Secteur social et Données personnelles : le projet de référentiel de la CNIL

Secteur social et Données personnelles : le projet de référentiel de la CNIL
⏱ Lecture 5 min

Par Stéphane Astier et Anne Charlotte Andrieux

La CNIL vient de lancer une consultation publique portant sur un projet de référentiel dédié au secteur social.

Ce nouveau cadre de référence s’adressera ainsi aux professionnels du secteur social tels que les EHPAD ou les MDPH[1] mettant en œuvre des traitements de données personnelles relatifs à l’accueil, à l’hébergement et à l’accompagnement social et médico-social des personnes âgées, en situation de handicap et en difficulté.

Ce référentiel aura pour objet d’actualiser les autorisations uniques et actes règlementaires initialement prévus pour :

  • l’accompagnement et au suivi social et médico-social des personnes handicapées et des personnes âgées (AU-47) ;

  • l’accompagnement et au suivi social et médico-social des personnes en difficultés (AU-48) ;

  • l’enregistrement et l’instruction des prestations, le suivi des décisions prises et leur mise en œuvre au sein des Maisons Départementales des Personnes Handicapées (MDPH) (RU-05) ;

  • la gestion de l’Allocation personnalisée d’autonomie (APA) et de l’Aide sociale à l’hébergement (ASH) (RU-63).

La CNIL annonce élaborer en parallèle un référentiel distinct dédié aux traitements relatifs à la prévention et à la protection de l’enfance regroupant notamment les autorisation uniques relatives à l’accompagnement et au suivi social des mineurs et jeunes majeurs (AU-49) e à l’enfance en danger (AU-28).

1. Neuf finalités de traitement

Le projet de référentiel définit 9 finalités générales regroupant les finalités prévues dans les anciennes normes et fourni des exemples pratiques pour chacune d’entre elles. L’emploi de ces finalités sera essentiel dans la construction ou la mise à jour du registre d’activité des traitements devant être formalisé en application de l’article 30 du RGPD. C’est en effet à partir de ces finalités identifiées que le responsable de traitement pourra définir un cadre du traitement concerné

Accompagnement et suivi social et médico-social des personnes handicapées et des personnes âgées (2)Accompagnement et suivi social et médico-social des personnes handicapées et des personnes âgées (17)

2. Des précisions sur les bases légales mobilisables

L’article 6 du RGPD, impose que chaque finalité de traitement repose sur l’une des bases légales suivantes :

  1. Le consentement de la personne concernée par le traitement

  2. L’exécution d’un contrat auquel la personne concernée est partie

  3. Le respect d’une obligation légale à laquelle le responsable de traitement est soumis

  4. La sauvegarde d’intérêt vitaux

  5. L’exécution d’une mission d’intérêt public

  6. L’intérêt légitime du responsable de traitement ou d’un tiers

Dans le cadre de la construction ou de la consolidation de son registre, le responsable de traitement devra déterminer pour chaque traitement mis en œuvre l’une ces bases légales avant toute opération de collecte ou de diffusion. Cette base légale devra également être intégrée aux informations devant être portées à la connaissance des personnes concernées au même titre que la finalité poursuivie.

Pour aider les responsables de traitement dans la détermination des bases légales appropriées la Commission a repris la méthodologie employée dans ces précédents référentiels en fournissant un tableau des bases légales pouvant être mobilisées selon la finalité de traitement concernée.

Il est à noter que pour le secteur social, le nouveau cadre de référence distingue selon que la finalité de traitement est poursuivie par un organisme public ou un organisme privé. Ainsi,

  • Les traitements mis en œuvre par des organismes public ou personnes morales de droit privé gérant un service public pourront trouver leur fondement dans l’exécution d’une mission d’intérêt public
  • Les traitement mis en œuvre par des organismes privé devront quant à eux se fonder sur l’exécution d’un contrat ou l’intérêt légitime de l’organisme

A l’instar de la recommandation formulée dans le référentiel relatif à la gestion des employés, la CNIL rappelle que dans le secteur social également il convient de faire preuve de la plus grande prudence dans l’usage du consentement comme base légale des traitements de données personnelles. En effet, les personnes vulnérables par leur âge, leur état de santé ou la situation de difficulté dans laquelle elles se trouvent peuvent voir leur discernement altéré, ce qui aurait pour conséquence de rendre le consentement non valable.

3. Données collectées : le cas particulier des données sensibles

Le secteur de l’accompagnement social et médico-social est un secteur répondant à des règles et des usages spécifiques. Dans ce cadre les acteurs sont amenés à collecter :

  • Des données hautement personnelles : numéro de sécurité sociale, identifiant national de santé, condamnations pénales, etc.
  • Des données sensibles: données de santé, croyances religieuses, etc.

La collecte de données sensibles est interdite par principe.

Néanmoins, des données relatives à la santé peuvent être collectées directement auprès de la personne concernée après recueil de son consentement exprès ou lorsqu’elles sont strictement nécessaires à des fins de soin, de gestion des services de santé ou de délivrance d’une prestation sociale prévue par les textes.

Pour permettre aux acteurs du secteur social de minimiser la collecte la Commission détail des données pouvant être collectée pour chaque finalité et fourni des exemples pratiques. Ainsi, la collecte de la photographie d’un bénéficiaire peut se trouver nécessaire pour retrouver un pensionnaire d’un EHPAD qui se serait soustrait à la vigilance du personnel.

4. Des durées de conservation propres au secteur social et médico-social

Par principe, il est recommandé que les données ne soient pas conservées dans la base active de l’établissement au-delà de 2 ans à compter du dernier contact émanant de la personne ayant fait l’objet d’un accompagnement.

Néanmoins, les données peuvent être conservées plus longtemps lorsque l’établissement concerné en a l’obligation légale. Ainsi, les données collectées pour l’attribution de l’Allocation personnalisée d’autonomie (APA) ou de l’Aide sociale à l’hébergement (ASH) peuvent être conservée 6 ans en base active puis être placées en archivage intermédiaire (article 232-46 du code de l’action sociale et des familles).

Il est à noter sur ce point que la durée de conservation et les modalités d’archivage doivent être appréciées au cas par cas en fonction de la nature du traitement considéré étant souligné que toute durée indéfinie sera par nature considérée comme illégale.

5. Des modalités d’informations adaptées aux personnes concernées

Afin de respecter pleinement les principes de loyauté et de transparence et conformément aux dispositions des articles 13 et 14 du RGPD, les personnes doivent en principe être directement informées au moment où les données sont collectées selon des modalités claires, explicites et aisément compréhensibles.

Dans le cadre de l’accompagnement social et médico-social des personnes, le responsable de traitement peut procéder à cette information par tout moyen approprié. A cet égard, la CNIL rappelle la nécessité d’employer des modalités d’information adaptées au public destinataire.

S’agissant de personnes âgées ou de personnes en situation de handicap, il sera particulièrement pertinent de travailler sur ce point à une communication adaptée en employant par exemple une traduction en langage FALC (Facile à Lire et à Comprendre).

6. La nécessité de recourir à des prestataires d’hébergement agréés ou certifiés

Si l’ensemble des règles de sécurité issues de l’article 32 du RGPD s’appliquent à la sécurisation des données dans le secteur social et médico-social, l’exigence de sécurité est encore renforcée lorsqu’il s’agit de l’hébergement des données de santé par les organismes.

En effet, l’article L. 1111-8 du code de la santé publique impose que les données les établissements sociaux et médicaux sociaux hébergent les données de santé des personnes qu’elles prennent en charge auprès d’un hébergeur agréé par la CNIL ou certifié par le COFRAC.

7. Une analyse d’impact obligatoire

Les traitements ayant pour finalité l’accompagnement social et médico-social des personnes figurent dans la liste des types d’opérations de traitement pour lesquelles la CNIL exige qu’une AIPD soit réalisée.

Au-delà des analyses d’impact prévues pour toute entreprise, les acteurs du secteur social et médico-social devront veiller à disposer d’AIPD spécifiques devant être réalisées pour :

  • Les Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médicosociaux pour la prise en charge des personnes
  • Les Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes

Il sera ici déterminant de travailler en étroite collaboration avec les fournisseurs de solutions permettant de traiter les données des personnes accompagnées (fournisseurs de solutions Saas spécialisés dans le domaine sanitaire et médico-social qui auront ici le statut de sous-traitants au sens de l’article 28 du RGPD) et ce afin de faciliter la réunion de la documentation requise pour ce type d’étude.

Naturellement, le Délégué à la Protection des Données (DPO)a vocation à piloter l’ensemble de ces dispositifs à prévoir et mesures à prendre dans le cadre de ses attributions.

*********

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans leur démarche de conformité au RGPD. Que ce soit en appui du DPO ou en qualité de DPO externalisé le Cabinet Haas réalise ainsi tout type de mission en lien avec la protection de la vie privée avec deux départements spécialisés sur ces questions : le département Protection des données et le département cyber sécurité. Contactez-nous ici

 

 

[1] Maison départementale pour les personnes handicapées

Stéphane ASTIER

Auteur Stéphane ASTIER

Suivez-nous sur Linkedin