L’introduction des automates, des logiciels ou encore de l’intelligence artificielle au sein des PUI va de pair avec le renforcement de la responsabilité des pharmaciens, « dont ils n’ont pas forcément toujours conscience », pointe Maître Alain Bensoussan, avocat au barreau de Paris et spécialiste du droit des technologies avancées. Celui-ci soulève d’ailleurs trois éléments de réflexion à prendre en compte, à commencer par la robustesse des automates et des autres technologies intelligentes introduites au sein des PUI, « ce qui a tendance à minimiser, aux yeux des pharmaciens, les risques qu’ils induisent ». Par ailleurs, les pharmaciens ont souvent tendance à considérer que les automates sont en quelque sorte « figés ». « Ils ne perçoivent pas toujours que la mise à jour logicielle n’a pas été assurée et ne font donc pas de contrôle », précise l’avocat qui ajoute : « Les fabricants n’assurant pas, la plupart du temps, ce contrôle, les professionnels de santé restent alors dans l’idée que l’automate est opérationnel et leur vigilance est moindre. » Enfin, les pharmaciens hospitaliers estiment n’avoir qu’une obligation de moyen alors qu’ils doivent répondre à une obligation de résultat.

La démarche de déclaration à suivre en cas de défaut d’un automate

Dans le cadre de son exercice, le pharmacien hospitalier est soumis à une obligation de vigilance. S’il se rend compte que l’automate n’a pas transféré les bonnes informations dans les bons délais, que le fichier n’a pas été correctement envoyé ou encore de l’existence d’une erreur dans le dosage, sa première réaction consiste à limiter immédiatement les effets. « Il faut donc arrêter l’usage de l’automate et prendre des mesures correctives », explique Alain Bensoussan. Il doit également effectuer des déclarations auprès des autorités compétentes afin d’éviter que d’autres établissements, détenteurs des mêmes automates, traversent les mêmes difficultés.

La déclaration à l’ANSM et à l’ARS

Cette obligation légale de signaler des incidents de sécurité informatique est prévue à l’article L.1111-8-2 du Code de la santé publique (CSP), lequel est complété par les articles D.1111-16-2 à D.1111-16-4 du CSP.

L’article D.1111-16-2, II, du CSP prévoit les incidents concernés :

• les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ;
• les incidents ayant des conséquences sur la confidentialité ou l’intégrité des données de santé ;
• les incidents portant atteinte au fonctionnement normal de l’établissement, de l’organisme ou du service ;
• les incidents ayant un retentissement potentiel ou avéré sur l’organisation départementale, régionale ou nationale du système de santé ;
• les incidents susceptibles de toucher d’autres établissements, organismes ou services.

Le pharmacien doit tout d’abord déclarer l’incident grave impliquant le dispositif médical à l’Agence nationale de sécurité du médicament et des produits de santé (ANSM). En cas de refus de la déclaration par l’ANSM, Maître Bensoussan conseille de garder la preuve du refus et de malgré tout continuer à effectuer les déclarations, « car les pharmaciens auront toujours la charge de la preuve », précise-t-il.
Le pharmacien doit également déclarer tous les autres incidents suspectés d’être dus à un dispositif et dont il a connaissance, au fabricant, afin que celui-ci puisse exercer ses activités de surveillance après commercialisation.
Enfin, qu’il y ait ou non usage d’un dispositif médical, le pharmacien hospitalier doit déclarer à son Agence régionale de santé (ARS) tout incident grave associé à des soins, dans le cadre de soins réalisés lors d’investigations ou de traitements.
Pour effectuer cette démarche, les pharmaciens doivent se connecter au portail dédié sur le site du ministère de la Santé.

La déclaration à la Cnil

En cas de fuite de données, le pharmacien hospitalier est dans l’obligation de notifier l’événement aux organismes de régulations de la profession ainsi qu’à la Commission nationale de l’informatique et des libertés (Cnil). Comme l’explique le Règlement général pour la protection des données (RGPD), la « violation de données à caractère personnel est une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».
« Les pharmaciens pensent souvent que cette déclaration relève de la responsabilité de la Direction des systèmes d’information (DSI), mais les automates sont sous leur direction intellectuelle, rappelle Alain Bensoussan. Ce sont donc à eux d’effectuer la déclaration. » Cette obligation est prévue à l’article 33 du RGPD et doit être effectuée dans les 72 heures qui suivent la prise de connaissance de l’incident sur le portail dédié.