Skip to Main Content

La CNIL publie son projet de référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le secteur social

Share via LinkedIn
Share via Twitter
Share via Facebook
Download PDF Version
Date: 16 November 2020
French Data Protection Alert
By: Claude-Étienne Armingaud

Le 12 octobre 2020, la Commission Nationale de l’Informatique et des Libertés (CNIL) a publié un projet de référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de l’hébergement et l’accompagnement social et médico-social des personnes âgées, en situation de handicap et en difficulté (le « Référentiel »). 

Le Référentiel, est un instrument de régulation souple dont l’objectif est de guider les professionnels dans leur mise en conformité avec la législation applicable en matière de protection des données mais également afin de les aider à la réalisation d’une analyse d’impact relative à la protection des données (AIPD) lorsque cette dernière s’avère nécessaire. Si cet outil n’a pas de valeur contraignante, la CNIL informe pour autant qu’il pourra être demandé aux entreprises concernées qui s’écarteraient du Référentiel de justifier cet écart et des mesures mises en œuvre afin de garantir la conformité des traitements à la réglementation relative à la protection des données à caractère personnel. En outre, l’ensemble des entreprises concernées devront également s’assurer de leur conformité avec les autres réglementations pouvant trouver à s’appliquer comme celles issues du Code de l’action sociale et des familles (CASF) ou encore du Code de la santé publique (CSP).

Le Référentiel s’adresse aux organismes privés ou publics accueillant, hébergeant ou accompagnant sur le plan social et/ou médico-social les personnes âgées, en situation de handicap et en difficulté (les « Organismes ») tels que les départements, les centres, les établissements d’hébergement pour les personnes âgées dépendantes (EPHAD), les services d’aide à l’accompagnement à domicile, les services de soins infirmiers à domicile ou encore les centres d’actions médico-sociale précoce.

Il a également vocation à remplacer les différentes autorisations uniques et actes réglementaires uniques tels que l’AU-47, l’AU-48, les RU-05 et RU-63 applicables aux traitements de données dans le cadre de l’accompagnement et du suivi des personnes âgées, handicapées ou des personnes en difficultés ou encore concernant les traitements mis en œuvre par les Maisons Départementales des Personnes Handicapées (MDPH) ou ceux de gestion de l’allocation de certaines aides devenues obsolètes avec l’entrée en application le 25 mai 2018 du Règlement Général sur la Protection des Données (RGPD)

Un traitement répondant à un objectif précis justifié au regard des missions et des activités des Organismes

Conformément au principe de limitation des finalités (Article 5 RGPD), un traitement doit répondre à une finalité précise et déterminée à l’avance. Les données et informations recueillies pour l’accomplissement de ces finalités ne pourront alors pas être réutilisées pour l’accomplissement d’autres finalités incompatibles.

À cet égard la CNIL précise que les traitements peuvent être mis en œuvre au titre de finalités variées et notamment afin de: 

  • Fournir les prestations définies dans le cadre d’un contrat conclu entre l’organisme et la personne concernée ou son représentant légal ;
  • Instruire, gérer et verser les prestations sociales légales et facultatives telles que l’aide sociale à l’hébergement (ASH), le revenu de solidarité active (RSA) ou encore le règlement des factures de gaz ou d’électricité, etc ; 
  • Assurer la gestion administrative des personnes concernées (dossier administratif, gestion des rendez-vous médicaux, des visites familiales, etc) ;
  • Offrir un accompagnement social et médico-social adapté aux difficultés rencontrées et le cas échant orienter les personnes vers les structures compétentes susceptibles de les prendre en charge ;
  • Élaborer et suivre le projet personnalisé d’accompagnement des personnes conformément aux dispositions des articles L.311-3 et L.311-4 du CASF au regard les habitudes de vie, les demandes particulières, les besoins particuliers, l’autonomie physique et psychique de la personne ;
  • Échanger et partager les informations strictement nécessaires dans le respect de l’article L.1110-4 du CSP et aux fins de garantir la coordination et la continuité de l’accompagnement et du suivi des personnes entres les intervenants sociaux, médicaux et paramédicaux ; et
  • Assurer l’accompagnement et le suivi des personnes dans l’accès aux droits et notamment l’assistance dans les relations et les démarches à effectuer auprès des personnes ou services compétents (tels que l’accès au droit relatif à la fin de vie ou encore les démarche à effectuer pour obtenir une domiciliation) ;
  • Assurer la gestion administrative, financière et comptable des Organismes ; et
  • Établir des statistiques, des études internes et des enquêtes de satisfaction sous réserves de respecter les dispositions de l’article 72 de la Loi Informatique et Libertés (LIL) relative aux traitements automatisés de données à caractère personnel dont la finalité est la recherche, l’étude ou l’évaluation dans le domaine de la santé.
Un traitement reposant sur une base légale valide

Conformément au principe de licéité du traitement (Article 5 RGPD), un traitement pour être licite doit reposer sur une base légale valide parmi les six bases légales visées par l’Article 6 RGPD

Dans le cadre des traitement mis en œuvre dans le secteur social objet du Référentiel, la CNIL identifie quatre bases légales pouvant être utilisées par les Organismes dans les cas les plus courants : 

  • L’exécution d’un contrat - lorsqu’il existe un tel accord entre l’Organisme et les personnes concernées et que le traitement est nécessaire à l’exécution de ce contrat ;
  • L’exécution d’une mission d’intérêt public - lorsque l’Organisme est un organisme public ou une personne morale de droit privé gérant un service public ;
  • Les intérêts légitimes des Organismes - lorsque ces derniers sont des organismes de droit privé. Dans ce cas, il leur incombera de justifier et de documenter l’intérêt légitime invoqué et en informer préalablement les personnes concernées ; et
  • Le respect d’une obligation légale - lorsqu’une telle obligation existe.

En outre, la CNIL alerte sur l’utilisation du consentement et appelle les Organismes à faire preuve de la plus grande prudence en cas d’utilisation de cette base légale, compte tenu de la vulnérabilité des personnes concernées. Pour les traitements les plus courants visés, la CNIL envisage comme seule hypothèse valable de recours au consentement comme base légale le cas particulier des droits relatifs à la fin de vie. 

Les données personnelles pouvant être traitées par les Organismes

La CNIL précise qu’en vertu du principe de minimisation des données (Article 5 RGPD), les organismes ne doivent traiter que des données nécessaires à la poursuite des finalités du traitement et établit une liste des données qu’elle considère comme pertinentes pour la réalisation des finalités exposées ci-dessus. 

L’autorité de protection des données française souligne également la vigilance renforcée à mener s’agissant du traitement de certaines données tels que : 

  • Le numéro d’inscription au répertoire (NIR), numéro de sécurité social objet d’une réglementation spécifique et pour lequel un décret en Conseil d’État précise les catégories de responsables de traitement et les finalités qui permettraient le recours à ce numéro ;
  • L’identifiant nationale de santé (INS) des articles L.1111-8-1 et R.1111-8-1 du CPS qui, là encore, ne peut être utilisé que pour certaines finalités déterminées et seulement par certaines catégories de responsables de traitement ;
  • Des données relatives aux infractions, condamnation pénales et mesures de sûreté connexes qui ne peuvent être traitées que dans certains cas et sous réserve du respect des dispositions de l’article 46 de la LIL
  • Des données de santé qui ne pourront être traitées qu’aux fins d’administration de soins, traitement, diagnostics médicaux, etc… ou pour la délivrance d’une prestation sociale destinée aux personnes en situation de perte d’autonomie ou de handicap après recueil du consentement exprès de la personne concernée ou de son représentant légal ; et
  • Des données relatives aux convictions religieuses et/ou philosophique sous réserve de les avoir collectées directement auprès de la personne concernée ou de son représentant légal et sous réserve que ces données soient strictement nécessaires à l’accompagnement social et/ou médico-social.
Des données accessibles qu’aux seules personnes habilitées

Les données ne doivent être rendues accessibles qu’aux personnes habilitées à en connaître au regard de leurs attributions et ces habilitations d’accès devront être documentées. Il peut s’agir notamment des professionnels ou de tout membre du personnel d’un Organisme.

Dans le cas où le responsable de traitement a recours à un sous-traitant, il devra veiller à rédiger un contrat de traitement de données conformément à l’Article 28 RGPD.

Le Référentiel établie également une liste exhaustive des organismes pouvant être destinataires de données tels que les professionnels ou les membres d’une même équipe de soin ou non, les personnes appelées à intervenir dans la gestion financière et successorale du patrimoine de la personne concernée ou encore les organismes instructeurs et payeurs de prestations sociales ou ceux financeurs et gestionnaires.

S’agissant des tiers autorisés, la CNIL invite les Organisme à consulter son guide pratique et appelle les responsables de traitement à s’assurer du caractère contraignant de la disposition légale autorisant la demande et la communication de données avancée et de ne transmettre que les données prévues par les textes ou seules celles considérées comme indispensables.

Le Référentiel invite également les responsables de traitement à assurer la continuité de la protection des données à caractère personnel lorsque des données sont transférées en dehors de l’Union Européenne ou de l’Espace Économique Européen en respectant les dispositions des Articles 44 RGPD et suivants.

Des données traitées et conservées pour une durée déterminée

Reprenant en parties les durées fixées dans ses anciennes déclarations uniques, la CNIL rappelle qu’ il est recommandé, sauf disposition légale contraire, de ne conserver dans une base active les données collectées et traitées pour les besoins de l’accompagnement social et médico-social que pour une durée de deux ans à compter du dernier contact émanant de la personne concernée. Les données pourront également être conservées plus longtemps en cas d’obligation légale ou de besoin de constitution de preuves. Ces données devront alors être archivées à l’issue des deux ans et cet archivage intermédiaire devra répondre à une réelle nécessité « dûment justifiée par le responsable de traitement après une analyse préalable de différents facteurs » comme le contexte, la nature des données et le niveau de risque d’un éventuel contentieux. 

Ces durées de conservation ne s’appliquent pas pour les données anonymisées dès lors qu’elles ne peuvent plus être mises en relation avec la personne concernée auxquelles elles se rapportent.

Les responsables de traitement devront également se référer aux différentes dispositions légales existantes et fixant une durée de conservation et d’archivage comme c’est le cas par l’article R.232-46 du CASF qui fixe à six ans la conservation des données dans le cadre d’une instruction, gestion ou du versement de l’allocation personnalisée d’autonomie (APA) ou de l’ASH à compter de la cession du droit de la personne à la prestation ou à compter de l’intervention de la décision définitive relative à l’octroi ou au refus de cette prestation en cas de contentieux. Il en va de même des données traitées dans le cadre de l’instruction et de la gestion de la carte « mobilité inclusion » qui devront être conservées pendant cinq ans à compter de la date d’expiration de la validité de la dernière décision intervenue (article R.241-19-3 du CASF). 

Information et droits des personnes concernées

Les Organismes devront tâcher de fournir toutes les informations requises aux Articles 13 et 14 RGPD et devront notamment informer les personnes concernées dès le stade de la collecte des données de l’existence du traitement, de ses caractéristiques essentielles (e.g. identité du responsable de traitement, finalités, etc) et de leurs droits. 

La CNIL recommande de délivrer cette information par écrit afin de pouvoir justifier de son contenu et du moment à laquelle elle a été délivrée, et d’utiliser un langage compréhensible et dans des modalités adaptées à la situation de la personne concernée.

Le Référentiel liste également les droits dont disposent les personnes concernées et précise les conditions dans lesquelles les personnes concernées pourront s’opposer au traitement, notamment lorsque le traitement repose sur l’intérêt légitime du responsable de traitement ou pour l’exécution d’une mission d’intérêt public. 

L’obligation des Organismes d’assurer la protection des données et la conduite d’une AIPD

Le Référentiel énumère les mesures de sécurité que les Organismes sont invités à mettre en œuvre. Ces mesures sont vastes et s’appliquent à différents stades du traitement. Il peut s’agir aussi bien de l’information et de la sensibilisation des personnes manipulant les données, à la mise en place d’un système de journalisation ou de moyens de chiffrement des équipements mobiles, etc…

Enfin, la CNIL rappelle que son Référentiel constitue une aide à la réalisation d’une AIPD et donne des exemples des types d’opérations de traitement nécessitant la conduite d’une telle analyse d’impact tels que : 

  • Les traitements portant sur les dossiers des résidents pris en charge par un centre communal d’action sociale ou un EPHAD dans le cadre d’un traitement mis en œuvre par les Organismes pour la prise en charge des personnes ; 
  • Les traitements mis en œuvre pour un établissement ou une association dans le cadre de la prise en charge de la personne en insertion ou réinsertion sociale et professionnelle ; 
  • Les traitements mis en œuvre par les MDPH dans le cadre de l’accueil, l’hébergement, l’accompagnement et le suivi de ces personnes ; et
  • Les traitements mis en œuvre par un centre communal d’action sociale dans le cadre du suivi des personnes atteintes de pathologies chroniques invalidantes en situation de fragilité sociale. 

Les professionnels et Organismes concernés ont jusqu’au 1er décembre 2020 pour faire part de leur avis sur ce projet de Référentiel.

L’équipe Data Protection de K&L Gates France se tient à votre disposition pour vous guider dans la rédaction et la soumission de votre contribution à la CNIL.

Claude-Étienne Armingaud
Claude-Étienne Armingaud
Paris
Return to top of page

Email Disclaimer

We welcome your email, but please understand that if you are not already a client of K&L Gates LLP, we cannot represent you until we confirm that doing so would not create a conflict of interest and is otherwise consistent with the policies of our firm. Accordingly, please do not include any confidential information until we verify that the firm is in a position to represent you and our engagement is confirmed in a letter. Prior to that time, there is no assurance that information you send us will be maintained as confidential. Thank you for your consideration.

Accept Cancel