Archives

Protection de l'enfance : la Cnil publie un référentiel sur le traitement des données à caractère personnel

La Cnil (Commission nationale de l'informatique et des libertés) publie un nouveau référentiel "relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de la protection de l'enfance et des jeunes majeurs de moins de 21 ans". Adopté par une délibération en date du 20 janvier, ce référentiel fait suite à une consultation publique. Il s'inscrit dans le cadre du RGPD (règlement général sur la protection des données), entré en vigueur le 25 mai 2018, et doit aider les institutions concernées – dont au premier rang les départements et leurs services d'aide sociale à l'enfance – à se mettre en conformité avec ces nouvelles obligations. Dans sa présentation, la Cnil précise que ce référentiel "permet d'appliquer les règles de protection des données aux traitements relevant du secteur de l'enfance, tels que la gestion du recueil, le traitement et l'évaluation des informations préoccupantes relatives à l'enfance en danger par les CRIP [cellules de recueil des informations préoccupantes, ndlr] des départements ou encore l'instruction et le suivi de l'accueil durable et bénévole par un tiers d'un enfant pris en charge par le service de l'aide sociale à l'enfance". En revanche, et pour des raisons tenant à la spécificité des ces traitements, le référentiel ne couvre pas le champ de l'adoption.

Conçu sur le modèle habituel des référentiels de la Cnil – et notamment celui, plus général, sur le traitement des données dans le champ social (voir notre article du 23 mars 2021) – le référentiel sur la protection de l'enfance aborde une série de questions. Il commence par préciser la portée du référentiel, qui n'a pas de valeur contraignante mais constitue aussi une aide à la réalisation d'une analyse d'impact relative à la protection des données (AIPD). Il précise également les objectifs poursuivis par les traitements (finalités), qui "doivent répondre à un objectif précis et être justifiés au regard des missions et des activités des organismes". Il liste ainsi une douzaine d'objectifs potentiels pour ces traitements. Le référentiel donne aussi, finalité par finalité, les bases légales du traitement des données. Un chapitre est également consacré au contenu des données à caractère personnel : principe de pertinence et de minimisation des données, traitement du numéro de sécurité sociale (NIR), des données sensibles et des données relatives aux condamnations pénales et aux infractions...

Un autre chapitre aborde la question des destinataires des données et de l'accès aux informations, en distinguant les personnes accédant aux données pour le compte du responsable de traitement, les destinataires des données, les sous-traitants, les tiers autorisés et les transferts de données à caractère personnel hors de l'Union européenne (cas a priori peu fréquent en protection de l'enfance). De façon logique, le référentiel traite également des règles applicables à la conservation des données et celles relatives à leur sécurité. Il s'achève par des précisions sur l'information et sur les droits des personnes, ainsi que sur l'analyse d'impact relative à la protection des données (AIPD). Le référentiel rappelle en effet que "les traitements ayant pour finalité l'accompagnement social et médicosocial des personnes figurent dans la liste des types d'opérations de traitement pour lesquelles une AIPD est requise : ils doivent par conséquent systématiquement donner lieu à la réalisation préalable d'une AIPD".