Par Stéphane Astier et Anne Charlotte Andrieux
Nous vous l’annoncions il y a quelques mois : en 2020 la CNIL a lancé une consultation publique en vue de l’adoption d’un nouveau référentiel dédié au secteur social et médico-social.
C’est désormais chose faite. Le dernier référentiel CNIL a été publié fin mars et s’accompagne d’une FAQ relative au suivi social et médicosocial des personnes âgées, en situation de handicap ou en difficulté.
L’objet de ce référentiel est de donner aux acteurs du secteur social des indications utiles et opérationnelles pour paramétrer leurs différents traitements métiers intégrant des données à caractère personnel. Nouvelle bible du Délégué à la Protection des Données (DPO) cette version définitive permet de souligner quelques modifications importantes synthétisées ci-après.
Autre précision utile, la CNIL a ajouté la possibilité de traiter les données suivantes :
Dans de cas exceptionnels, la photocopie de la pièce d’identité de la personne concernée, notamment dans le cadre de l’accompagnement relatif à la gestion budgétaire des organismes.
Les informations relatives à la liste des comptes bancaires existants sous réserve que ces informations soient nécessaires à l’accompagnement budgétaire réalisé.
Dans des cas exceptionnels, les identifiants et mot de passe de l’espace personnel de la personne concernée lorsque celle-ci n’est pas en capacité de se connecter seule. L’enregistrement des mots de passe de l’usager ne doit dès lors être réalisé que dans le cadre d’un mandat signé entre l’usager et le professionnel.
En complément, la FAQ vient apporter des précisions utiles :
La liste des organismes concernés n’est pas exhaustive. Si votre organisme n’est pas présent dans les catégories de la liste en préambule du référentiel mais que vous accompagnez sur le plan social ou médico-social des personnes âgées, en situation de handicap ou en difficulté, le référentiel à tout de même vocation à s’appliquer à votre organisme.
La CNIL rappelle que le RGPD prévoit qu’un organisme a l’obligation de désigner un délégué à la protection des données (DPO):
S’il s’agit d’une autorité ou un organisme public (conseil départemental, organisme de sécurité sociale, etc.)
Si ses activités de base l’amènent à réaliser un suivi régulier et systématique des personnes à grande échelle
Si ses activités de base l’amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions(associations du secteur social et médico-social si l’accompagnement réalisé prévoit exemple la collecte de données de santé).
De manière générale, la désignation d’un DPO est encouragée par la CNIL et permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles. |
La CNIL soulignait déjà la difficulté à se prévaloir du consentement pour opérer un traitement relatif à des données se rapportant à une personne vulnérable. La Commission précise qu’un consentement exprimé par une personne sans capacité de discernement (troubles psychiques, état de faiblesse avéré, situation de handicap mental, etc.) ne peut pas être considéré, à lui seul, comme un consentement valable et qu’il conviendra de recherche le consentement de son représentant légal. Il en va de même si la personne concernée est dans l’incapacité de donner son consentement. Toutefois, le seul fait pour une personne d’être placée sous une mesure de protection juridique (sauvegarde, curatelle, tutelle) n’empêche pas qu’elle puisse donner son consentement.
Il appartient au responsable de traitement d’identifier la capacité de discernement de la personne concernée et de recherche autant que possible son accord. |
En application du principe de proportionnalité, il est possible de collecter des données qui ne sont pas mentionnées dans le référentiel à condition que ces données soient strictement nécessaires à l’accompagnement social et médico-social.
La collecte de données de santé (données relatives au handicap) doit être limitée à des hypothèses spécifiques et lorsqu’elles sont nécessaires à des fins de soin ou de délivrance d’une prestation sociale. Lorsque la collecte de données de santé est nécessaire à l’accompagnement social, elle peut être réalisée après recueil du consentement de la personne concernée ou de son représentant légal.
Le traitement du numéro de sécurité sociale (NIR) obéit également à des conditions strictes. Il peut être communiqué à des établissements et services sociaux et médico sociaux mentionnés au I de l’article L312-1 du Code de l’action sociale et des familles.
Il est possible de conserver les données pendant une durée supérieure à 2 ans si vous êtes en mesure d’en justifier la nécessité.
L’information des personnes concernées doit être réalisées de manière adaptée et peut passer par le recours à la méthode « Facile à lire et à comprendre » FALC.
Pour rappel, certains traitements spécifiques sont exclus du champ d’application du référentiel et donneront lieu à des référentiels ultérieurs, à savoir :
Les traitements portant sur la prévention et la protection de l’enfance. Un projet de référentiel distinct est préparation par la Commission et aura vocation à regrouper les anciennes autorisations uniques relatives à :
- l’accompagnement et suivi-social dans le cadre de la prévention et de la protection des mineurs et jeunes majeurs (AU-49) ;
- l’enfance en danger et « Informations préoccupantes » (AU-28).
Les traitements mis en œuvre par les mandataires judiciaires à la protection des majeurs (MJPM). Dans l’attente de la production d’un référentiel propre à ce secteur, les organismes concernés peuvent s’inspirer de l’ancienne AU-050 pour les mandataires judiciaires agréés à la protection des majeurs. Cette norme adresse les questions relatives à la gestion et au suivi de la représentation juridique, à l’assistance et au contrôle des personnes placées par l’autorité judiciaire (sauvegarde judiciaire, curatelle, tutelle, mesure d’accompagnement judiciaire).
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans leur démarche de conformité au RGPD. Que ce soit en appui du DPO ou en qualité de DPO externalisé le Cabinet Haas réalise ainsi tout type de mission en lien avec la protection de la vie privée avec deux départements spécialisés sur ces questions : le département Protection des données et le département cyber sécurité. Contactez-nous ici