L’arrêté du 20 juin 2013 fixe les bonnes pratiques de dispensation des médicaments par voie électronique (pharmacie en ligne, e-pharmacie).
Le 16 mars 2015, le Conseil d’Etat a annulé cet arrêté, sans remettre en cause la pertinence des bonnes pratiques, mais en invoquant les défauts de la forme prise par l’arrêté (absence de présentation devant la Commission Européenne, règles dépassant les prérogatives accordé au ministre par la loi).
Un nouvel arrêté sera rédigé car il est prévu à l’article R 4235-18 du code de la santé publique. Le ministère de la Santé aura 1 an pour produire ce nouveau texte.
Cette annulation ne remet pas en cause la sensibilité des données de santé à caractère personnel, la sécurité de ces données doit être assurée par les responsables de traitement.
Quels textes restent applicables ?
Avoir recours à un hébergeur agréé
Une pharmacie en ligne (ou e-pharmacie) collecte des données de santé à caractère personnel (noms, prénoms, coordonnées, médicaments achetés, conseils, etc.). Si elle choisit de faire héberger son site, l’hébergement de ce dernier doit être réalisé par un hébergeur agréé, conformément aux dispositions des articles L1111-8 et R1111-9 et suivants du code de la santé publique, dont sont extraits
les textes suivants :
« La détention et le traitement sur des supports informatiques de données de santé à caractère personnel par des professionnels de santé [i.e. Pharmacien], des établissements de santé ou des hébergeurs de données de santé à caractère personnel sont subordonnés à l'utilisation de systèmes d’information conformes aux prescriptions adoptées en application de l'article L. 1110-4 et aux référentiels d'interopérabilité et de sécurité arrêtés par le ministre chargé de la santé après avis du groupement mentionné à l'article L. 1111-24. »
« Les professionnels de santé [i.e. Pharmacien] ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées [i.e. GRITA] à cet effet. »
Ces articles du Code de la Santé Publique sont applicables indépendamment de l’annulation de l’arrêté du 20 juin 2013.
Conclusion
Une pharmacie doit avoir recours à un hébergeur agréé pour héberger son site de vente en ligne de médicaments, sauf si elle ne procède pas à la collecte de données de santé à caractère personnel (ex : vente exclusive de produits de parapharmacie).
Mettre en place un moyen d’authentification forte pour l’accès aux données de santé
Au regard du caractère sensible des données de santé à caractère personnel, l’accès de tout acteur aux données de santé doit être réalisé de façon sécurisée (article L 1110-4 du code de la santé publique qui dispose que le patient a droit au respect de sa vie privée et du secret des informations la concernant).
Accès pour les professionnels de santé
L’article R1110-37 du Code de la Santé Publique rend l’utilisation de la CPS obligatoire « en cas d'accès par des professionnels de santé aux informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique ». L’article L 1110-4 introduit quant à lui la notion de « dispositif équivalent agréé par [l’ASIP] ». Il n’existe pas actuellement de liste de dispositifs équivalents agréés. Cependant, la CPS étant un dispositif d’authentification forte, seul un autre dispositif d’authentification forte saurait le remplacer.
Accès pour les patients
Il est impératif d’utiliser un moyen d’authentification forte afin de préserver la sécurité des accès pour les patients8. L’ASIP propose deux exemples qui peuvent être mis en œuvre dans sa FAQ :
- Utilisation d’un identifiant/mot de passe associé à un mot de passe à usage unique (OTP = One Time Password) envoyé par mail ou SMS ;
- Utilisation d’un certificat électronique de type carte à puce.
GRITA a choisi de proposer, dans le cadre de son agrément, une solution d’authentification forte par
génération d’un code à usage unique (OTP – One Time Password) après renseignement d’un identifiant et d’un mot de passe par l’utilisateur. Ce service peut être fourni dans le cas où une e-pharmacie ne dispose
pas déjà de son propre moyen d’authentification forte.
Conclusion
L’annulation de l’arrêté du 20 juin 2013 n’implique en aucun cas une dégradation des mesures de protection de l’accès aux données de santé.
Un moyen d’authentification forte doit être mis en œuvre pour accéder aux données, sauf si la pharmacie en ligne ne procède pas à la collecte de données de santé à caractère personnel (ex : vente exclusive de produits de parapharmacie).
Article rédigé par les experts du Pôle Sécurité et Conformité de Claranet