Les affaires de cybercriminalité ciblant les données médicales se sont multipliées ces dernières années. En témoigne la récente fuite d’un fichier comportant les données de près de 500 000 patients en France. Adresse postale, téléphone, numéro de Sécurité sociale, groupe sanguin, traitements, pathologies… Ces données hautement sensibles, provenant d’un logiciel de saisie de renseignements médico-administratifs d’une trentaine de laboratoires de biologie médicale, se sont retrouvées en libre accès sur les forums et les réseaux sociaux.
Les officines ne sont pas épargnées par ces cyberattaques*. Elles recèlent de trésors. Dans le cadre de la dispensation, des entretiens pharmaceutiques, de la livraison à domicile, de la gestion du tiers payant ou de la relation avec ses prestataires, le pharmacien est, en effet, amené à collecter de nombreux renseignements concernant ses patients. Il utilise chaque jour des logiciels d’aide à la dispensation contenant une pléthore de données de santé. « Ces logiciels sont « ouverts » à de nombreux intervenants. Les pharmaciens ont, par exemple, des liens informatisés avec les grossistes, les dépositaires, les laboratoires pharmaceutiques, les groupements, l’assurance maladie… Toutes ces relations sont autant de portes ouvertes favorisant le vol de données par des pseudo-organisations ou coopératives souhaitant « entrer » dans l’ordinateur des pharmaciens sans payer les extracteurs de données », souligne un expert des logiciels dédiés aux professionnels de santé. Concentré sur son cœur de métier et sollicité par ses nouvelles missions, le pharmacien n’est pas un expert en informatique, ni en gestion de données. « Il n’est pas assez armé pour se défendre et sécuriser ses données. Il peut donc se laisser piéger. Il doit se préoccuper davantage de cette question. Certes, à l’échelle d’une officine, les données de santé ne valent pas grand-chose. Mais lorsqu’elles sont partagées en grand nombre, elles ont de la valeur. En France, le marché de la pharmacie pèse plus de 20 milliards d’euros et les données qu’elle traite sont très attractives », poursuit-il.
Le pharmacien, gardien des données de patients
Trois grands types de données sont conservés à l’officine. Dans son ordonnancier numérique, le pharmacien tient tout d’abord le registre des délivrances de médicaments issus de prescriptions médicales. Mais aussi, des dispensations de médicaments non soumis à prescription médicale obligatoire. Dans son « journal de caisse », il collecte, par ailleurs, l’historique des ventes des produits de santé (parapharmacie, cosmétique, compléments alimentaires…). D’autres données plus récentes et sensibles doivent, en outre, être intégrées dans le dossier pharmaceutique (DP). Celles relatives aux services de santé : entretiens pharmaceutiques, vaccination, dépistages… « À partir du moment où ces trois types de données sont saisis et conservées, il est possible d’en faire des exports pour des motifs divers et variés. Mais cela, dans le respect du règlement général sur la protection des données (RGPD) », indique Philippe Besset, président de la Fédération des syndicats pharmaceutiques de France (FSPF). Le pharmacien exporte certaines données pour les besoins de l’assurance-maladie (remboursement, tiers payant…). Par le biais du dossier pharmaceutique, l’officinal a également accès aux données de dispensation des autres pharmacies.
Des échanges de bons procédés entre l’officinal et les data brokers…
Le pharmacien peut signer des contrats de partenariat avec les data brokers (tels que le GERS ou Ospharm) afin de leur fournir des données relatives à leurs ventes de médicaments et autres produits de santé. Les pharmaciens ne sont pas rémunérés lorsqu’ils transmettent ces données. Mais en contrepartie, les data brokers produisent des études de marché qu’ils communiquent aux officinaux. « Ces études aident les officines à améliorer la gestion de leurs achats et de leurs ventes et à se comparer aux pharmacies concurrentes. Elles nous permettent aussi de disposer de données fiables pour négocier avec l’assurance maladie », explique Gilles Bonnefond, président de l’Union des syndicats de pharmaciens d’officine (USPO). Les données économiques sont également cruciales pour les groupements et leurs syndicats. « Ces données nous ont, par exemple, permis d’apprendre que 85 % des tests antigéniques et plus d’un tiers des vaccins antigrippaux ont été réalisés par les pharmaciens. Ces informations sont importantes pour les groupements qui les relayent, à leur tour, aux officines. Elles nous permettent aussi, en tant que syndicat de pouvoir piloter des discussions avec les pouvoirs publics », affirme Alain Grollaud, président du syndicat des groupements et enseignes de pharmacies Federgy.
… mais aussi, un trafic frauduleux
Si les data brokers ne vendent pas leurs études aux pharmaciens, ils commercialisent les données collectées aux entreprises du monde de la santé, et notamment aux laboratoires pharmaceutiques. Parfois à prix d’or. En outre, selon Philippe Besset, « certains data brokers profitent de la crédulité du pharmacien pour s’introduire dans son logiciel de gestion officine (LGO). Aussi incroyable que cela puisse paraître, l’officinal se retrouve alors à installer lui-même un cheval de Troie sur son ordinateur permettant au data broker une prise de contrôle à distance de son logiciel ! ». En matière de transmission de données entre le pharmacien et le data broker, d’autres points mériteraient d’être clarifiés. « Ce sont les éditeurs de LGO qui donnent l’autorisation aux datas brokers d’effectuer les extractions de données. Celles-ci ne doivent jamais se faire de façon automatique, sans que le pharmacien en soit informé. L’extraction de ces données doit être conforme au RGPD et connue par la Commission nationale de l’informatique et des libertés (CNIL) », insiste Gilles Bonnefond.
Par ailleurs, difficile de savoir, aujourd’hui, si les données extraites par les data brokers sont bien celles qui sont mentionnées dans les contrats qui les lie aux pharmaciens. Pour protéger les pharmaciens, l’USPO et la FSPF ont choisi d’être partenaires du projet Pharmastat d’IQVIA (lire l’interview de Dimitri Guillot). Enfin, d’après Laurent Filoche, président de l’Union des groupements de pharmaciens d’officine (UDGPO), outre les data brokers, certains éditeurs de LGO se servent également des données du pharmacien pour les revendre aux laboratoires pharmaceutiques. Or ces données sont très sensibles et sont souvent collectées à son insu. Le pharmacien n’a pas toujours conscience de la valeur des données qu’il collecte. « À l’avenir, il faudra qu’il se les réapproprie et qu’il en touche les dividendes », conclut-il.
* Lire également notre édition du 5 février.