Recevoir la newsletter
Veille juridique

Traitements de données : la CNIL allège les formalités dans le secteur social et médico-social

Article réservé aux abonnés

Publié le : Dernière Mise à jour : 26.07.2017 Lecture : 3 min.

La Commission nationale de l’informatique et des libertés (CNIL) a adopté trois délibérations portant autorisation unique de traitements de données à caractère personnel afin de « simplifier les formalités des organismes œuvrant dans le champ de l’action sociale et médico-sociale ». Cette « première brique du Pack de conformité “social” » doit leur permettre « de créer des traitements de données offrant suffisamment d’informations pour opérer un suivi personnalisé et efficace des personnes accompagnées, sans porter atteinte au respect de la vie privée », a-t-elle expliqué sur son site Internet (www.cnil.fr). Tandis que l’Association nationale des assistants de service social a récemment émis des craintes quant à la protection des données personnelles(1), la CNIL assure qu’« il ne s’agit pas de délivrer un blanc-seing aux organismes pour collecter, de manière systématique, l’ensemble des données figurant dans les autorisations uniques mais de répondre aux besoins des acteurs du secteur social et médico-social ». En outre, ces outils de simplification seront « prochainement suivis d’un guide sous forme de fiches pratiques pour expliquer de façon pédagogique les règles relatives à la protection des données personnelles et répondre à des questions concrètes des acteurs ».

Les secteurs concernés

Les trois autorisations uniques concernent les traitements de données à caractère personnel mis en œuvre dans les domaines :

→ de l’accueil, l’hébergement, l’accompagnement et du suivi des personnes handicapées et des personnes âgées ;

→ de l’accueil, l’orientation, l’accompagnement et du suivi social des personnes ;

→ de la prévention et de la protection de l’enfance.

Sont exclus des autorisations uniques :

→ les traitements mis en œuvre pour le compte de l’Etat, d’une personne morale de droit public ou de droit privé gérant une mission de service public, dès lors qu’ils comportent le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) – plus communément appelé « numéro de sécurité sociale » ;

→ les traitements ayant pour finalité le suivi de la procédure de signalement de situations de maltraitance ;

→ les traitements destinés à la gestion des informations préoccupantes relatives à l’enfance en danger, qui font l’objet d’une autorisation unique spécifique.

Les finalités des traitements

La CNIL définit les finalités des traitements de données qui entrent dans le champ des autorisations uniques. Certaines sont communes aux trois domaines : gestion administrative des personnes, élaboration et suivi du projet personnalisé d’accompagnement, échange et partage entre les intervenants sociaux, médicaux et paramédicaux des informations strictement nécessaires permettant de garantir la coordination et la continuité de l’accompagnement et du suivi, ou encore la gestion financière et comptable de l’établissement, du service ou de l’organisme. D’autres finalités sont propres à un domaine, comme l’organisation et le suivi des parcours d’insertion et/ou d’intégration scolaire, sociale et professionnelle pour les personnes handicapées, la gestion des impayés et la prévention des expulsions locatives ou encore l’accompagnement et le suivi des mineurs faisant l’objet d’une mesure d’accueil.

Les données collectées

La CNIL rappelle que des données à caractère personnel ne peuvent être collectées que si elles sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie. L’ensemble des données listées par les trois délibérations n’ont donc pas vocation à être systématiquement recueillies. Seules les données strictement nécessaires à la mise en œuvre du suivi social et médico-social de la personne concernée, ou de son représentant légal, peuvent faire l’objet d’un traitement. Dès lors, le responsable du traitement doit être en mesure de justifier du caractère nécessaire et proportionné des données à caractère personnel pour les besoins du travail poursuivi.

Selon l’autorisation unique dont ils relèvent, les établissements, les services et les organismes sont autorisés à collecter et à traiter les données relatives aux bénéficiaires de l’accompagnement et du suivi social et médico-social (nom, adresse, date de naissance…), à la vie personnelle (composition du foyer…), à la procédure de demande d’asile, à la situation professionnelle antérieure des personnes âgées, aux directives anticipées… Les données ne peuvent être conservées dans la base active au-delà de deux ans à compter du dernier contact avec la personne ayant fait l’objet de ce suivi, sauf dispositions législatives ou réglementaires contraires. Elles doivent être supprimées sans délai en cas de décès de la personne concernée.

Sont également détaillés les catégories de destinataires des données, l’information et les droits des personnes, les mesures de sécurité et les transferts de données à l’étranger.

Un engagement de conformité

Les responsables de traitement doivent adresser à la CNIL une déclaration comportant un engagement de conformité aux conditions posées par l’autorisation unique. Cette formalité pourra être effectuée sur le site Internet de la commission.

Notes

(1) Voir ASH n° 2953 du 25-03-16, p. 17.

[Délibérations n° 2016-094, n° 2016-95 et n° 2016-96 du 14 avril 2016, J.O. du 12-05-16]

Veille juridique

S'abonner
Div qui contient le message d'alerte
Se connecter

Identifiez-vous

Champ obligatoire Mot de passe obligatoire
Mot de passe oublié

Vous êtes abonné, mais vous n'avez pas vos identifiants pour le site ?

Contactez le service client 01.40.05.23.15

par mail

Recruteurs

Rendez-vous sur votre espace recruteur.

Espace recruteur