Un référentiel sur le traitement des données dans le champ social

Au JO du 23 mars, un référentiel publié par la CNIL et  "relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de l'accueil, l'hébergement et l'accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap et de celles en difficulté".

Sans valeur contraignante, ce référentiel s'adresse aux organismes privés ou publics, quelle que soit leur forme juridique, qui accueillent, hébergent ou accompagnent sur le plan social et/ou médico-social les personnes âgées, les personnes en situation de handicap et celles en difficulté. Sont en revanche exclus de son champ les mandataires judiciaires à la protection des majeurs et le le cadre de la prévention et la protection de l'enfance.

Ce référentiel porte sur les traitements de données à caractère personnel mis en œuvre couramment par ces organismes avec pour objectif de leur fournir  un outil d'aide à la mise en conformité à la réglementation relative à la protection des données à caractère personnel. Les organismes qui s'écarteraient du référentiel au regard des conditions particulières tenant à leur situation peuvent le faire.

La CNIL détaille, dans ce référentiel, les finalités poursuivies par les traitements mis en oeuvre parmi lesquelles on peut relever les prestations définies dans le cadre d'un contrat de séjour ou le document individuel de prise en charge, les droits aux prestations sociales légales et facultatives (aide sociale à l'hébergement, allocation personnalisée d'autonomie notamment), également offrir un accompagnement social et médico-social adapté aux difficultés rencontrées, échanger et partager les informations strictement nécessaires, dans le respect des dispositions de l'article L. 1110-4 du CSP et des dispositions du CASF, permettant de garantir la coordination et la continuité de l'accompagnement et du suivi des personnes entre les intervenants sociaux, médicaux et paramédicaux, assurer la gestion administrative (nombre de places disponibles, capacité d'accueil de l'établissement, etc.), financière et comptable de l'établissement, du service ou de l'organisme, et enfin assurer la remontée des informations préalablement anonymisées aux autorités compétentes concernant des dysfonctionnements graves ou évènements ayant pour effet de menacer ou de compromettre la santé, la sécurité ou le bien-être des personnes prises en charge conformément aux dispositions des articles R. 331-8 et suivants du CASF, établir des statistiques, des études internes et des enquêtes de satisfaction aux fins d'évaluation de la qualité des activités et des prestations et des besoins à couvrir.

Selon la finalité poursuivie, le référentiel propose un tableau corrélant les bases légales correspondantes. La CNIL rappelle aussi que le responsable de traitement doit veiller à ce que seules les données nécessaires à la poursuite des finalités du traitement soient effectivement collectées et traitées (données pertinentes), et ce, lorsqu'il en a besoin et au moment où le besoin se concrétise. S'agissant des données sensibles, la CNIL rappelle que leur collecte et leur traitement doivent respecter des conditions strictes (par exemple pour l'identifiant national de santé ou le numéro d'inscription au Répertoire de l'INSEE). La CNIL fournit des illustrations des données qu'elle considère comme étant en principe adaptées selon les finalités du traitement.

Seules les personnes habilitées au titre de leurs missions ou de leurs fonctions peuvent accéder aux données à caractère personnel traitées, et ce dans la stricte limite de leurs attributions respectives et de l'accomplissement de ces missions et fonctions.

Les destinataires des données sont listés, sans exhaustivité et par exemple, s'agissant de données traitées par une personne soumise au secret médical/professionnel, les professionnels et tout membre du personnel membre de la même équipe de soins ou non et n'exerçant pas au sein du même établissement, sous réserve dans ce dernier cas du recueil du consentement de la personne concernée conformément aux dispositions de l'article L. 1110-4 du CSP, qui participent à une ou plusieurs des finalités.

LA CNIL détaille les durées de conservation de ces données et les modalités d'information des personnes concernées.