Protection de l'enfance et des jeunes majeurs de moins de 21 ans : la CNIL publie un référentiel relatif aux traitements de données à caractère personnel
Les référentiels adoptés par la CNIL sont des outils qui permettent à un organisme de mettre en conformité ses traitements de données personnelles. S’ils n’ont pas de caractère obligatoire (les organismes peuvent s’en écarter de leurs préconisations sous réserve de pouvoir justifier leurs choix), ils permettent toutefois d’offrir une sécurité juridique aux organismes qui s’y conforment.
Après avoir rappelé ce postulat, la CNIL précise l'objectif du référentiel qui s’adresse à l’ensemble des organismes privés ou publics concernés par l’accueil, l’hébergement et/ou l’accompagnement sur le plan social, médico-social, éducatif et/ou judiciaire des mineurs et jeunes majeurs de moins de vingt-et-un-ans. Il actualise d’anciens cadres de référence (AU-49 et AU-28) qui n’ont plus de valeur juridique depuis l’entrée en application du RGPD. Sont notamment concernés les services de l'ASE, les foyers de l'enfance, les maisons d'enfants à caractère social, les établissements ou services publics ou privés mettant en œuvre les mesures éducatives etc.
Outil d’aide à la mise en conformité, ce référentiel permet d’appliquer les règles de protection des données aux traitements relevant du secteur de l’enfance, tels que la gestion du recueil, le traitement et l’évaluation des informations préoccupantes relatives à l’enfance en danger par les CRIP des départements ou encore l’instruction et le suivi de l’accueil durable et bénévole par un tiers d’un enfant pris en charge par le service de l’aide sociale à l’enfance.
Les données à caractère personnel ne peuvent être rendues accessibles qu’aux seules personnes habilitées à en connaitre au regard de leurs attributions. Avant toute communication des informations, le responsable de traitement doit, d’une part, s’interroger sur la finalité de la transmission pour s’assurer de sa pertinence et de sa légitimité et, d’autre part, vérifier que les données communiquées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie (voir notamment le point 10 qui détaille la sécurité attendue).
Les traitements mis en œuvre doivent répondre à un objectif précis et être justifiés au regard des missions et des activités des organismes. Ils peuvent notamment être mis en œuvre pour fournir des prestations ou assurer la gestion du dossier administratif de la personne concernée, offrir un accompagnement social, socio-éducatif, judiciaire et médico-social adapté, permettre l'échange et le partage des informations strictement nécessaires pour garantir la coordination et la continuité de l’accompagnement et du suivi des personnes entre les intervenants sociaux, médicaux et paramédicaux, instruire et verser éventuellement les prestations sociales, assurer l’évaluation de la situation de la minorité de la personne concernée par les
services de l’ASE des départements, gérer le recueil, le traitement et l’évaluation des informations préoccupantes relatives à l’enfance en danger par les CRIP des départements, assurer la surveillance et le contrôle des établissements et services d’accueil de mineurs.
La CNIL propose un tableau récapitulant les bases légales au regard de la finalité recherchée (pp.6-8).
Elle précise également les données pertinentes qui peuvent être recueillies, sachant que certaines catégories de données appellent une vigilance renforcée en raison de leur caractère particulièrement sensible (NIR, identifiant national de santé, données relatives aux infractions ou condamnations). L'intérêt du référentiel est de proposer des exemples illustratifs. Un tableau fournit des illustrations des données que la CNIL considère comme étant en principe adaptées selon les finalités du traitement.
Un autre tableau s'attache à la conservation des données (pp.18-19).