Toute direction d’établissement social ou médico-social doit déclarer à la CNIL (Commission nationale de l’informatique et des libertés) les données personnelles et confidentielles des usagers. Et demander une autorisation dès lors que sont traitées des données sensibles (numéro de sécurité sociale, santé, difficultés sociales, etc.). « La demande d’autorisation se fait par Internet. Une fois pour toutes, sauf si les conditions de stockage ou d’utilisation des données changent, explique Marie-Laure Givone, correspondante informatique et libertés (CIL) dans une association d’action sociale bretonne. Le délai de réponse peut aller jusqu’à un an. La CNIL travaille actuellement à un pack de conformité pour le secteur social et médico-social, qui devrait faciliter toutes les démarches. »
Parfois, les éditeurs ou hébergeurs de logiciels « métier » sécurisés s’occupent d’obtenir les autorisations. « Ce sont tous les autres documents qui circulent en parallèle qui posent problème », constate Christian Viallon, directeur opérationnel de Ressourcial, groupement social de moyens où les adhérents mutualisent leurs expériences relatives aux systèmes d’information. Les établissements collectent plus de données que nécessaire. « D’où l’importance d’une réflexion éthique qui implique tous les professionnels de l’institution, poursuit-il. Comment se limiter aux informations pertinentes ? Que partager ? »
Il s’agit ensuite de sécuriser les données. En stockant, par exemple, les dossiers « papier » dans des armoires qui ferment à clé, en détruisant les données inutiles dans un broyeur ou en évitant de sortir des dossiers hors de l’établissement. Des clauses de confidentialité peuvent aussi être prévues dans les contrats de travail.
Pour protéger les données informatiques, il convient de mettre en place des habilitations et mots de passe alphanumériques, d’utiliser des serveurs cryptés, des sauvegardes et des antivirus et de prohiber l’utilisation de ports nomades. « Le plus grand risque vient des professionnels qui échangent des données à partir de leur propre matériel, hors du réseau sécurisé par l’entreprise. Par exemple, en utilisant leur boîte e-mail personnelle », détaille Christian Viallon. L’établissement doit aussi identifier clairement les destinataires qui ont besoin d’une information, pour limiter son partage au strict nécessaire.
L’usager doit être informé de son droit d’accès et de rectification des données. « Nous l’inscrivons sur le livret d’accueil et l’affichons dans chaque site qui reçoit des usagers, poursuit Marie-Laure Givone. Nous avons aussi établi un protocole de réponse : nous vérifions que la demande est légitime, puis estimons si la consultation nécessite un accompagnement. »
Les données personnelles ont une date de péremption. Trop de serveurs d’établissement regorgent de données qui n’ont plus aucune utilité. Marie-Laure Givone a établi une charte d’archivage, pour différencier les archives qui servent au quotidien, celles qui doivent rester consultables et celles qui doivent être détruites ou restituées à l’usager. Avant de détruire tout dossier d’un usager, il faut interroger les archives départementales, qui ont la mission de conserver des échantillons de données, pour mémoire.
La manière la plus simple de se mettre en conformité est de désigner un correspondant informatique et libertés. Souvent responsable juridique ou informatique missionné à quart temps sur cette fonction, il bénéficie d’un accès personnalisé aux services de la CNIL (extranet, suivi des dossiers, formation). Sa désignation garantit aussi un allégement des formalités. Rappelons que le non-accomplissement des obligations auprès de la CNIL peut être sanctionné de jusqu’à cinq ans d’emprisonnement et 300 000 € d’amende.
Le texte de la loi du 26 janvier 2016 modernisant le système de santé modifie l’article L. 1110-4 du code de la santé publique, qui définit le respect de la vie privée des usagers. Alors qu’il se limitait jusqu’alors aux établissements de santé, il couvre désormais l’ensemble des secteurs sanitaire, social et médico-social. « Toutes les données produites par un établissement social auront le même statut que les données médicales, décode Christian Viallon, directeur opérationnel de Ressourcial. Par ailleurs, le texte remplace l’agrément d’hébergement de données “santé” délivré par l’ASIP [Agence des systèmes d’information partagés] par une certification. » La loi ne fait plus de différence entre données numériques et « papier » : les secondes doivent être aussi sécurisées que les premières. Enfin, le texte clarifie les conditions de partage de l’information entre professionnels de santé et du champ social et médico-social.