Prévoir une durée de conservation des données personnelles adéquate et pertinente
Vous souhaitez être informé⋅e des nouveaux articles ? Inscrivez-vous à la newsletter
M'inscire à la Newsletter
Le principe de limitation de la durée de conservation des données personnelles impose aux officines de pharmacie de déterminer une durée de conservation cohérente au regard des objectifs poursuivis par chaque traitement des données.
Appréhender le cycle de vie des données à partir de leur collecte jusqu’à leur effacement ou leur anonymisation définitive s’avère ainsi indispensable. Celui-ci se compose de trois phases principales :
- la conservation des données en base active qui correspond à la période d’utilisation des données nécessaires à l’accomplissement de l’objectif poursuivi par leur traitement ;
- l’archivage intermédiaire qui consiste en la conservation des données après que celles-ci aient rempli leur rôle initial pour répondre à une obligation légale ou lorsque leur conservation est justifiée par des impératifs juridiques ou administratifs ;
- l’archivage définitif qui n’est cependant pas applicable aux pharmacies puisque réservé aux seules archives publiques.
Pour les officines, le code de la santé publique impose par ailleurs des durées de conservation très variables d’un document à l’autre. Il en est notamment ainsi :
- des copies d’ordonnance de médicaments relevant de la réglementation des stupéfiants qui doivent être conservées 3 ans ;
- du registre de délivrance ou des documents liés à la comptabilité de l’officine qui nécessitent d’être conservés 10 ans ;
- du registre des médicaments dérivés du sang qui doit être accessible pendant 40 ans.
Le titulaire de l’officine devra donc déterminer les différentes durées de conservation au regard de la réglementation applicable, de la nature des données traitées et de la finalité des différents traitements ; tout l’enjeu étant de veiller à la fois au respect du principe de limitation et aux durées de conservation des documents et des données prévues par le code de la santé publique.
Vous pourrez alors porter au sein de votre registre des activités de traitement les durées de conservation retenues pour chaque traitement ainsi que les explications des choix réalisés lorsqu’une durée de conservation a été déterminée en l’absence d’obligation légale en lien avec le traitement envisagé.
Surtout, vous devrez pouvoir être en mesure de démontrer que :
- les personnes concernées sont informées des différentes phases de conservation de leurs données ;
- la suppression des données est effective une fois la durée de conservation expirée ;
- l’ensemble des mesures de sécurité utiles pour garantir la bonne conservation des données sont mises en œuvre (système d’habilitations, mesures de traçabilité …).
Comment démontrer sa conformité RGPD ?
Applicable depuis le 25 mai 2018 suite à son adoption par le parlement européen en…
Les officines de pharmacie ont-elles l'obligation de désigner un délégué à la protection des données ?
Acteur essentiel de la conformité au règlement européen sur la protection des données (RGPD), le…
Comment déterminer la base légale des traitements réalisés au sein de l’officine ?
En vertu du RGPD, un traitement de données ne peut être légalement mis en œuvre…
En cas de besoin, nous sommes à votre disposition pour vous accompagner dans votre démarche de mise en conformité RGPD
Nous contacter