<h4> S.I. pour système d'information </h4>
<p>Un S.I. est composé de l'ensemble des instruments informatiques par les quels les données de l'entreprise transitent, sont stockées, archivées ou supprimées.</p>
<p>Pour une définition très précise reportez vous à [[wikipedia:fr:Système_d'information]].</p>
<p>Quelque soit la taille de l'entreprise, il semble qu'aujourd'hui 100% des entreprises aient créé une dépendance plus ou moins importante en vers leur système d'information. Le S.I. est devenu une composante transversale des biens de l'entreprise et mérite une attention accrue</p>
<p>Imaginez les possibles conséquences pour un médecin qui n'a pas accès au dossier médical d'un patient "compliqué", qu'il doit traité en urgence! ou d'une entreprise de dépannage qui n'a plus accès à ses lignes de reception d'appels!</p>

<h4> Data pour données de l'entreprise</h4>
<p>Biens intangibles de l'entreprise, les Data peuvent être décomposées comme suit:</p>
* [[Données opérationnelles]]
* [[Données commerciales|Données commerciales & marketing]]
* [[Données ressources humaines]]
* [[Données comptables|Données comptables et financières]] : les enregistrements de toutes les pièces comptables dont la conservation est régie par le code des impôts notamment.
* [[Données stratégiques]]: ce qui fait la différence entre les entreprises d'un même secteur. À protéger jalousement!
<p>Ces données sont croisées avec une notion importante de la loi informatique et liberté:</p>

<h5> Données personnelles:</h5> <p> Toute information qui permet d'être informé sur une personne physique, qu'elle soit interne ou externe à l'entreprise; la loi informatique et liberté (enrichi du RGPD) encadre les droits et devoirs concernant le traitement de ces données.</p>
*Données sensibles (art.9 RGPD) (art.10 RGPD): selon la définition du RGPD, elles caractérisent les personnes par leur appartenance:
** religieuse, philosophique
** ethnique, raciale
** syndicale, politique
** orientation sexuelle
** Santé, biométrique, génétique
** NIR (numéro de sécurité sociale)
** Condamnations pénales & qualifications pénales
L'utilisation est strictement encadrée (interdite dans une grande majorité des cas).<br>
Le responsable du traitement et ses sous-traitants doivent être en mesure de garantir
*la confidentialité
*l'intégrité
*la disponibilité
*la traçabilité

====== Le traitement des données ======
<p>Le fonctionnement de l'entreprise, défini par des valeurs métiers qui pour être effectives, utilise des données qui sont:</p>
*la collecte des données
*l'utilisation des données
*la conservation des données
*le transfert des données
*l'archivage des données
*l'anonymisation des données
*l'effacement des données

====== Finalité du traitement des données ======
*Pourquoi les données sont traitées?

<h6> Base légale du traitement des données</h6>
<p>Bien définir la base légale du traitement n'est pas aisé, mais a une incidence sur les droits des personnes concernées.</p>
*le consentement de la personne concernée
*la nécessité contractuelle
*le respect d'une obligation légale
*la sauvegarde d'intérêts vitaux
*l'exécutif d'une mission d'intérêt public
*les intérêts légitimes du responsable de traitement

<h6>Droits des personnes concernées</h6>
<p>Fonction de la base légale déclarée (peut être redéfinie par un jugement!) les personnes concernées par un traitement de données personnelles peuvent faire valoir leurs droits:</p>
*(art.15 RGPD) Droit d'accés
*(art.16 RGPD) Droit de rectification
*(art.17 RGPD) Droit d'effacement
*(art.18 RGPD) Droit à la limitation des données
*(art.20 RGPD) Droit à la portabilité
*(art.21 RGPD) Droit d'opposition

<h6>Responsable des traitements ou Sous-traitant</h6>
<p>Pas toujours évident de définir le rôle de chacun.</p>
<p>Dépend de nombreuses notions, comme celui qui apporte les moyens ou le taux d'indépendance dans les décisions pour la réalisation du traitement.</p>
<p>Par exemple, un expert comptable peut être soit sous traitant soit responsable du traitement pour un même client, en fonction des missions confiées.</p>
<p>Le contrat de sous-traitance doit suivre les règles édictées par la [https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32021D0915&from=FR DÉCISION D’EXÉCUTION (UE) 2021/915 DE LA COMMISSION du 4 juin 2021 relative aux clauses contractuelles types entre les responsables du traitement et les sous-traitants...]</p>

====== Territorialité des traitements ======
Dans EU - libre circulation

Principe interdiction vers "paradis de données"

(art.45 RGPD) reconnaissance d'adéquation: Andorre -Argentine - Suisse -Canada -iles Féroé -ile de Man -Guernesey -Jersey -Israel -Urugay -New zeland -Islande -Liechtenstein -Norvège

Protection contractuelle (art.46 RGPD): Modèles de contrat définis par Commision Europ.

BCR: Binding Corporate Rules) (art.47 RGPD):

Politique interne d'un groupe pour le traitement des données de façon international. Doit etre validé par un Régulateur local (type cnil) et valable dans toute l'UE.

(art.49 RGPD > exception si non répétitif non systématique - défendant intérêt de la personne concernée - sous conditions

====== Déposer plainte à la CNIL ======
https://www.cnil.fr/fr/adresser-une-plainte

====== Notification d'une violation de données personnelles ======
https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles

====== Sécurity by design ======
L'ensemble des nouveaux traitements doit être mis en place en respectant les notions de traçabilité, confidentialité, intégrité et disponibilité.

Les points suivants sont pris en compte:

*La notion de minimalisation des données traitées est bien respectée.
*Le droit des personnes est respecté.
*les durées de conservation sont bien identifiées.
*L'effacement programmé est effectif.

====== accountability ======
Principe essentiel du RGPD, qui sert à démontrer l'implication du responsable des traitements à respecter et faire respecter tant que possible, la réglementation.

Ainsi la partie "légale" du reglement est une action de compréhension des enjeux de la protection des données personnelles, qui débute par une formation ou une initiation aux concepts déployés.

La partie technique et organisationnelle implique des ressources pour assurer la traçabilité, l'intégrité , la disponibilité et la confidentialité des données personnelles.

Dois je nommer un DPO (délégué à la protection des données )? Si un PIA est demandé, on est dans le cas d'un nombre important de données traitées, le DPO est nécessaire.

Dois je effectuer un PIA (Analyse d'impact)? Pour une Pharmacie, la CNIL définie un seuil de 2,6M€ de chiffre d'affaire annuel au dessus duquel le PIA est demandé.

L'action répressive de la CNIL prend en compte la notion d'accountability , dans sa démarche pour mener un responsable des traitements à respecter la législation.

En cas de problème, suite à une plainte reçue par la CNIL, c'est d'abord et avant tout l'engagement du responsable qui sera pris en compte.

====== Formations ======
Le MOOC de la CNIL : https://atelier-rgpd.cnil.fr

Cultivez vos compétences numériques : https://pix.fr

Pix est le service public en ligne pour évaluer, développer et certifier les compétences numériques.

=== LA CNIL°, l'ANSSI°° & l'Agence du Numérique en Santé°°° ont édité des formulaires d'auto-évaluation, des référentiels et divers outils pour permettre aux entreprises de prendre des mesures de protection et de se conformer à la législation. ===

===== Évaluer le niveau de sécurité des données personnelles de votre organisme (questionnaire de la CNIL) =====
{| class="wikitable"
|Catégories
|Mesures
|[https://drive.proton.me/urls/P6S6434VXM#q4otQKoWZZVt cnil] (guide sécurité personnelle) Fiches
|[https://drive.proton.me/urls/VQSQAXME8C#7YWgBdqs2HW2 Anssi] (Guide hygiène informatique) Fiches
|Ou en est on?
|-
| rowspan="2" |Sensibiliser les utilisateurs
|Informer et sensibiliser les personnes manipulant les données
| rowspan="2" |1
|1 & 2
|
|-
|Rédiger une charte informatique et lui donner une force contraignante
|
|
|-
| rowspan="4" |Authentifier les utilisateurs
|Définir un identifiant (login) unique à chaque utilisateur
| rowspan="4" |2
| rowspan="4" |6 & 8 & 10 & 11
|
|-
|Adopter une politique de mot de passe utilisateur conforme aux recommandations de la CNIL
|
|-
|Obliger l’utilisateur à changer son mot de passe après réinitialisation
|
|-
|Limiter le nombre de tentatives d’accès à un compte
|
|-
| rowspan="3" |Gérer les habilitations
|Définir des profils d’habilitation
| rowspan="3" |3
| rowspan="3" |5 & 7 & 9 & 12
|
|-
|Supprimer les permissions d’accès obsolètes
|
|-
|Réaliser une revue annuelle des habilitations
|
|-
| rowspan="4" |Tracer les accès et gérer les incidents
|Prévoir un système de journalisation
| rowspan="4" |4
| rowspan="4" |4 & 16 & 36 & 40
|
|-
|Informer les utilisateurs de la mise en place du système de journalisation
|
|-
|Protéger les équipements de journalisation et les informations journalisées
|
|-
|Prévoir les procédures pour les notifications de violation de données à caractère personnel
|
|-
| rowspan="4" |Sécuriser les postes de travail
|Prévoir une procédure de verrouillage automatique de session
| rowspan="4" |5
| rowspan="4" |14 & 17 & 29 & 34
|
|-
|Utiliser des antivirus régulièrement mis à jour
|
|-
|Installer un « pare-feu » (firewall) logiciel
|
|-
|Recueillir l’accord de l’utilisateur avant toute intervention sur son poste
|
|-
| rowspan="3" |Sécuriser l'informatique mobile
|Prévoir des moyens de chiffrement des équipements mobiles
| rowspan="3" |6
| rowspan="3" |15 & 30 & 31 & 33
|
|-
|Faire des sauvegardes ou des synchronisations régulières des données
|
|-
|Exiger un secret pour le déverrouillage des smartphones
|
|-
| rowspan="3" |Protéger le réseau informatique interne
|Limiter les flux réseau au strict nécessaire
| rowspan="3" |7
| rowspan="3" |19 & 20 & 21 & 22 & 23 & 32
|
|-
|Sécuriser les accès distants des appareils informatiques nomades par VPN
|
|-
|Mettre en œuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi
|
|-
| rowspan="3" |Sécuriser les serveurs
|Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées
| rowspan="3" |8
| rowspan="3" |26 & 27 &

28
|
|-
|Installer sans délai les mises à jour critiques
|
|-
|Assurer une disponibilité des données
|
|-
| rowspan="4" |Sécuriser les sites web
|Utiliser le protocole TLS et vérifiez sa mise en œuvre
| rowspan="4" |9
|
|
|-
|Vérifier qu'aucun mot de passe ou identifiant ne passe dans les url
|
|
|-
|Contrôler que les entrées des utilisateurs correspondent à ce qui est attendu
|
|
|-
|Mettre un bandeau de consentement pour les cookies non nécessaires au service
|
|
|-
| rowspan="4" |Sauvegarder et prévoir la continuité d'activité
|Effectuer des sauvegardes régulières
| rowspan="4" |10
| rowspan="4" |37
|
|-
|Stocker les supports de sauvegarde dans un endroit sûr
|
|-
|Prévoir des moyens de sécurité pour le convoyage des sauvegardes
|
|-
|Prévoir et tester régulièrement la continuité d'activité
|
|-
| rowspan="2" |Archiver de manière sécurisée
|Mettre en œuvre des modalités d’accès spécifiques aux données archivées
| rowspan="2" |11
|
|
|-
|Détruire les archives obsolètes de manière sécurisée
|
|
|-
| rowspan="3" |Encadrer la maintenance et la destruction des données
|Enregistrer les interventions de maintenance dans une main courante
| rowspan="3" |12
| rowspan="3" |35
|
|-
|Encadrer par un responsable de l’organisme les interventions par des tiers
|
|-
|Effacer les données de tout matériel avant sa mise au rebut
|
|-
| rowspan="3" |Gérer la sous-traitance
|Prévoir une clause spécifique dans les contrats des sous-traitants
| rowspan="3" |13
| rowspan="3" |3 & 35
|
|-
|Prévoir les conditions de restitution et de destruction des données
|
|-
|S’assurer de l'effectivité des garanties prévues (audits de sécurité́, visites, etc.)
|
|-
| rowspan="3" |Sécuriser les échanges avec d'autres organismes
|Chiffrer les données avant leur envoi
| rowspan="3" |14
| rowspan="3" |13 & 18 & 24 & 25
|
|-
|S’assurer qu'il s'agit du bon destinataire
|
|-
|Transmettre le secret lors d'un envoi distinct et via un canal diffèrent
|
|-
| rowspan="2" |Protéger les locaux
|Restreindre les accès aux locaux au moyen de portes verrouillées
| rowspan="2" |15
| rowspan="2" |26
|
|-
|Installer des alarmes anti-intrusion et les vérifier périodiquement
|
|-
| rowspan="3" |Encadrer les développements informatiques
|Proposer des paramètres respectueux de la vie privée aux utilisateurs finaux
| rowspan="3" |16
|
|
|-
|Éviter les zones de commentaires ou les encadrer strictement
|
|
|-
|Tester sur des données fictives ou anonymisées
|
|
|-
| rowspan="2" |Utiliser des fonctions cryptographiques
|Utiliser des algorithmes, des logiciels et des bibliothèques reconnues
| rowspan="2" |17
|
|
|-
|Conserver les secrets et les clés cryptographiques de manière sécurisée
|
|
|}

==== °CNIL Commission nationale de l'informatique et des libertés ====
[https://drive.proton.me/urls/G4DQ7MEDQ8#8UdR18hrPHvn REFERENTIEL OFFICINES DE PHARMACIE]

[https://drive.proton.me/urls/2VAR9CYY0M#BE5JUlhkNxhm REFERENTIEL RESSOURCES HUMAINES]

==== °°ANSSI Agence nationale de la sécurité des systèmes d'information ====
[https://drive.proton.me/urls/3N3MCAEAFW#30hS2vAJ9FpW GUIDE CARTOGRAPHIE DES SYSTEMES D'INFORMATION]

==== °°°PGSSI-S Politique Générale de Sécurité des Systèmes d’Information de Santé ====
[https://drive.proton.me/urls/A1Y6VQW568#09XF5Zkdrbrc Plusieurs guides et notamment un questionnaire pour les fournisseurs (tres important)]

Le site e-santé pour d'autres informations:https://esante.gouv.fr/produits-services/pgssi-s/corpus-documentaire

Accueil

2023-03-17T11:21:39Z

Laurentb :

Données commerciales

2023-03-17T11:08:03Z

Laurentb :

L'ensemble des processus et registres nécessaires à l'accroissement du chiffre d'affaire et de la rentabilité (marketing, network..)

Une entreprise qui développe un réseau commercial sur une plateforme web 2:

La collecte et l'utilisation de données à caractère personnel comme le nom, les habitudes de vie, ou le numéro d'adhérent à une carte de fidélité doit être inscrite au registre des traitements.

* 1- la fiche doit être enregistrée au registre des traitements des données personnelles.
* 2- l'entreprise doit être en mesure de répondre à:
** Pourquoi j'utilise cette méthode?
** Quelle elle la base légale de ce traitement?
** Comment sont conservées les données?
** Combien de temps?
** Comment sont elles supprimées?
** Les données sont traitées hors Europe?
** L'accès frauduleux à ces données présente t-il un risque pour les personnes concernées? (PIA)

{| class="wikitable mw-collapsible mw-collapsed"
|+Les données commerciales
!Finalité
!Base légale
!Données personnelles
!Données sensibles
!Durée de conservation
!Effacement des données
!Transfert hors EU
!Sous traitant
!Destinataire
!Droits des personnes concernées
!Sécurité
(Intégrité & confidentialité)
!Sauvegarde
(Disponibilité)
|-
|Carte de fidélité
|Intérêt légitime
|● '''Identité :''' nom, prénom, date de naissance, sexe, adresse, numéro de téléphone ;
|● '''numéro de sécurité sociale et taux de prise en charge :'''
|
|
|
|
|
|
|
|
|-
|réseaux sociaux
|Intérêt légitime
|● '''Données de connexion :''' IP, adresse mac, cookies…
|pour l’édition des feuilles de soins et la télétransmission aux organismes assurant la gestion du régime obligatoire d’assurance maladie dont dépend le patient ;
|
|
|
|
|
|
|
|
|-
|Gestion de programmes de fidélité (Carte de fidélité)
|Intérêt légitime
|
|'''Santé :'''
|
|
|
|
|
|
|
|
|-
|Site web (hors profilage)
|Intérêt légitime
|● '''adhésion à des organismes d’assurance maladie complémentaires (mutuelles) :'''
|
|
|
|
|
|
|
|
|
|-
|Campagne de communication
|Intérêt légitime
|numéro d’adhérent et taux de prise en charge.
|● Médicaments, produits de santé ou dispositifs médicaux dispensés, posologie, date de l’ordonnance et durée de la prescription ;
|
|
|
|
|
|
|
|
|-
|gestion des contrats (commandes, livraison, fourniture du bien,factures, paiements)
|Contractuel
|'''Informations relatives à la profession dans la stricte limite où elles sont nécessaires à la dispensation :'''
|
|
|
|
|
|
|
|
|
|-
|gestion des réclamations
|Contractuel
|
|● modalités particulières de prise en charge médicale : hospitalisation à domicile, prise en charge dans un réseau de santé ;
|
|
|
|
|
|
|
|
|-
|Réalisation d'actions de prospection commerciale et de marketing (envo de messages publicitaires, jeux concours, parrainage, promotion, sondage)
|Intérêt légitime
|● '''Informations relatives aux habitudes de vie du patient :''' les coordonnées des proches mandatés pour le retrait des produits délivrés peuvent être collectées avec l'accord du patient ;
|
|
|
|
|
|
|
|
|
|-
|
|
|
|● renseignements d’ordre biologique, physiologique et pathologique propres à influencer la réaction du patient aux médicaments ;
|
|
|
|
|
|
|
|
|-
|
|
|● '''identité du prescripteur :''' nom, adresse, numéro d’identification, spécialité, situation conventionnelle.
|
|
|
|
|
|
|
|
|
|-
|
|
|
|● historique des médicaments dispensés, traitements en cours, médecins traitants.
|
|
|
|
|
|
|
|
|}

Données opérationnelles

2023-03-17T10:39:06Z

Laurentb :

L'ensemble des processus et registres nécessaires à la bonne marche opérationnelle de l'entreprise.

<br>Une pharmacie a pour raison d'être de délivrer des dispositifs médicaux , des médicaments, et des conseils à sa clientèle.

Pour réaliser ces taches, les préposés devront collecter, enregistrer, transférer des données à caractères personnel, et souvent des données sensibles.

La clientèle doit connaitre la teneur des traitements réalisés par affichage dans l'officine.

Un affichage A3 peut ressembler à cela:
{| class="wikitable mw-collapsible"
|+AFFICHAGE
| colspan="2" |Conformément au Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
|-
| colspan="2" |'''Informations à l’attention de notre aimable clientèle.'''
|-
| colspan="2" |Les données à caractère personnel sont traitées au cours des diverses opérations menées par « Responsable » qui fait le nécessaire pour :
|-
|
|
* Ne collecter que le minimum requis pour réaliser le traitement.
|-
|
|
* Veiller à ce que les données soient toujours disponibles.
|-
|
|
* En restreindre l’accès qu’aux personnes dument autorisées.
|-
|
|
* Protéger l’intégrité et la sécurité des données.
|-
|
|
* Stocker puis effacer les données en fonction de leur utilité et des obligations légales.
|-
|
|
* Répondre au respect de vos droits.
|-
| colspan="2" |'''Vos droits :'''
|-
| colspan="2" |
* DROIT D’ACCÉS : Vous pouvez accéder aux informations inscrites dans votre dossier. (Art. 15 du RGPD)
|-
| colspan="2" |
* DROIT DE RECTIFICATION : en cas d’erreur constatée, vous pouvez demander la rectification de celle-ci. (Art. 16 du RGPD)
|-
| colspan="2" |
* DROIT D’OPPOSITION & DE LIMITATION : Pour des raisons tenant à votre situation particulière. (Art. 21 & 18 du RGPD)
|-
| colspan="2" |
* DROIT D’EFFACEMENT : Demander l’effacement de vos données (durée de conservation excessive, données non adéquates) (Art. 17 du RGPD)
|-
| colspan="2" |
* DROIT À LA PORTABILITÉ : Demander l’envoi de vos données à un autre prestataire directement. (Art.20 du RGPD)
|-
| colspan="2" |'''Exercer vos droits :'''
|-
|Sur place…
|
|-
|Par courrier…
|
|-
|Par email…
|
|-
| colspan="2" |Vous estimez que « Responsable » n’a pas respecté vos droits: DÉPOSER UNE RÉCLAMATION À LA CNIL: <nowiki>https://www.cnil.fr/fr/plaintes/</nowiki>
|}
{| class="wikitable mw-collapsible"
|
|
|
|
|
|-
|Quand vous entrez dans le champ de la vidéosurveillance
|Quand vous prenez rendez-vous
|Au cours des différents actes de délivrances des médicaments
|Quand le « Responsable » rempli votre dossier pharmaceutique
|Quand le « Responsable » rempli l’ordonnancier
|-
|
* C’est légitime de protéger les personnes et les biens
|
* Contractuel
|Contractuel
|
* Vous avez donné votre consentement
|
* Obligation légale prévu par la loi…
|-
|
* Les images sont conservées 1 mois
|
* Nom, prénom, tél., email sont conservé le temps de l’exécution du contrat
|…
|…
|…
|}
{| class="wikitable mw-collapsible"
|
|
|
|
|
|-
|Quand le « Responsable » vous envoie un SMS vous informant de l’arrivé du produit attendu
|Quand le « Responsable » communique avec le prescripteur de l’ordonnance
|Quand le « Responsable » communique avec les caisses d’assurances
|Quand vous vous inscrivez sur le site web du « responsable »
|Quand vous recevez la newsletter par email
|-
|
* Vous avez donné votre consentement
|
* Sauvegarde de votre intérêt
* Vous avez donné votre consentement
|
* Obligation légale prévu par la loi
|
* Interet légitime du responsable
|
* Interet légitime du responsable
|-
|'''…'''
|…
|…
|…
|…
|}
<br>

L'intégrité, la confidentialité, la disponibilité, et la traçabilité de ces données doivent être garanti d'un niveau de sécurité particulier.<br>Une fiche de traitements (a minima) sera ajouté aux registre des données personnelles exigé par le RGPD.
*1- la fiche doit être enregistrée au registre des traitements des données personnelles.
*2- l'entreprise doit être en mesure de répondre à:
**Pourquoi j'utilise cette méthode?
**Quelle elle la base légale de ce traitement?
**Comment sont conservées les données?
**Combien de temps?
**Comment sont elles supprimées?
**L'accès frauduleux à ces données présente t-il un risque pour les personnes concernées? (PIA)

{| class="wikitable sortable mw-collapsible mw-collapsed centre" style="width:90%;"
|+'''Les données opérationnelles'''
|-
! scope=col| Finalité
! scope=col| Base légale
! scope=col| Données personnelles
! scope=col| Données sensibles
! scope=col| Durée de conservation
! scope=col| Effacement des données
! scope=col| Transfert hors EU
! scope="col" | Sous traitant
!Destinataire
! scope=col| Droits des personnes concernées
! scope="col" | Sécurité
(Intégrité & confidentialité)
!Sauvegarde
(Disponibilité)
|-
|Processus administratif avec les organismes d’assurance maladie
|obligation légale
|● '''Identité :''' nom, prénom, date de naissance, sexe, adresse, numéro de téléphone ;
|● '''numéro de sécurité sociale et taux de prise en charge :''' pour l’édition des feuilles de soins et la
|3 ans après la dernière intervention puis archivées pendant 15 ans, sous réserve de dispositions spécifiques
|
|
|
|
|
|
|
|-
|Gestion du dossier pharmaceutique
|obligation légale
|'''Informations relatives à la profession dans la stricte limite où elles sont nécessaires à la dispensation :'''
|télétransmission aux organismes assurant la gestion du régime obligatoire d’assurance maladie dont dépend
|
|
|
|
|
|
|
|
|-
|Gestion de l’ordonnancier
|obligation légale
|● '''Informations relatives aux habitudes de vie du patient :''' les coordonnées des proches mandatés pour le retrait des produits délivrés peuvent être collectées avec l'accord du patient ;
|'''Santé :'''
|
|
|
|
|
|
|
|
|-
|Gestion de fiches patients
|
|● '''identité du prescripteur :''' nom, adresse, numéro d’identification, spécialité, situation conventionnelle.
|● Médicaments, produits de santé ou dispositifs médicaux dispensés, posologie, date de l’ordonnance et durée de la prescription ;
|
|
|
|
|
|
|
|
|-
|Envoi de SMS (prévenir de la réception d’un produit)
|
|
|● modalités particulières de prise en charge médicale : hospitalisation à domicile, prise en charge dans un réseau de santé ;
|
|
|
|
|
|
|
|
|-
|Gestion de la validité de l’ayant-droit
|
|
|● renseignements d’ordre biologique, physiologique et pathologique propres à influencer la réaction du patient aux médicaments ;
|
|
|
|
|
|
|
|
|-
|Gestion du matériel de location
|
|
|● historique des médicaments dispensés, traitements en cours, médecins traitants.
|
|
|
|
|
|
|
|
|-
|Préparation des doses à administrer
|
|
|
|
|
|
|
|
|
|
|
|-
|Gestion des Fiches conseil
|
|
|
|
|
|
|
|
|
|
|
|-
|Suggestion de vente ou suggestion de conseils
|
|
|
|
|
|
|
|
|
|
|
|-
|Entretien pharmaceutique
|
|
|
|
|
|
|
|
|
|
|
|-
|Externalisation du tiers payant
|
|
|
|
|
|
|
|
|
|
|
|-
|Distributeur automatique
|
|
|
|
|
|
|
|
|
|
|
|-
|Applications pour telephones mobiles
|
|
|
|
|
|
|
|
|
|
|
|-
|Pharmacovigilance
|
|
|
|
|
|
|
|
|
|
|
|-
|Annuaire des fournisseurs
|
|
|
|
|
|
|
|
|
|
|
|-
|Gestion des stock (utilisation de pharmaML)
|
|
|
|
|
|
|
|
|
|
|
|-
|Achat par groupement
|
|
|
|
|
|
|
|
|
|
|
|-
|
|
|
|
|
|
|
|
|
|
|
|
|}

Un simple registre comme le tableau ci-dessus permet de répondre en partie aux obligations décrites dans la loi informatique et liberté, en ce qui concerne la tenue d'un registre des activités de traitement de données à caractère personnel.

Données opérationnelles

2023-03-17T10:37:33Z

Laurentb :

L'ensemble des processus et registres nécessaires à la bonne marche opérationnelle de l'entreprise.

<br>Une pharmacie a pour raison d'être de délivrer des dispositifs médicaux , des médicaments, et des conseils à sa clientèle.

Pour réaliser ces taches, les préposés devront collecter, enregistrer, transférer des données à caractères personnel, et souvent des données sensibles.

La clientèle doit connaitre la teneur des traitements réalisés par affichage dans l'officine.

Un affichage A3 peut ressembler à cela:
{| class="wikitable mw-collapsible"
|+AFFICHAGE
| colspan="4" |Conformément au Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
|-
| colspan="4" |'''Informations à l’attention de notre aimable clientèle.'''
|-
| colspan="4" |Les données à caractère personnel sont traitées au cours des diverses opérations menées par « Responsable » qui fait le nécessaire pour :
|-
|
| colspan="3" |
* Ne collecter que le minimum requis pour réaliser le traitement.
|-
|
| colspan="3" |
* Veiller à ce que les données soient toujours disponibles.
|-
|
| colspan="3" |
* En restreindre l’accès qu’aux personnes dument autorisées.
|-
|
| colspan="3" |
* Protéger l’intégrité et la sécurité des données.
|-
|
| colspan="3" |
* Stocker puis effacer les données en fonction de leur utilité et des obligations légales.
|-
|
| colspan="3" |
* Répondre au respect de vos droits.
|-
| colspan="4" |'''Vos droits :'''
|-
| colspan="4" |
* DROIT D’ACCÉS : Vous pouvez accéder aux informations inscrites dans votre dossier. (Art. 15 du RGPD)
|-
| colspan="4" |
* DROIT DE RECTIFICATION : en cas d’erreur constatée, vous pouvez demander la rectification de celle-ci. (Art. 16 du RGPD)
|-
| colspan="4" |
* DROIT D’OPPOSITION & DE LIMITATION : Pour des raisons tenant à votre situation particulière. (Art. 21 & 18 du RGPD)
|-
| colspan="4" |
* DROIT D’EFFACEMENT : Demander l’effacement de vos données (durée de conservation excessive, données non adéquates) (Art. 17 du RGPD)
|-
| colspan="4" |
* DROIT À LA PORTABILITÉ : Demander l’envoi de vos données à un autre prestataire directement. (Art.20 du RGPD)
|-
| colspan="4" |'''Exercer vos droits :'''
|-
|Sur place…
|
|
|
|-
|Par courrier…
|
|
|
|-
|Par email…
|
|
|
|-
| colspan="4" |Vous estimez que « Responsable » n’a pas respecté vos droits: DÉPOSER UNE RÉCLAMATION À LA CNIL: <nowiki>https://www.cnil.fr/fr/plaintes/</nowiki>
|}
{| class="wikitable mw-collapsible"
|
|
|
|
|
|-
|Quand vous entrez dans le champ de la vidéosurveillance
|Quand vous prenez rendez-vous
|Au cours des différents actes de délivrances des médicaments
|Quand le « Responsable » rempli votre dossier pharmaceutique
|Quand le « Responsable » rempli l’ordonnancier
|-
|
* C’est légitime de protéger les personnes et les biens
|
* Contractuel
|Contractuel
|
* Vous avez donné votre consentement
|
* Obligation légale prévu par la loi…
|-
|
* Les images sont conservées 1 mois
|
* Nom, prénom, tél., email sont conservé le temps de l’exécution du contrat
|…
|…
|…
|}
{| class="wikitable mw-collapsible"
|
|
|
|
|
|-
|Quand le « Responsable » vous envoie un SMS vous informant de l’arrivé du produit attendu
|Quand le « Responsable » communique avec le prescripteur de l’ordonnance
|Quand le « Responsable » communique avec les caisses d’assurances
|Quand vous vous inscrivez sur le site web du « responsable »
|Quand vous recevez la newsletter par email
|-
|
* Vous avez donné votre consentement
|
* Sauvegarde de votre intérêt
* Vous avez donné votre consentement
|
* Obligation légale prévu par la loi
|
* Interet légitime du responsable
|
* Interet légitime du responsable
|-
|'''…'''
|…
|…
|…
|…
|}
<br>

L'intégrité, la confidentialité, la disponibilité, et la traçabilité de ces données doivent être garanti d'un niveau de sécurité particulier.<br>Une fiche de traitements (a minima) sera ajouté aux registre des données personnelles exigé par le RGPD.
*1- la fiche doit être enregistrée au registre des traitements des données personnelles.
*2- l'entreprise doit être en mesure de répondre à:
**Pourquoi j'utilise cette méthode?
**Quelle elle la base légale de ce traitement?
**Comment sont conservées les données?
**Combien de temps?
**Comment sont elles supprimées?
**L'accès frauduleux à ces données présente t-il un risque pour les personnes concernées? (PIA)

{| class="wikitable sortable mw-collapsible mw-collapsed centre" style="width:90%;"
|+'''Les données opérationnelles'''
|-
! scope=col| Finalité
! scope=col| Base légale
! scope=col| Données personnelles
! scope=col| Données sensibles
! scope=col| Durée de conservation
! scope=col| Effacement des données
! scope=col| Transfert hors EU
! scope="col" | Sous traitant
!Destinataire
! scope=col| Droits des personnes concernées
! scope="col" | Sécurité
(Intégrité & confidentialité)
!Sauvegarde
(Disponibilité)
|-
|Processus administratif avec les organismes d’assurance maladie
|obligation légale
|● '''Identité :''' nom, prénom, date de naissance, sexe, adresse, numéro de téléphone ;
|● '''numéro de sécurité sociale et taux de prise en charge :''' pour l’édition des feuilles de soins et la
|3 ans après la dernière intervention puis archivées pendant 15 ans, sous réserve de dispositions spécifiques
|
|
|
|
|
|
|
|-
|Gestion du dossier pharmaceutique
|obligation légale
|'''Informations relatives à la profession dans la stricte limite où elles sont nécessaires à la dispensation :'''
|télétransmission aux organismes assurant la gestion du régime obligatoire d’assurance maladie dont dépend
|
|
|
|
|
|
|
|
|-
|Gestion de l’ordonnancier
|obligation légale
|● '''Informations relatives aux habitudes de vie du patient :''' les coordonnées des proches mandatés pour le retrait des produits délivrés peuvent être collectées avec l'accord du patient ;
|'''Santé :'''
|
|
|
|
|
|
|
|
|-
|Gestion de fiches patients
|
|● '''identité du prescripteur :''' nom, adresse, numéro d’identification, spécialité, situation conventionnelle.
|● Médicaments, produits de santé ou dispositifs médicaux dispensés, posologie, date de l’ordonnance et durée de la prescription ;
|
|
|
|
|
|
|
|
|-
|Envoi de SMS (prévenir de la réception d’un produit)
|
|
|● modalités particulières de prise en charge médicale : hospitalisation à domicile, prise en charge dans un réseau de santé ;
|
|
|
|
|
|
|
|
|-
|Gestion de la validité de l’ayant-droit
|
|
|● renseignements d’ordre biologique, physiologique et pathologique propres à influencer la réaction du patient aux médicaments ;
|
|
|
|
|
|
|
|
|-
|Gestion du matériel de location
|
|
|● historique des médicaments dispensés, traitements en cours, médecins traitants.
|
|
|
|
|
|
|
|
|-
|Préparation des doses à administrer
|
|
|
|
|
|
|
|
|
|
|
|-
|Gestion des Fiches conseil
|
|
|
|
|
|
|
|
|
|
|
|-
|Suggestion de vente ou suggestion de conseils
|
|
|
|
|
|
|
|
|
|
|
|-
|Entretien pharmaceutique
|
|
|
|
|
|
|
|
|
|
|
|-
|Externalisation du tiers payant
|
|
|
|
|
|
|
|
|
|
|
|-
|Distributeur automatique
|
|
|
|
|
|
|
|
|
|
|
|-
|Applications pour telephones mobiles
|
|
|
|
|
|
|
|
|
|
|
|-
|Pharmacovigilance
|
|
|
|
|
|
|
|
|
|
|
|-
|Annuaire des fournisseurs
|
|
|
|
|
|
|
|
|
|
|
|-
|Gestion des stock (utilisation de pharmaML)
|
|
|
|
|
|
|
|
|
|
|
|-
|Achat par groupement
|
|
|
|
|
|
|
|
|
|
|
|-
|
|
|
|
|
|
|
|
|
|
|
|
|}

Un simple registre comme le tableau ci-dessus permet de répondre en partie aux obligations décrites dans la loi informatique et liberté, en ce qui concerne la tenue d'un registre des activités de traitement de données à caractère personnel.

Données opérationnelles

2023-03-17T10:37:02Z

Laurentb :

L'ensemble des processus et registres nécessaires à la bonne marche opérationnelle de l'entreprise.

<br>Une pharmacie a pour raison d'être de délivrer des dispositifs médicaux , des médicaments, et des conseils à sa clientèle.

Pour réaliser ces taches, les préposés devront collecter, enregistrer, transférer des données à caractères personnel, et souvent des données sensibles.

La clientèle doit connaitre la teneur des traitements réalisés par affichage dans l'officine.

Un affichage A3 peut ressembler à cela:
{| class="wikitable mw-collapsible"
|+AFFICHAGE
| colspan="4" |Conformément au Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
|-
| colspan="4" |'''Informations à l’attention de notre aimable clientèle.'''
|-
| colspan="4" |Les données à caractère personnel sont traitées au cours des diverses opérations menées par « Responsable » qui fait le nécessaire pour :
|-
|
| colspan="3" |
* Ne collecter que le minimum requis pour réaliser le traitement.
|-
|
| colspan="3" |
* Veiller à ce que les données soient toujours disponibles.
|-
|
| colspan="3" |
* En restreindre l’accès qu’aux personnes dument autorisées.
|-
|
| colspan="3" |
* Protéger l’intégrité et la sécurité des données.
|-
|
| colspan="3" |
* Stocker puis effacer les données en fonction de leur utilité et des obligations légales.
|-
|
| colspan="3" |
* Répondre au respect de vos droits.
|-
| colspan="4" |'''Vos droits :'''
|-
| colspan="4" |
* DROIT D’ACCÉS : Vous pouvez accéder aux informations inscrites dans votre dossier. (Art. 15 du RGPD)
|-
| colspan="4" |
* DROIT DE RECTIFICATION : en cas d’erreur constatée, vous pouvez demander la rectification de celle-ci. (Art. 16 du RGPD)
|-
| colspan="4" |
* DROIT D’OPPOSITION & DE LIMITATION : Pour des raisons tenant à votre situation particulière. (Art. 21 & 18 du RGPD)
|-
| colspan="4" |
* DROIT D’EFFACEMENT : Demander l’effacement de vos données (durée de conservation excessive, données non adéquates) (Art. 17 du RGPD)
|-
| colspan="4" |
* DROIT À LA PORTABILITÉ : Demander l’envoi de vos données à un autre prestataire directement. (Art.20 du RGPD)
|-
| colspan="4" |'''Exercer vos droits :'''
|-
|Sur place…
|
|
|
|-
|Par courrier…
|
|
|
|-
|Par email…
|
|
|
|-
| colspan="4" |Vous estimez que « Responsable » n’a pas respecté vos droits: DÉPOSER UNE RÉCLAMATION À LA CNIL: <nowiki>https://www.cnil.fr/fr/plaintes/</nowiki>
|}
{| class="wikitable"
|
|
|
|
|
|-
|Quand vous entrez dans le champ de la vidéosurveillance
|Quand vous prenez rendez-vous
|Au cours des différents actes de délivrances des médicaments
|Quand le « Responsable » rempli votre dossier pharmaceutique
|Quand le « Responsable » rempli l’ordonnancier
|-
|
* C’est légitime de protéger les personnes et les biens
|
* Contractuel
|Contractuel
|
* Vous avez donné votre consentement
|
* Obligation légale prévu par la loi…
|-
|
* Les images sont conservées 1 mois
|
* Nom, prénom, tél., email sont conservé le temps de l’exécution du contrat
|…
|…
|…
|}
{| class="wikitable mw-collapsible"
|
|
|
|
|
|-
|Quand le « Responsable » vous envoie un SMS vous informant de l’arrivé du produit attendu
|Quand le « Responsable » communique avec le prescripteur de l’ordonnance
|Quand le « Responsable » communique avec les caisses d’assurances
|Quand vous vous inscrivez sur le site web du « responsable »
|Quand vous recevez la newsletter par email
|-
|
* Vous avez donné votre consentement
|
* Sauvegarde de votre intérêt
* Vous avez donné votre consentement
|
* Obligation légale prévu par la loi
|
* Interet légitime du responsable
|
* Interet légitime du responsable
|-
|'''…'''
|…
|…
|…
|…
|}
<br>

L'intégrité, la confidentialité, la disponibilité, et la traçabilité de ces données doivent être garanti d'un niveau de sécurité particulier.<br>Une fiche de traitements (a minima) sera ajouté aux registre des données personnelles exigé par le RGPD.
*1- la fiche doit être enregistrée au registre des traitements des données personnelles.
*2- l'entreprise doit être en mesure de répondre à:
**Pourquoi j'utilise cette méthode?
**Quelle elle la base légale de ce traitement?
**Comment sont conservées les données?
**Combien de temps?
**Comment sont elles supprimées?
**L'accès frauduleux à ces données présente t-il un risque pour les personnes concernées? (PIA)

{| class="wikitable sortable mw-collapsible mw-collapsed centre" style="width:90%;"
|+'''Les données opérationnelles'''
|-
! scope=col| Finalité
! scope=col| Base légale
! scope=col| Données personnelles
! scope=col| Données sensibles
! scope=col| Durée de conservation
! scope=col| Effacement des données
! scope=col| Transfert hors EU
! scope="col" | Sous traitant
!Destinataire
! scope=col| Droits des personnes concernées
! scope="col" | Sécurité
(Intégrité & confidentialité)
!Sauvegarde
(Disponibilité)
|-
|Processus administratif avec les organismes d’assurance maladie
|obligation légale
|● '''Identité :''' nom, prénom, date de naissance, sexe, adresse, numéro de téléphone ;
|● '''numéro de sécurité sociale et taux de prise en charge :''' pour l’édition des feuilles de soins et la
|3 ans après la dernière intervention puis archivées pendant 15 ans, sous réserve de dispositions spécifiques
|
|
|
|
|
|
|
|-
|Gestion du dossier pharmaceutique
|obligation légale
|'''Informations relatives à la profession dans la stricte limite où elles sont nécessaires à la dispensation :'''
|télétransmission aux organismes assurant la gestion du régime obligatoire d’assurance maladie dont dépend
|
|
|
|
|
|
|
|
|-
|Gestion de l’ordonnancier
|obligation légale
|● '''Informations relatives aux habitudes de vie du patient :''' les coordonnées des proches mandatés pour le retrait des produits délivrés peuvent être collectées avec l'accord du patient ;
|'''Santé :'''
|
|
|
|
|
|
|
|
|-
|Gestion de fiches patients
|
|● '''identité du prescripteur :''' nom, adresse, numéro d’identification, spécialité, situation conventionnelle.
|● Médicaments, produits de santé ou dispositifs médicaux dispensés, posologie, date de l’ordonnance et durée de la prescription ;
|
|
|
|
|
|
|
|
|-
|Envoi de SMS (prévenir de la réception d’un produit)
|
|
|● modalités particulières de prise en charge médicale : hospitalisation à domicile, prise en charge dans un réseau de santé ;
|
|
|
|
|
|
|
|
|-
|Gestion de la validité de l’ayant-droit
|
|
|● renseignements d’ordre biologique, physiologique et pathologique propres à influencer la réaction du patient aux médicaments ;
|
|
|
|
|
|
|
|
|-
|Gestion du matériel de location
|
|
|● historique des médicaments dispensés, traitements en cours, médecins traitants.
|
|
|
|
|
|
|
|
|-
|Préparation des doses à administrer
|
|
|
|
|
|
|
|
|
|
|
|-
|Gestion des Fiches conseil
|
|
|
|
|
|
|
|
|
|
|
|-
|Suggestion de vente ou suggestion de conseils
|
|
|
|
|
|
|
|
|
|
|
|-
|Entretien pharmaceutique
|
|
|
|
|
|
|
|
|
|
|
|-
|Externalisation du tiers payant
|
|
|
|
|
|
|
|
|
|
|
|-
|Distributeur automatique
|
|
|
|
|
|
|
|
|
|
|
|-
|Applications pour telephones mobiles
|
|
|
|
|
|
|
|
|
|
|
|-
|Pharmacovigilance
|
|
|
|
|
|
|
|
|
|
|
|-
|Annuaire des fournisseurs
|
|
|
|
|
|
|
|
|
|
|
|-
|Gestion des stock (utilisation de pharmaML)
|
|
|
|
|
|
|
|
|
|
|
|-
|Achat par groupement
|
|
|
|
|
|
|
|
|
|
|
|-
|
|
|
|
|
|
|
|
|
|
|
|
|}

Un simple registre comme le tableau ci-dessus permet de répondre en partie aux obligations décrites dans la loi informatique et liberté, en ce qui concerne la tenue d'un registre des activités de traitement de données à caractère personnel.

2023-03-16T14:16:51Z

Laurentb :

Accueil

2023-03-16T11:14:54Z

Laurentb :

2023-03-02T22:37:54Z

Laurentb : Page créée avec «  L'ensemble des processus et registres nécessaires à l'accroissement du chiffre d'affaire et de la rentabilité (marketing, network..) Prenons l'exemple suivant: Une entreprise qui développe un réseau commercial sur une plateforme web 2: La collecte et l'utilisation de données à caractère personnel comme le nom, les habitudes de vie, ou le numéro d'adhérent à une carte de fidélité doit être inscrite au registre des traitements. * 1- la fiche do... »

Données opérationnelles