la délivrance est soumise à enregistrement obligatoire ;
– la gestion du dossier de suivi pharmaco-thérapeutique du patient ;
– l'établissement, l'édition et la télétransmission des feuilles de soins et factures subrogatoires ;
– l'édition et l'envoi de courriers aux professionnels de santé et, en particulier, de l'opinion pharmaceutique au prescripteur ;
– l'édition d'un bordereau récapitulatif des caisses ;
– la gestion des règlements ;
– la réalisation d'études statistiques à partir d'informations anonymisées ;
– la participation à des études épidémiologiques.
Les données personnelles de santé ne peuvent être utilisées que dans l'intérêt direct du patient et, dans les conditions déterminées par la loi, pour les besoins de la santé publique. Toute autre exploitation de ces données, notamment à des fins commerciales, est proscrite.
La constitution et l'utilisation à des fins de prospection ou de promotion commerciales de fichiers composés à partir de données issues directement ou indirectement des prescriptions médicales ou des informations médicales sont interdites, dès lors que ces fichiers permettent d'identifier directement ou indirectement un professionnel de santé.
Article 3. Informations collectées et traitées.
Les informations suivantes relatives au patient peuvent être collectées :
– identité : nom, prénom, date de naissance, sexe, adresse, numéro de téléphone ;
– numéro de sécurité sociale (assuré ou ayant droit) et taux de prise en charge (régime d'exonération, durée de validité des droits) : pour l'édition des feuilles de soins et la télétransmission aux organismes assurant la gestion du régime obligatoire d'assurance maladie dont dépend le patient, dans les conditions définies par les articles R. 115-1 et suivants du code de la sécurité sociale ;
– adhésion à des organismes d'assurance maladie complémentaires : numéro d'adhérent et taux de prise en charge ;
– santé :
– médicaments, produits de santé ou dispositifs médicaux dispensés, posologie, date de l'ordonnance et durée de la prescription ;
– modalités particulières de prise en charge médicale : hospitalisation à domicile, prise en charge dans un réseau de santé ;
– renseignements d'ordre biologique, physiologique et pathologique propres à influencer la réaction du patient aux médicaments ;
– historique des médicaments dispensés, traitements en cours, médecins traitants ;
– informations relatives à la profession dans la stricte limite où elles sont nécessaires à la dispensation.
Des informations relatives aux habitudes de vie du patient, le nom et, le cas échéant, les coordonnées des proches mandatés pour le retrait des produits délivrés et leur lien avec le patient peuvent être collectées avec son accord et dans la stricte limite où elles sont nécessaires à la dispensation.
Les informations suivantes relatives au médecin prescripteur peuvent être collectées : nom, adresse, numéro d'identification, spécialité, situation conventionnelle.
Article 4. Destinataires des informations.
Le personnel de l'officine, dans la limite des attributions de chacun et le respect des dispositions relatives au secret professionnel.
Afin d'assurer la continuité des soins et avec l'accord des personnes concernées, les professionnels de santé et dans les établissements de santé, les membres de l'équipe de soins assurant sa prise en charge peuvent être destinataires des données relatives au patient.
Afin de permettre le remboursement des actes, des prestations et leur contrôle, les agents habilités des organismes d'assurance maladie ont connaissance, dans la limite de leurs fonctions et pour la durée nécessaire à l'accomplissement de celles-ci, de l'identité de l'assuré, de son numéro de sécurité sociale et du code des médicaments, produits de santé ou dispositifs médicaux délivrés.
Les personnels habilités des organismes d'assurance maladie complémentaire sont destinataires, dans la limite de leurs attributions, de l'identité de leurs assurés, de leur numéro de sécurité sociale et, sous la forme d'une codification tarifaire globale, des médicaments délivrés.
Les organismes de recherche dans le domaine de la santé et les organismes spécialisés dans l'évaluation des pratiques de soins peuvent être destinataires de données personnelles de santé dans les conditions définies par la loi du 6 janvier 1978 modifiée.
Article 5. Durée de conservation.
Les informations enregistrées ne peuvent être conservées dans l'application au-delà d'une durée de trois ans à compter de la dernière intervention sur le dossier du patient. A l'issue de cette période, elles sont archivées sur un support distinct et peuvent être conservées pendant quinze ans dans des conditions de sécurité équivalentes à celles des autres données enregistrées dans l'application.
L'ordonnancier est conservé pendant une durée de dix ans (art. R. 5125-45 du code de la santé publique). Le registre des stupéfiants est conservé dix ans à compter de sa dernière mention (art. R. 5132-36 du même code). Le registre des médicaments dérivés du sang doit être conservé quarante ans (art. R. 5121-195 du même code).
En cas de télétransmission, le double électronique des feuilles de soins transmises ainsi que leurs accusés de réception doivent être conservés pendant 90 jours (art. R. 161-47 du code de la sécurité sociale).
Article 6. Information et droit d'accès.
Conformément aux dispositions de la loi du 6 janvier 1978 modifiée, les personnes dont les données sont enregistrées et conservées dans le fichier de la pharmacie sont informées, par un document affiché dans ses locaux ou remis en main propre, de l'identité du responsable du traitement, de sa finalité, des destinataires des informations et des modalités pratiques d'exercice de leurs droits, en particulier du droit d'accès aux informations qui les concernent.
Article 7. Politique de confidentialité et sécurités.
Des mesures de sécurité physique et logique sont mises en place afin de préserver la confidentialité des informations couvertes par le secret médical et empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.
En particulier, le pharmacien accède à l'application en utilisant sa carte de professionnel de santé. Les personnels placés sous son autorité doivent également disposer d'une carte d'accès ou d'un mot de passe personnel.
En cas d'utilisation du réseau Internet pour transmettre des données personnelles de santé, un système de chiffrement » fort » de la messagerie doit être mis en place. En outre, un dispositif technique approprié doit être installé et mis à jour régulièrement afin de se prémunir des risques de captation des données. Les informations sont transmises dans des conditions propres à garantir leurs intégrité et confidentialité.
Le pharmacien définit une politique de confidentialité et les mesures effectivement mises en oeuvre pour garantir la sécurité des données.
Article 8. La présente délibération sera publiée au Journal officiel de la République française.
Fait à Paris, le 8 juin 2006.
Le vice-président délégué, G. Rosier