Données personnelles

RGPD pharmacie officine 2026 : ordonnances, dossier pharmaceutique + sanctions

RGPD en pharmacie d'officine : ordonnances et données de santé (art. 9), dossier pharmaceutique, LGO sous-traitant, durées de conservation, bases légales et sanctions CNIL.

Une pharmacie d’officine conforme au RGPD traite chaque ordonnance comme une donnée de santé au sens de l’article 9 : accès restreint au personnel habilité, durée de conservation calée sur les obligations propres à la dispensation, logiciel de gestion d’officine (LGO) encadré par un contrat de sous-traitance (article 28), hébergement des données de santé certifié HDS, et sécurité conforme à l’article 32. Concrètement, la conformité repose sur cinq piliers : un registre des traitements à jour, des bases légales documentées, des durées de purge appliquées, un DPA signé avec chaque éditeur ou hébergeur, et une vidéosurveillance qui ne filme jamais la zone de confidentialité.

L’officine cumule des traitements ordinaires (fidélité, comptabilité, paie) et des traitements sensibles (historique de délivrance, dossier pharmaceutique) sous le même toit. C’est cette cohabitation qui crée le risque : un programme de fidélité mal paramétré peut relier des achats de médicaments au profil client, une caméra mal orientée capte les échanges au comptoir, un LGO non contractualisé transfère des données de santé sans encadrement. Voici la feuille de route opérationnelle.

Obligations RGPD spécifiques à l’officine

Les ordonnances sont des données de santé (article 9)

Une ordonnance révèle une pathologie, un traitement, parfois un état de grossesse ou une affection de longue durée. Elle relève donc de la catégorie particulière de l’article 9 du RGPD, dont le traitement est interdit par principe et autorisé uniquement par exception — ici l’article 9-2-h (prise en charge et gestion des soins par un professionnel soumis au secret). En pratique : accès réservé au pharmacien et aux préparateurs habilités, aucune donnée de santé visible sur un écran orienté vers la file d’attente, traçabilité des consultations. Les principes détaillés valent pour toute la gestion des données médicales.

Le dossier pharmaceutique (DP)

Le dossier pharmaceutique est géré sous l’égide de l’Ordre national des pharmaciens. Son alimentation suppose l’accord du patient : le DP n’est créé et rempli qu’avec son consentement, et il peut refuser ou demander la clôture. Les données de dispensation de médicaments y sont visibles sur une période glissante réglementée — la règle propre au DP — après quoi elles ne sont plus consultables par le pharmacien. L’officine reste responsable de la loyauté de l’information délivrée au comptoir avant toute création de DP.

Le logiciel de gestion d’officine (LGO) est un sous-traitant

L’éditeur de votre LGO traite des données de santé pour votre compte : c’est un sous-traitant au sens de l’article 28. Un contrat de sous-traitance (DPA) est obligatoire — il fixe les instructions, la sécurité, le sort des données en fin de contrat et l’interdiction de sous-traitance ultérieure non autorisée. La sanction Dedalus (voir plus bas) rappelle qu’un éditeur santé qui outrepasse vos instructions engage sa responsabilité, mais l’absence de DPA engage d’abord la vôtre — un enjeu partagé avec le logiciel métier d’un cabinet médical.

Programmes de fidélité : cloisonner l’achat de santé

La carte de fidélité relève d’un traitement marketing classique, fondé sur le consentement. Le piège : ne jamais relier les achats de produits de santé au profil client pour cibler des offres, sans base juridique solide et explicite. Le principe de minimisation impose de dissocier l’historique de dispensation (finalité soins) du programme de fidélité (finalité commerciale). Un ticket de caisse fidélité ne doit pas devenir un fichier des pathologies de la clientèle.

Vidéosurveillance de l’officine

La vidéosurveillance est admise pour la sécurité des biens et des personnes, sur le fondement de l’intérêt légitime, avec une conservation de 1 mois maximum. Les caméras ne doivent jamais être braquées sur la zone de confidentialité ni sur le comptoir d’échange avec le patient, où se tiennent des conversations couvertes par le secret. Information par affichage, registre des traitements à jour, accès aux images restreint.

Hébergement externe = HDS et sécurité article 32

Dès que les données de santé sont hébergées chez un tiers (cloud, télémaintenance, sauvegarde externalisée), l’hébergeur doit disposer de la certification HDS (hébergeur de données de santé). Voir notre guide sur la certification HDS. Côté sécurité (article 32) : comptes nominatifs, mots de passe robustes, chiffrement des sauvegardes, journalisation des accès, mises à jour du LGO. Tout cela doit figurer dans votre registre des traitements.

Durées de conservation

Donnée / traitement Durée en base active Archivage / justification
Historique de délivrance / ordonnances courantes Le temps du suivi de la dispensation Selon obligations propres à la dispensation
Ordonnances de stupéfiants Conservation de 3 ans Obligation réglementaire spécifique
Dossier pharmaceutique (DP) Période glissante réglementée du DP Non consultable au-delà (règle Ordre des pharmaciens)
Carte de fidélité Durée de la relation commerciale Purge des clients inactifs (préciser le seuil)
Vidéosurveillance 1 mois maximum Extraction sur réquisition uniquement
Pièces comptables Durée d’usage active Archivage 10 ans (obligations comptables)

Le point de vigilance n’est pas la théorie mais l’exécution : une durée écrite mais jamais appliquée (purge des inactifs, effacement des ordonnances au terme) est un manquement. Voir notre méthode sur les durées de conservation.

Bases légales par traitement

Traitement Base légale (art. 6 / art. 9) Commentaire
Dispensation, suivi pharmaceutique Art. 6-1 + art. 9-2-h Prise en charge par un professionnel soumis au secret
Traçabilité, obligations réglementaires Art. 6-1-c Obligations légales (stupéfiants, pharmacovigilance)
Dossier pharmaceutique Art. 9-2-h + accord du patient Alimentation avec l’accord du patient
Programme de fidélité Art. 6-1-a (consentement) Consentement libre, cloisonné du soin
Vidéosurveillance Art. 6-1-f (intérêt légitime) Sécurité des biens et personnes ; mise en balance

Sanctions CNIL réelles du secteur santé

Il n’existe pas encore de grande amende CNIL visant nommément une officine : la CNIL privilégie ici la mise en demeure. Mais trois décisions structurent directement le risque de la pharmacie.

DEDALUS BIOLOGIE — 1 500 000 € — 15 avril 2022. Éditeur de logiciel de santé (donc sous-traitant), Dedalus a laissé fuiter les données de santé de près de 500 000 patients (NIR, pathologies : VIH, cancers, grossesses). Cause aggravante : lors d’une migration, l’éditeur a extrait plus de données que demandé, outrepassant les instructions du responsable de traitement (article 29). Le message pour l’officine : votre LGO est un sous-traitant, et un DPA sans contrôle réel ne suffit pas. Détail de la sanction Dedalus sur le site de la CNIL.

DOCTISSIMO — 380 000 € — 11 mai 2023. Données de santé collectées via des tests en ligne sans consentement explicite (article 9), durées de conservation excessives et cookies déposés sans consentement. La leçon transposable : dès qu’on capte une donnée de santé, le consentement explicite ou une exception de l’article 9 est indispensable — un questionnaire « bien-être » ou un service en ligne d’officine n’y échappe pas. Voir la décision Doctissimo.

CARREFOUR FRANCE — 2 250 000 € — 18 novembre 2020. Pertinente par analogie pour les cartes de fidélité : conservation de données de 28 millions de clients inactifs pendant 5 à 10 ans, dépôt de cookies avant consentement, information peu accessible. Pour une officine, c’est le scénario du fichier fidélité jamais purgé. Voir la sanction Carrefour.

Erreurs courantes

  • Ne pas signer de DPA avec l’éditeur du LGO ni avec l’hébergeur : le sous-traitant santé traite pourtant vos données les plus sensibles (article 28).
  • Héberger des données de santé chez un prestataire non certifié HDS (sauvegarde cloud « grand public », télémaintenance non encadrée).
  • Relier les achats de santé au programme de fidélité pour du ciblage marketing, sans base juridique — atteinte à la minimisation.
  • Orienter une caméra sur le comptoir de confidentialité, captant des échanges couverts par le secret professionnel.
  • Conserver indéfiniment les ordonnances et les fiches clients faute de purge automatique dans le LGO.
  • Laisser un écran patient visible depuis la file d’attente, exposant les pathologies à la clientèle présente.
  • Oublier la vidéosurveillance dans le registre et dépasser le mois de conservation des images.

FAQ

Le dossier pharmaceutique peut-il être alimenté sans l’accord du patient ?

Non. Le DP, géré sous l’égide de l’Ordre des pharmaciens, suppose l’accord du patient pour sa création et son alimentation. Le patient peut refuser, demander la clôture ou s’opposer à ce qu’une dispensation y figure. Le pharmacien doit délivrer une information claire au comptoir avant toute création.

L’éditeur de mon logiciel d’officine est-il responsable de traitement ou sous-traitant ?

Sous-traitant. Il traite des données de santé pour votre compte et selon vos instructions : c’est la définition de l’article 28. Vous restez responsable de traitement. Un DPA écrit est obligatoire, et vous devez vous assurer que l’hébergement associé est certifié HDS. L’affaire Dedalus montre qu’un éditeur qui outrepasse ses instructions engage sa propre responsabilité — mais cela ne vous exonère pas.

Combien de temps conserver une ordonnance de stupéfiants ?

Les ordonnances de stupéfiants relèvent d’une obligation de conservation propre de 3 ans. Les autres ordonnances suivent la logique de la dispensation et du suivi ; l’essentiel est de fixer une durée par type de document dans le registre et de l’appliquer réellement, purge comprise.

Une officine doit-elle désigner un DPO ?

Ce n’est pas automatique, mais le traitement à grande échelle de données de santé (article 9) est un facteur qui pousse fortement vers la désignation, surtout pour un groupement ou une officine importante. À défaut, la décision de ne pas désigner doit être documentée et motivée dans le cadre de l’accountability.

Conclusion

La conformité d’une officine tient en une phrase : cloisonner le soin du commerce, et encadrer chaque tiers qui touche aux données de santé. Signez les DPA avec le LGO et l’hébergeur, vérifiez la certification HDS, calez vos durées sur les obligations propres à la dispensation et purgez réellement, orientez les caméras loin du comptoir de confidentialité, et n’aspirez jamais l’historique de santé dans le marketing. Un outil comme Legiscope, qui automatise le registre des traitements et la production des AIPD, permet de tenir cette documentation sans y consacrer un mi-temps juridique. Le socle documentaire est aussi votre meilleure défense le jour d’un contrôle ou d’une plainte : le texte du RGPD exige la preuve, pas la bonne foi.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →