CNIL : Référentiel sur les données de santé et médico-sociales
La CNIL publie un référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de l’accueil, l’hébergement et l’accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap et de celles en difficulté.
La CNIL a récemment publié un Référentiel pour faciliter le traitement des données personnelles pour établissements de santé. Le Référentiel n’a pas de force contraignante mais permet d’assurer la conformité avec les règles du RGPD pour les acteurs du secteur. Comme nous avons plusieurs clients opérant dans ce domaine, en France et à l'étranger, ce sujet est important pour nous. Nous avons donc pensé qu'il pourrait être utile de créer un court résumé des points clés des dernières orientations de la CNIL dans ce domaine que nous partageons avec vous dans cet article !
Objectif précis et justifié
Premièrement le traitement des données personnelles doit toujours répondre à un objectif précis et être justifié.
Dans ce cas, les obligations des professionnels, organisations ou services de santé ne sont pas différentes de celles de tout autre responsable de traitement au titre du RGPD.
Pour les traitements relatifs à l’accueil, l’hébergement et l’accompagnement social et médico-social des opérations divers peuvent notamment être mis en œuvre. Conformément à l'article 6 du RGPD, un responsable de traitement doit invoquer une base légale pour justifier le traitement des données personnelles. Cela n'a rien de nouveau et constitue une obligation de base pour tous les acteurs du RGPD, notamment dans ce secteur sensible.
Ici, nous reprenons ces différentes opérations de traitement ainsi que la/les base(s) légale(s) recommandés par la CNIL pour le traitement des données personnelles dans le cadre de ces actions par des organismes privés dans le secteur de la santé, de l’accueil, de l’hébergement de de l’accompagnement social et médico-social.
Finalité et base légale applicable
Notamment, de divers traitements de données personnelles peuvent avoir lieu afin :
de fournir les prestations définies dans le cadre d’un contrat conclu entre l’organisme et la personne concernée ou son représentant légal et, le cas échéant, d’assurer la gestion du dossier administratif de la personne concerné —> Bases légales : exécution du contrat ou intérêts légitimes dès lors que le traitement mis en œuvre excède ce qui est nécessaire au contrat
d’instruire, de gérer et, le cas échéant, d’ouvrir les droits et/ou verser les prestations sociales légales et facultatives —> Base légale : pour les aides facultatives : intérêts légitimes
d’offrir un accompagnement social et médico-social adapté aux difficultés rencontrées ayant notamment pour objet d’élaborer un projet personnalisé d’accompagnement au regard des habitudes de vie, des demandes particulières, des besoins particuliers, de l’autonomie physique et psychique de la personne et d’en assurer le suivi conformément aux dispositions des articles L. 311-3 du CASF, d’assurer le suivi des personnes dans l’accès aux droits notamment l’assistance dans les relations et les 5 démarches à effectuer et, le cas échéant, d’orienter les personnes vers les structures compétentes susceptibles de les prendre en charge —> Base légale : intérêts légitimes
d’échanger et de partager les informations strictement nécessaires, dans le respect des dispositions de l’article L. 1110-4 du CSP et des dispositions du CASF, permettant de garantir la coordination et la continuité de l’accompagnement et du suivi des personnes entre les intervenants sociaux, médicaux et paramédicaux —> Base légale : intérêts légitimes
d’assurer la gestion administrative (nombre de places disponibles, capacité d’accueil de l’établissement, etc.), financière et comptable de l’établissement, du service ou de l’organisme —> Base légale : obligation légale
d’assurer la remontée des informations préalablement anonymisées aux autorités compétentes concernant des dysfonctionnements graves ou évènements ayant pour effet de menacer ou de compromettre la santé, la sécurité ou le bien-être des personnes prises en charge conformément aux dispositions des articles R. 331-8 et suivants du CASF, établir des statistiques, des études internes et des enquêtes de satisfaction aux fins d’évaluation de la qualité des activités et des prestations et des besoins à couvrir —> Bases légales : obligation légale ou intérêts légitimes.
Lors de la sélection d'une base légale pour le traitement des données à caractère personnel, il est important de prendre en compte la nature des données à caractère personnel à traiter (s'agit-il de données ordinaires, ou de données jugées “sensibles” en vertu de l'article 9 du RGPD), et également quel est le traitement - comment est-il mené, quelle est la finalité et des outils innovants sont-ils utilisés ou faites-vous appel à des tiers ? Cela vous aidera à mieux comprendre les risques et donc à sélectionner la base appropriée. Si la liste de la CNIL ci-dessus est utile, elle ne dispense pas les responsables de traitement de procéder à leur propre analyse de la base légale à appliquer aux traitements.
Principe de minimisation de données et de limitation de traitement
De plus la CNIL nous rappelle que, le responsable de traitement ne doit collecter que les données personnelles dont il a réellement besoin, et seulement à partir du moment ou ce besoin se concrétise. C'est en effet le cas pour tout acteur soumis au RGPD - en effet, la législation sur la protection des données personnelles nous dit que nous ne devons collecter que ce qui est strictement nécessaire à nos objectifs de traitement - quel que soit le secteur dans lequel nous opérons. Étant donné que dans ce secteur social / social-médical, les personnes concernées sont souvent très vulnérables et que les données et informations peuvent être invasives, cette exigence est encore plus importante.
La CNIL considère comme pertinente pour les finalités citées ci-dessus les données relatives :
à l’identification des bénéficiaires de l’accompagnement social et médico-social et, le cas échéant, de leurs représentants légaux ;
à la vie personnelle ;
au parcours professionnel et de formation dans le cadre de l’aide à l’insertion professionnelle des personnes ;
aux conditions de vies matérielles ;
à la couverture sociale ;
aux coordonnées bancaires dans la mesure où cette information est nécessaire au versement d’une prestation ;
à l’évaluation sociale et médico-sociale de la personne concernée ;
au type d’accompagnement et aux actions mis en œuvre ;
à l’identification des personnes concourant à la prise en charge sociale et médico-sociale et à l’entourage susceptible d’être contacté ; et
à l’identification des personnes dans le cadre de l’accompagnement au numérique.
La CNIL (p. 11 et 12 du Référentiel) publie un tableau avec les données qu’elle considère comme adapté au traitement.
Attention: données sensibles
Cependant attention, certaines données font l’objet d’une protection spécifique en raison de leur caractère extrêmement sensible. C’est le cas :
Du NIR qui ne peut être échangé qu’avec les professionnels de santé ou les organismes de sécurité sociale
De l’identifiant national de santé (INS) qui ne pourront pas a priori être collectés par des organismes privés comme
des données relatives aux infractions, condamnations pénales et mesures de sûreté connexes qui ne peuvent être traitées que dans certains cas dans le respect des dispositions légales relatives aux données d’infractions (art. 46 de la LIL)
des données dites « données sensibles », c’est-à-dire celles qui révèlent l’origine ethnique ou prétendument raciale, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne, les données génétiques, les données biométriques, les données concernant la santé ou celles concernant la vie sexuelle ou l’orientation sexuelle d’une personne. Ces données ne peuvent pas être collectées, sauf exception prévue par les textes.
Il existe alors 2 options pour collecter ces données dites “sensibles” :
Soit on est dans le cadre d’une exception prévue par la loi : (1) collectées à des fins d’administration de soins, de traitements, de diagnostics médicaux, de médecine préventive ou de gestion des services de santé (traitée par un professionnel de santé) ; ou ; (2) collectées pour délivrer une prestation sociale destinée aux personnes en situation de perte d’autonomie ou de handicap prévue par un texte législatif ou réglementaire ;
Soit on a obtenu un consentement libre, spécifique et éclairé de la personne concernée.
Par ailleurs, les données personnelles ne peuvent être rendues accessibles qu’aux seules personnes habilitées à en connaitre au regard de leurs attributions. La CNIL dégage plusieurs possibilités :
Les personnes accédant aux données pour le compte du responsable de traitement : ce sera seulement les personnes qui seront habilitées au titre de leurs missions ou de leurs fonctions et dans la limite de ces missions/fonctions
Les destinataires des données (c’est-à-dire les organismes recevant la communication des données
Les sous-traitants : il faut veiller à ne faire appel qu’a des organismes qui présentent des garanties suffisantes
Les tiers autorisés
Concernant la durée de conservation
En principe, il est recommandé que les données collectées et traitées, pour les besoins de l’accueil, l’hébergement et l’accompagnement social et médico-social des personnes ne soient pas conservées dans la base active au-delà de deux ans à compter du dernier contact émanant de la personne ayant fait l’objet de cet accompagnement.
La CNIL fournit (p.17 et 18 du Référentiel) un tableau permettant de fixer la durée de conservation des données en fonction de l’activité de traitement.
Sécurité et Confidentialité
En raison du risque présenté par le traitement dans ce secteur, l’organisme qui collecte les données doit prendre toutes les mesures nécessaires pour préserver la sécurité des données à caractère personnel.
Conclusion
Bien sûr, le domaine de l’accueil, l’hébergement et l’accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap et de celles en difficulté peut être difficile pour de nombreuses raisons - budget, contraintes de temps, diverses obligations réglementaires en plus de celles imposées par les lois sur la protection des données. Dans ce secteur, la confiance est essentielle, il est donc important que toutes les données personnelles (qu'elles soient de nature administrative, voire sensible) soient traitées de manière équitable, transparente et sécurisée. De nombreux acteurs de ce secteur se félicitent d'ailleurs de la dernière publication de la CNIL sur ce sujet.
Enfin, si vous avez des questions concernant le référentiel ou le traitement de vos données n’hésitez pas à nous contacter en cliquant ici !
Article rédigé par Inès Papaix @ Gerrish Legal, mai 2021.