Revue CNOP Octobre 2024

Politique de protection des données personnelles – Application Dossier Pharma

Le Conseil national de l'Ordre des pharmaciens situé 4 avenue Ruysdaël, 75379 PARIS CEDEX 08, ci-après désigné le « CNOP » (SIRET : 784 359 549 00010), édite l'application numérique « Dossier Pharma » qui permet aux usagers de gérer leurs données liées à leurs traitements médicamenteux, d'avoir accès des informations liées à la vaccination, à des rappels de prise médicamenteuse et à des informations générales sur la santé. L'application permet également un accès au Dossier Pharmaceutique (DP) pour ceux qui en sont bénéficiaires.

Dans le cadre de son fonctionnement, l'application « Dossier Pharma » collecte et traite certaines données à caractère personnel dont des données de santé des usagers qui disposent de l'application et l'utilisent.

Le traitement ainsi mis en œuvre est sous la responsabilité du CNOP en sa qualité de responsable de traitement. La présente Politique de protection des données personnelles a pour but de détailler l'origine et l'utilisation des données à caractère personnel collectées et traitées par l'application « Dossier Pharma », ainsi que les mesures mises en œuvre par le CNOP afin de protéger au mieux lesdites données à caractère personnel.

Il est recommandé à chaque usager de prendre connaissance de la Politique de protection des données personnelles :

Le CNOP reconnaît l'importance de la protection des données à caractère personnel.

À cet égard, le CNOP ainsi que son sous-traitant, la société Docaposte qui notamment héberge les données personnelles collectées et traitées par l'application « Dossier Pharma » et qui est certifiée Hébergeur de données de santé conformément à la loi, s'engagent à traiter les données à caractère personnel des usagers en conformité avec les dispositions du Règlement 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après désigné le « RGPD »), de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (ci-après désignée la « Loi n° 78-17 ») (le « RGPD » et la « Loi n° 78-17 » sont ci-après désignés collectivement la « Réglementation applicable en matière de Données Personnelles »), ainsi qu'aux stipulations de la présente Politique.

Pour toute demande concernant la Politique de protection des données personnelles, l'Usager peut adresser un courriel à l'adresse suivante : dossierpharma@ordre.pharmacien.fr

Le CNOP a également désigné un Délégué à la protection des données : dpo@ordre.pharmacien.fr

1. Finalité et base légale du traitement des données à caractère personnel

L'application "Dossier Pharma" a pour finalité de permettre à chaque usager qui le souhaite d'être associé au suivi de ses informations médicamenteuses, en particulier :

La base légale du traitement de données et la condition qui permet le traitement de ses données de santé est le consentement de l'usager, en application des articles 6-1-a 9-2-a du RGPD.

A partir du traitement ainsi mis en œuvre par le CNOP, l'usager peut :

2. Catégories des données à caractère personnel collectées et traitées

Les catégories de données à caractère personnel que le CNOP est amené à collecter et traiter dans le cadre de la mise en œuvre de Dossier Pharma sont les suivantes :

Ces données sont collectées lors de la création de votre compte Dossier Pharma.

Le détail de ces données est décrit ci-dessous :

Données collectées dans Dossier Pharma
Donnée Description
SUB_FRANCECONNECT Identifiant technique du compte dans France Connect. Cet identifiant permet de s'identifier, il est donné après une connexion réussie à france connect +
EMAIL Email du compte accès patient, transmis par le serveur AP. Cet email est lié à la connexion via l'IN et est enregistré lors de cette connexion
NOM Nom de famille de naissance.
PRENOMS Prénoms séparés par des espaces.
GENRE Sexe M ou F

Les données d'identité suivantes sont utilisées par le CNOP pour associer un compte « Dossier Pharma » et un Dossier pharmaceutique mais elles ne sont pas conservées.

Réconciliation Identités Dossier Pharma et DP
Données utilisées pour la réconciliation
Prénoms de naissance
Nom de naissance
Date de naissance
Sexe
Lieu de naissance

3. Destinataires des données à caractère personnel

Les données à caractère personnel collectées et traitées sont destinées à l'usage du CNOP et de son sous-traitant, la société Docaposte certifiée hébergeur de données de santé conformément aux exigences de l'article L.1111-8 du code de la santé publique pour les stricts besoins de leurs missions nécessaires au fonctionnement de l'application « Dossier Pharma ». Les données sont hébergées en France.

A cet égard, le CNOP veille à ce que les engagements de la société Docaposte en matière de protection de données personnelles soient a minima équivalents à la Présente Politique de protection des données personnelles et s'engage à prendre toutes mesures afin d'assurer la sécurité et la confidentialité des données personnelles. A cet égard, toutes vos données personnelles sont stockées chiffrées.

Toutes les précautions utiles sont prises pour assurer la sécurité et la confidentialité de vos données personnelles, notamment pour empêcher leur perte, altération, destruction ou utilisation par des tiers non autorisés. À cet effet, conformément à l'article 35 du RGPD, une analyse d'impact sur la protection des données (AIPD) a été réalisée pour garantir le respect de votre vie privée.

En outre, le CNOP exige de son sous-traitant qu'il mette en place des mesures de sécurité techniques et organisationnelles appropriées afin de garantir la confidentialité des données personnelles et un niveau de sécurité adapté au risque.

Le support

Dans le cadre d'un accompagnement pour une demande de fermeture ou d'opposition à la création d'un dossier pharmaceutique, le médecin de l'hébergeur du dossier pharmaceutique pourra accéder, sous réserve de recueillir votre consentement préalable, aux données strictement nécessaires à votre accompagnement.

L'accès à vos données est notamment interdit lors de la conclusion d'un contrat relatif à une mutuelle, à une assurance et à l'occasion de la conclusion de tout autre contrat exigeant l'évaluation de l'état de santé d'une des parties.

Tout manquement à ces limites et interdictions est passible de poursuites pénales sur le fondement de l'article 226-13 du code pénal.

4. Droits des Usagers

Les Usagers, utilisateurs de l'application « Dossier Pharma » disposent des droits suivants.

L'Usager peut accéder directement aux données contenues dans son compte "Dossier Pharma" en utilisant ses moyens d'identification et d'authentification. Une fois connecté, il aura accès directement aux données stockées dans "Dossier Pharma".

Droit d'accès et droit à la portabilité : il accède directement à l'ensemble de ses données traitées dans l'application "Dossier Pharma".

Le droit à la portabilité sera assuré et permettra à l'usager de demander la transmission de ses données vers une autre application.

Droit de rectification et à la limitation : il peut directement effectuer la rectification de données qu'il a lui-même saisies.

Pour les autres données, le droit de rectification et le droit à la limitation du traitement s'exercent auprès du DPO du CNOP à l'adresse mail suivante : dpo@ordre.pharmacien.fr

Droit de suppression : il peut lors de la clôture de leur compte "Dossier Pharma", supprimer l'intégralité de ses données liées à son compte directement dans la rubrique "Mon Compte et mes Droits" puis "Mes Démarches". A noter que supprimer le compte Dossier Pharma, ne supprime pas le dossier pharmaceutique.

En cas de difficultés dans l'application des droits énoncés ci-dessus, il est possible d'introduire une réclamation auprès de la CNIL : Commission nationale de l'informatique et des libertés - 3, place de Fontenoy - TSA 80715 - 75334 Paris cedex 07 (www.cnil.fr)

5. Durée de conservation des données personnelles

Le CNOP conserve les données à caractère personnel de la façon suivante.

Pour les données relatives au compte usager : jusqu'à la suppression du compte usager ou 36 mois après le dernier accès au compte.

La suppression du compte « Dossier Pharma » entraîne l'effacement définitif et immédiat des données relatives au compte.

Pour les données communiquées via les demandes de contact : le temps nécessaire à la gestion de la demande

Pour les données transmises lors de la mise en œuvre d'un droit concédé par la Réglementation applicable en matière de Données Personnelles : le temps nécessaire au traitement de la demande.

Clôturer le compte "Dossier Pharma", ne supprime pas le contenu du Dossier Pharmaceutique.

Toutefois, à l'issue des délais précités, les données à caractère personnel collectées et traitées pourront être archivées au-delà des durées prévues (i) en cas de procédure contentieuse afin de permettre d'établir la réalité des faits litigieux ; et/ou (ii) pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales dans le seul but de permettre, en tant que besoins, la mise à disposition de ces données à l'autorité judiciaire.

6. Transfert de données à caractère personnel hors Union européenne

Le CNOP ne transfère aucune donnée à caractère personnel hors Union européenne.

Dans la situation où le CNOP serait amené à communiquer des données à caractère personnel des usagers à des tiers situés en dehors de l'Espace économique européen, il s'engage à en informer les usagers et à encadrer sa relation avec ce tiers en adoptant un dispositif contractuel approprié dans le respect des exigences du RGPD.

7. La gestion des cookies et traceurs

Un cookie est un petit fichier alphanumérique déposé sur le terminal (tablette ou mobile) d'un Usager, lors de la visite d'un site, de l'usage d'une application mobile ou même lors de la consultation d'une publicité. Il contient plusieurs données dont le nom du serveur qui l'a déposé, un identifiant sous forme de numéro unique, éventuellement une date d'expiration.

Il existe différents types de cookies tels que les cookies flash, les sdk, les pixels, le résultat de calcul d'empreinte du terminal, etc. Il peut permettre à celui qui l'a déposé de reconnaître un internaute, d'une visite à une autre, grâce à un identifiant unique.

Certains cookies sont techniquement nécessaires au bon fonctionnement d'un site internet ou d'une application (p. ex. enregistrer les paramètres de langue dudit site ou de l'application). D'autres cookies ne sont pas strictement nécessaires au fonctionnement du site ou de l'application, mais permettent, sous réserve du consentement du visiteur, de se voir proposer des publicités ciblées, basées sur sa navigation.

Le CNOP s'engage, dans le cadre des missions qui lui sont confiées, à assurer la protection, la confidentialité et la sécurité de l'ensemble des données personnelles des Usagers dans le respect de leur vie privée.

Lorsque l'Usager navigue sur l'application « Dossier Pharma », le CNOP et/ou des tiers peuvent être amenés à déposer plusieurs des cookies sur son équipement informatique. Les finalités et durées de conservation de ces cookies sont détaillées ci-dessous.

7.1 Les cookies strictement nécessaires

Cookies strictement nécessaires au fonctionnement de l'application
Nom des cookies Finalité Durée de conservation
AUTH_SESSION_ID Conserve les informations de session pour l'application de gestion de compte. Durée de la session applicative
AUTH_SESSION_LEGACY Conserve les informations de session pour l'application de gestion de compte (mode compatibilité). Durée de la session applicative
KEYCLOAK_IDENTITY Conserve l'identifiant technique de l'utilisateur authentifié associé à l'identifiant de session. Durée de la session applicative
KEYCLOAK_IDENTITY_LEGACY Conserve l'identifiant technique de l'utilisateur authentifié associé à l'identifiant de session (mode compatibilité). Durée de la session applicative
KEYCLOAK_SESSION Conserve les informations de la session SSO : royaume, identifiant technique de l'utilisateur authentifié et durée d'expiration de la session SSO. Durée de la session SSO
KEYCLOAK_SESSION_LEGACY Conserve les informations de la session SSO : royaume, identifiant technique de l'utilisateur authentifié et durée d'expiration de la session SSO. (Mode compatibilité) Durée de la session SSO

L'application Dossier Pharma utilise des cookies qui sont indispensables pour garantir l'accès sécurisé à certaines fonctionnalités, et notamment pour s'assurer que les données des Usagers sont bien protégées et accessibles à eux seuls. C'est pourquoi ces cookies ne peuvent être désactivés.

7.2. Les cookies tiers

Une plate-forme d'analyse Web est utilisée par un tiers sur l'application mobile « Dossier Pharma » afin de mesurer, collecter, analyser et rapporter les données des Usagers à des fins de compréhension et d'optimisation de ladite application. Matomo est la plateforme d'analyse que le CNOP utilise sur l'application Dossier Pharma.

Plus spécifiquement, Matomo est utilisé pour analyser le comportement des visiteurs de l'application mobile afin d'identifier les pièges potentiels ; pages introuvables, problèmes d'indexation des moteurs de recherche, quels contenus sont les plus appréciés… Une fois les données traitées, Matomo génère des rapports permettant au CNOP d'agir, pour par exemple changer la mise en page des pages, publier du nouveau contenu… etc.

Si l'Usager y consent, les cookies tiers suivants seront déposés sur son terminal :

Cookies Matomo déposés avec consentement
Nom des cookies Usage Expiration
_pk_ref Stocker les informations d'attribution 6 mois
_pk_cvar Données de la visite 30 minutes
_pk_id Stocker des informations sur l'utilisateur, telles que l'identifiant unique 13 mois
_pk_ses Données de la visite 30 minutes
_pk_hsr Lors de l'utilisation de cartes thermiques ou l'enregistrement de séance 30 minutes
'mtm_consent', 'mtm_consent_removed' et 'mtm_cookie_consent' Retenir le consentement de l'utilisateur 30 ans
matomo_ignore Quand on souhaite ne pas être suivi 30 ans
matomo_sessid Lors d'un refus de suivi 14 jours
_pk_testcookie Utilisé pour vérifier si le navigateur du visiteur prend en charge les cookies Supprimé après sa création

7.3 Comment gérer les cookies ?

Lorsque l'Usager débute sa navigation sur l'application « Dossier Pharma », l'apparition d'un écran « Collecte des données de navigation anonyme » permet « d'accepter » ou « de refuser » le dépôt de cookies par le CNOP lorsque l'usager navigue sur Dossier Pharma.

En cliquant sur « Tout accepter », l'Usager accède à l'écran de connexion et aux cookies collectées. Le CNOP pourra déposer des cookies sur l'appareil de l'usager.

En cliquant sur « Tout refuser » seuls les cookies nécessaires au bon fonctionnement de l'application « Dossier Pharma » seront déposés, le bandeau disparaît et n'apparaîtra plus lors des prochaines visites.

L'écran « Collecte des données de navigation anonyme » réapparaît si l'Usager se connecte depuis un autre appareil pour la première fois ou si les textes sont mis à jour.

L'Usager peut modifier ses choix à tout moment en allant dans la rubrique "Mon compte et mes droits" puis "consentements".

En outre, chaque Usager peut refuser les cookies placés par l'application « Dossier Pharma » en configurant son navigateur.

Modification de la Politique de protection des données personnelles

Le CNOP se réserve le droit d'apporter, à tout moment, à la Politique de protection des données personnelles toutes les modifications qu'il jugera nécessaires et utiles.

En cas de modification de la Politique de protection des données personnelles, le CNOP s'engage à communiquer la nouvelle politique a minima, quinze (15) jours avant la date de son entrée en vigueur. Dans la situation où l'Usager ne souhaite pas que la nouvelle politique soit applicable, il doit résilier son compte Usager sur l'application « Dossier Pharma » avant son entrée en vigueur.

Exemple de tableau conforme RGAA

Tableau des navigateurs et liens de configuration des cookies
Navigateur Lien de configuration Système compatible
Mozilla Firefox Guide officiel Windows, Mac, Linux
Microsoft Internet Explorer Guide officiel Windows
Google Chrome Guide officiel Windows, Mac, Linux, Android, iOS
Safari Guide officiel Mac, iOS