RGPD pharmacie d'officine : le guide pratique 2026
RGPD pharmacie d'officine : données de santé, dossier pharmaceutique, HDS, logiciel LGO, durées de conservation, DPO. Obligations et checklist 2026.
- Pourquoi l’officine relève d’un régime RGPD renforcé
- Cartographier vos traitements dans le registre
- Le Dossier Pharmaceutique : le point de vigilance n°1
- Encadrer le logiciel de gestion d’officine (LGO)
- Sécurité et gestion des accès (Art. 32)
- Durées de conservation : l’erreur la plus fréquente
- Faut-il un DPO et une AIPD ?
- Carte de fidélité et parapharmacie : ne pas mélanger les univers
- Ce qu’il faut retenir
- FAQ
Une pharmacie d’officine traite chaque jour des données parmi les plus protégées du RGPD : ordonnances, pathologies déduites des traitements délivrés, numéro de sécurité sociale, historique du dossier pharmaceutique. Dans les audits que je mène auprès de professionnels de santé, je retrouve toujours les mêmes angles morts : un logiciel de gestion d’officine non encadré par un contrat de sous-traitance, un hébergement non certifié HDS, des durées de conservation approximatives et un registre inexistant. La CNIL a fait du secteur de la santé une cible prioritaire de ses contrôles. Voici ce qu’il faut mettre en place concrètement.
Pourquoi l’officine relève d’un régime RGPD renforcé
Trois caractéristiques imposent au pharmacien un niveau d’exigence maximal.
La nature des données. Dès qu’une officine enregistre une délivrance de médicament, elle traite une donnée qui révèle l’état de santé du patient. Ces données relèvent de l’Art. 9(1) du RGPD : ce sont des données sensibles au sens du RGPD, dont le traitement est interdit par principe. L’officine ne peut les traiter qu’en s’appuyant sur une exception de l’Art. 9(2), en pratique l’Art. 9(2)(h) — finalités de médecine préventive, de diagnostic, de prise en charge et de dispensation de soins — combiné à l’Art. 9(3) qui impose que ce traitement soit réalisé sous secret professionnel.
Le cumul obligation légale / consentement. Contrairement à une idée répandue, la dispensation ne repose pas sur le consentement du patient. Elle s’appuie sur une obligation légale au sens de l’Art. 6(1)© : le Code de la santé publique impose au pharmacien la traçabilité de la dispensation, la tenue de l’ordonnancier et la télétransmission des feuilles de soins. Le consentement, lui, n’intervient que pour des traitements précis — au premier rang desquels le Dossier Pharmaceutique.
Le secret professionnel. Le pharmacien et son équipe sont tenus au secret professionnel (Art. R.4235-5 du Code de la santé publique). Le RGPD s’articule ici avec une obligation déontologique préexistante : la confidentialité n’est pas une bonne pratique, c’est une obligation dont la violation est pénalement sanctionnée, indépendamment des sanctions CNIL.
Cartographier vos traitements dans le registre
L’Art. 30 du RGPD impose de tenir un registre des activités de traitement. C’est le point de départ de toute mise en conformité, et le premier document que la CNIL réclame en cas de contrôle. Pour une officine, il recense au minimum :
- la dispensation et la facturation (ordonnancier, télétransmission FSE vers l’Assurance maladie) ;
- le Dossier Pharmaceutique ;
- la gestion des stupéfiants et médicaments à prescription restreinte ;
- les préparations magistrales ;
- la carte de fidélité et la parapharmacie ;
- la gestion du personnel et des habilitations d’accès au logiciel ;
- la vidéosurveillance du comptoir et de la réserve, le cas échéant.
Pour chaque traitement, précisez la finalité, la base légale, les catégories de données, les durées de conservation et les destinataires. C’est un travail fastidieux mais structurant — et c’est exactement le type de cartographie que Legiscope automatise pour éviter les oublis.
Le Dossier Pharmaceutique : le point de vigilance n°1
Le Dossier Pharmaceutique (DP), géré par le Conseil national de l’Ordre des pharmaciens, recense les médicaments délivrés au patient sur les derniers mois, toutes officines confondues. Sa création et son alimentation reposent sur le consentement du patient, qui doit être recueilli explicitement et pouvoir être retiré à tout moment.
Les durées de conservation propres au DP sont strictes et différenciées :
- 4 mois pour l’historique des médicaments classiques ;
- 21 ans pour les vaccins ;
- 3 ans pour les médicaments biologiques.
Concrètement, deux erreurs reviennent systématiquement : alimenter le DP sans traçabilité du consentement, et présenter la création du DP comme automatique alors qu’elle est facultative. Formez votre équipe à recueillir un consentement éclairé au comptoir et à le consigner.
Encadrer le logiciel de gestion d’officine (LGO)
Aucune officine ne fonctionne sans logiciel métier — Winpharma, LGPI, Smart Rx, Pharmaland et les autres hébergent l’intégralité de vos données de santé. Votre éditeur est un sous-traitant au sens de l’Art. 28 du RGPD : vous devez disposer d’un contrat de sous-traitance conforme précisant les mesures de sécurité, la localisation des données, le sort des données en fin de contrat et le recours éventuel à des sous-traitants ultérieurs.
Point critique : si votre logiciel est hébergé en mode SaaS ou que vos sauvegardes sont externalisées dans le cloud, l’hébergeur doit être certifié HDS (Hébergeur de Données de Santé), conformément à l’Art. L.1111-8 du Code de la santé publique. Réclamez le certificat HDS à votre éditeur — c’est une exigence légale, pas une option commerciale. En cas de contrôle, l’absence de certification HDS pour un hébergement de données de santé est une non-conformité immédiatement caractérisée.
Sécurité et gestion des accès (Art. 32)
L’Art. 32 du RGPD impose des mesures de sécurité adaptées au risque. Pour une officine, le risque est élevé : la sanction de 1,5 million d’euros prononcée par la CNIL contre le laboratoire Dedalus Biologie (délibération SAN-2022-009) rappelle qu’une faille sur des données de santé peut coûter très cher et exposer des centaines de milliers de patients.
Les mesures minimales attendues :
- un compte nominatif par utilisateur — jamais de session partagée « comptoir » : la traçabilité des accès est indispensable ;
- une gestion des habilitations selon le rôle (pharmacien titulaire, adjoint, préparateur, apprenti, étudiant) ;
- le chiffrement des sauvegardes et des postes ;
- le verrouillage automatique des sessions au comptoir, souvent laissé ouvert entre deux clients ;
- une politique de mots de passe robuste et un pare-feu à jour.
En cas de violation de données — rançongiciel, vol de matériel, envoi d’un fichier au mauvais destinataire — vous disposez de 72 heures pour notifier la violation à la CNIL au titre de l’Art. 33, et devez informer les patients si le risque pour leurs droits est élevé (Art. 34).
Durées de conservation : l’erreur la plus fréquente
« On garde tout, on ne sait jamais » est la réponse que j’entends le plus souvent — et c’est une non-conformité au principe de limitation de la conservation (Art. 5(1)(e)). Chaque donnée doit avoir une durée définie et documentée :
- ordonnancier des stupéfiants : 10 ans, conformément au Code de la santé publique ;
- ordonnances de médicaments d’exception ou soumis à conservation : selon les durées fixées par le Code de la santé publique ;
- données de facturation / télétransmission : la durée nécessaire à la gestion des paiements et d’éventuels contentieux avec l’Assurance maladie ;
- carte de fidélité : au maximum 3 ans après le dernier achat, en l’absence d’activité du client.
Documentez ces durées dans le registre et paramétrez, quand c’est possible, des purges automatiques dans le LGO.
Faut-il un DPO et une AIPD ?
Le délégué à la protection des données (DPO). L’Art. 37(1)© impose un DPO lorsque l’activité de base consiste en un traitement à grande échelle de données sensibles. Dans ses lignes directrices, le CEPD considère que l’activité d’un professionnel de santé exerçant à titre individuel ne constitue pas, en soi, un traitement à grande échelle. Une officine isolée n’est donc pas toujours légalement tenue de désigner un DPO. Mais dès qu’on raisonne à l’échelle d’un groupement de pharmacies, ou compte tenu des volumes réellement traités, la désignation d’un DPO — mutualisé via un groupement ou externalisé — devient une pratique recommandée et souvent la plus prudente. Pour comprendre le rôle exact de cette fonction, voir notre guide sur le DPO, sa définition et ses missions.
L’analyse d’impact (AIPD). L’Art. 35 impose une analyse d’impact relative à la protection des données pour les traitements susceptibles d’engendrer un risque élevé, notamment le traitement à grande échelle de données de santé. Pour une officine individuelle, l’AIPD n’est pas systématiquement obligatoire, mais elle est vivement recommandée pour les traitements les plus sensibles (interconnexions, sauvegardes cloud, télésoin). En cas de doute, mieux vaut la conduire : elle constitue une preuve d’accountability précieuse en cas de contrôle.
Carte de fidélité et parapharmacie : ne pas mélanger les univers
L’activité commerciale de l’officine (parapharmacie, e-commerce, carte de fidélité) obéit à un régime distinct de la dispensation de médicaments. Le marketing repose sur le consentement (Art. 6(1)(a)) et non sur l’obligation légale. Deux règles à respecter absolument : ne jamais utiliser les données de santé issues de la dispensation à des fins commerciales, et cloisonner strictement le fichier client fidélité du dossier de dispensation. Croiser un historique de traitements médicaux avec une base marketing serait un détournement de finalité et une faute grave.
Ce qu’il faut retenir
- Toute donnée de délivrance est une donnée de santé (Art. 9) : le régime le plus protecteur s’applique, sous secret professionnel.
- La dispensation repose sur une obligation légale (Art. 6(1)©), pas sur le consentement ; le consentement est réservé au Dossier Pharmaceutique et au marketing.
- Votre logiciel d’officine est un sous-traitant (Art. 28) et tout hébergement externalisé de données de santé doit être certifié HDS.
- Tenez un registre (Art. 30), définissez des durées de conservation précises et sécurisez les accès par des comptes nominatifs (Art. 32).
- Cloisonnez strictement les données de dispensation et les données commerciales (fidélité, parapharmacie).
FAQ
Une pharmacie doit-elle obligatoirement désigner un DPO ?
Pas systématiquement. Une officine exerçant de façon isolée n’entre pas toujours dans le critère du traitement « à grande échelle » de l’Art. 37(1)©. En revanche, la désignation d’un DPO, y compris mutualisé au sein d’un groupement, reste fortement recommandée compte tenu de la sensibilité des données traitées.
Le Dossier Pharmaceutique nécessite-t-il le consentement du patient ?
Oui. La création et l’alimentation du Dossier Pharmaceutique reposent sur le consentement du patient, qui doit être recueilli au comptoir, tracé, et pouvoir être retiré à tout moment. Le DP n’est jamais automatique.
Mon logiciel de gestion d’officine doit-il être hébergé chez un hébergeur HDS ?
Si les données de santé sont hébergées par un tiers (mode SaaS, sauvegardes externalisées, cloud), oui : l’hébergeur doit être certifié HDS au titre de l’Art. L.1111-8 du Code de la santé publique. Réclamez le certificat à votre éditeur.
Puis-je utiliser l’historique des médicaments délivrés pour ma carte de fidélité ?
Non. Les données de santé issues de la dispensation ne peuvent pas être réutilisées à des fins commerciales. Le fichier de fidélité doit rester strictement cloisonné du dossier de dispensation, sous peine de détournement de finalité.
Vous gérez la conformité d’une officine ou d’un groupement de pharmacies ? Recevez chaque semaine nos analyses de conformité RGPD : décisions CNIL, obligations sectorielles et modèles prêts à l’emploi.