La Cnil adopte un référentiel sur le traitement des données dans le champ social
Publié ce 23 mars au Journal officiel, ce référentiel très détaillé de la Cnil s'adresse à l'ensemble des organismes "qui accueillent, hébergent ou accompagnent sur le plan social et/ou médicosocial les personnes âgées, les personnes en situation de handicap et celles en difficulté". Il permet "d'assurer la conformité des traitements de données" à caractère personnel par rapport, entre autres, au RGPD.
Le Journal officiel du 23 mars 2021 publie un référentiel de la Cnil (Commission nationale de l'informatique et des libertés) "relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de l'accueil, l'hébergement et l'accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap et de celles en difficulté". Ce référentiel, adopté par une délibération de la Cnil en date du 11 mars, s'inscrit dans le cadre du RGPD (règlement général sur la protection des données), entré en vigueur le 25 mai 2018. Il s'agit en l'occurrence de mettre les règles antérieures en conformité avec celles introduites par le RGPD.
Personnes âgées, handicapées, en difficulté : les collectivités concernées
Le projet de référentiel avait fait l'objet d'une large consultation publique à l'automne dernier (voir notre article du 15 octobre 2020). Le document finalisé s'adresse à l'ensemble des organismes privés ou publics, quelle que soit leur forme juridique, "qui accueillent, hébergent ou accompagnent sur le plan social et/ou médicosocial les personnes âgées, les personnes en situation de handicap et celles en difficulté", ce qui inclut nommément les collectivités et les CCAS. A contrario, il ne couvre pas le champ de la protection de l'enfance et celui des mandataires à la protection juridique des majeurs. Le référentiel vise la mise en œuvre de traitements automatisés, en tout ou en partie, ainsi que les traitements non automatisés de données à caractère personnel. En tant que responsable de traitement, ces organismes sont en effet soumis au respect des règles relatives à la protection des données. Ils doivent ainsi s'assurer de la conformité de leurs traitements à plusieurs éléments : le RGPD, la loi Informatique et libertés du 6 janvier 1978, mais aussi les autres règles éventuellement applicables, conformément à la réglementation en vigueur, et notamment celles édictées par le code de l'action sociale et de familles et par le code de la santé publique.
Précision importante : ce référentiel n'a pas de valeur contraignante, mais "permet en principe d'assurer la conformité des traitements de données mis en œuvre par les organismes aux principes relatifs à la protection des données, dans un contexte d'évolution des pratiques à l'ère du numérique" (qui devrait encore s'accélérer avec les financements prévus en ce domaine pour les Ehpad). Un organisme peut donc s'écarter du référentiel "au regard des conditions particulières" tenant à sa situation. Mais, dans ce cas, il pourra lui être demandé de justifier de l'existence d'un tel besoin et des mesures mises en œuvre afin de garantir la conformité des traitements à la réglementation en matière de protection des données à caractère personnel.
Quelles données pour quel traitement et quel destinataire ?
Ces préalables une fois posés, le référentiel déroule ensuite une série de recommandations. Celles-ci portent notamment sur les finalités des traitements de données : instruction des demandes et dossiers, mise en œuvre des prestations et de l'accompagnement, échange et partage des "informations strictement nécessaires", gestion administrative, remontées d'informations (anonymisées) aux autorités compétentes...
Le référentiel détaille également les bases légales du traitement, qui varient à la fois en fonction de la finalité de ce dernier et du statut juridique de l'organisme. Il expose aussi les principes de pertinence et de minimisation des données, en listant celles susceptibles d'être collectées. Un paragraphe est, par ailleurs, consacré au traitement du numéro de sécurité sociale (NIR), des données sensibles et des données relatives aux condamnations pénales et aux infractions. Un grand tableau donne des exemples de données susceptibles d'être collectées en fonction de la finalité du traitement.
Un autre chapitre du référentiel est consacré aux destinataires des données et à l'accès aux informations : personnes habilitées, destinataires, sous-traitants, tiers autorisés, transferts de données hors de l'Union européenne... La question des durées de conservation est également abordée (en principe, pas de conservation dans la base active au-delà de deux ans à compter du dernier contact), de même que celle de l'information des personnes sur les traitements les concernant (contenu de l'information, modalités de délivrance…).
Enfin, les derniers chapitres se penchent sur les droits des personnes (accès, rectification, effacement, portabilité, opposition...), sur la sécurité des données (avec une liste détaillée des mesures selon les cas de figure) et sur l'analyse d'impact relative à la protection des données (AIPD). Il est en effet précisé que "les traitements ayant pour finalité l'accompagnement social et médicosocial des personnes figurant dans la liste des types d'opérations de traitement pour lesquelles une AIPD est requise, doivent systématiquement donner lieu à la réalisation préalable d'une AIPD".
Références : délibération n°2021-028 du 11 mars 2021 portant adoption d'un référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de l'accueil, l'hébergement et l'accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap et de celles en difficulté (Journal officiel du 23 mars 2021). |