Sans se prononcer sur le fait du bien-fondé pour le prestataire de demander des ordonnances, il y a ici traitement de données personnelles. En effet le croisement du fichier des régimes (anonyme) avec les ordonnances (par essence nominatives) présente un risque d’impact fort. Au delà du traitement de données personnelles, ce sont ici des données sensibles (données de santé) qui sont traitées. La responsabilité du prestataire est ici engagée de même que celle de l’organisme gestionnaire. Il y a lieu de procéder à une étude d’impact et de revoir le contrat qui lie l’organisme gestionnaire avec le prestataire pour s’assurer de sa conformité avec le RGPD (cf. articles 26, 28 et considérant 79 du RGPD).