Archives

Médicosocial : la Cnil lance une consultation sur le référentiel relatif à l'accueil, l'hébergement et l'accompagnement

La Cnil lance une consultation publique sur un projet de mise à jour du référentiel dans le secteur social, afin de mettre les règles antérieures en conformité avec celles introduites par le RGPD. Cette consultation est ouverte jusqu'au 10 décembre, via une page dédiée sur le site de la Cnil. Le document est susceptible d'intéresser les collectivités territoriales et les CCAS.

Le secteur social et médicosocial ne passe pas pour le plus avancé en matière de protection des données personnelles, alors qu'il manipule et conserve de nombreuses informations sur les personnes aidées, hébergées ou accompagnées. Comme le prévoit le RGPD (règlement général sur la protection des données), entré en vigueur le 25 mai 2018, la Cnil (Commission nationale Informatique et Libertés) lance donc une consultation publique sur un projet de mise à jour du référentiel dans le secteur social, afin de mettre les règles antérieures en conformité avec celles introduites par le RGPD. Cette consultation est ouverte jusqu'au 10 décembre, via une page dédiée sur le site de la Cnil.

Un outil d'aide à la mise en conformité au RGPD

Il s'agit plus précisément d'un projet de référentiel "relatif aux traitements à caractère personnel mis en œuvre dans le cadre de l'accueil, l'hébergement et l'accompagnement social et médicosocial des personnes âgées, en situation de handicap et en difficulté". Comme précisé par la Cnil, ce document est donc susceptible d'intéresser les collectivités territoriales et les CCAS.

Ce référentiel, qui n'a pas de valeur contraignante, vise à fournir aux organismes mettant en œuvre de tels traitements "un outil d'aide à la mise en conformité à la règlementation relative à la protection des données à caractère personnel". Il est précisé que les organismes qui s'écarteraient du référentiel, au regard des conditions particulières tenant à leur situation, peuvent le faire. Mais, dans ce cas, ils devront être en mesure de "justifier de l'existence d'un tel besoin et des mesures mises en œuvre afin de garantir la conformité des traitements à la règlementation en matière de protection des données à caractère personnel". Par ailleurs, la Cnil précise que "ce référentiel constitue également une aide à la réalisation d'une analyse d'impact relative à la protection des données (AIPD), dans le cas où celle-ci est nécessaire".

Les traitements concernés

En pratique, le projet de référentiel se présente sous la forme d'un document d'une vingtaine de pages. Il précise notamment le type de traitements concernés. Il s'agit, entre autres, des traitements ayant pour objet de fournir les prestations définies dans le cadre d'un contrat conclu entre l'organisme et la personne concernée ou son représentant légal, de traitements destinés à instruire, gérer et, le cas échéant, verser les prestations sociales légales et facultatives, ou encore de ceux relatifs à la gestion administrative des personnes concernées. Sont aussi concernés les traitements ayant pour objet d'élaborer et de suivre le projet personnalisé d'accompagnement des personnes, d'échanger et de partager les informations strictement nécessaires, ou encore d'assurer l'accompagnement et le suivi des personnes dans l'accès aux droits. Le champ couvert englobe également la gestion administrative et financière, ainsi que les statistiques, les études internes et les enquêtes de satisfaction.

Le référentiel précise également les bases légales du traitement pour les différents cas de figure concernés. Il liste aussi les données personnelles concernées, en application des principes de pertinence et de minimisation des données (seules les données nécessaires à la poursuite des finalités du traitement doivent être effectivement collectées et traitées). Une attention particulière doit être portée à certaines données comme le NIR (ou "numéro de sécurité sociale"), mais aussi à certaines données à caractère sensible et à celles relatives aux condamnations pénales et aux infractions.

Quels droits pour les personnes ?

Un autre chapitre est consacré aux destinataires des données recueillies et aux modalités d'accès aux informations, avec en particulier la notion de tiers autorisés. De même, un point est consacré aux cas des transferts de données à caractère personnel en dehors de l'Union européenne, sans doute beaucoup moins fréquent dans le champ social et médicosocial que dans celui de la santé.

Le référentiel aborde également la question de la durée de conservation des données nominatives (en principe les données ne doivent pas être conservées dans la base active au-delà de deux ans à compter du dernier contact émanant de la personne ayant fait l'objet de cet accompagnement) et celle des données anonymisées. Un chapitre est, par ailleurs, consacré à l'information des personnes et à leurs droits : droit d'accès, de rectification, droit à l'effacement, à la limitation, à la portabilité, droit à s'opposer au traitement... Enfin, les deux derniers chapitres abordent les questions de sécurité des données et présentent brièvement l'analyse d'impact relative à la protection des données (AIPD).

 

Pour aller plus loin

Voir aussi

Abonnez-vous à Localtis !

Recevez le détail de notre édition quotidienne ou notre synthèse hebdomadaire sur l’actualité des politiques publiques. Merci de confirmer votre abonnement dans le mail que vous recevrez suite à votre inscription.

Découvrir Localtis