RGPD : la CNIL édite un référentiel de protection des données personnelles à destination des ESSMS

Mar 24, 2021Droit des associations et des ESMS, RGPD

}

Temps de lecture : 21 minutes

Au JO du 23 mars 2021 a été publié la délibération de la Commission nationale de l’informatique et des libertés (CNIL) n° 2021-028 du 11 mars 2021 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de l’accueil, l’hébergement et l’accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap et de celles en difficulté. Sans surprise, ce vade-mecum correspond aux préconisations qui avaient été anticipées – au vu des textes et de la jurisprudence la plus récente – par les avocats, juristes et informaticiens du Cabinet ACCENS AVOCATS CONSEILS lors du webinaire du “Club DPO” de la semaine dernière.

.

Ce nouveau référentiel de la CNIL est applicable :

  • à toutes les catégories d’établissements et services sociaux et médico-sociaux (ESSMS) et aux organismes gestionnaires, à l’exclusion des organismes de droit privé et/ou public oeuvrant à la prévention et la protection de l’enfance et des mandataires judiciaires à la protection des majeurs (MJPM) ;
  • aux Conseils départementaux ;
  • aux Maisons départementales des personnes handicapées (MDPH) ;
  • aux Centres communaux d’action sociale (CCAS) ;
  • aux organismes chargés de la gestion d’un régime de base de la sécurité sociale légalement obligatoire ou du service des allocations, prestations et aides mentionnés dans le Code de la sécurité sociale (C. Sécu. Soc.) ou le Code de l’action sociale et des familles (CASF).

Ce référentiel a pour objectif de fournir aux organismes mettant en œuvre de tels traitements un outil d’aide à la mise en conformité à la réglementation relative à la protection des données à caractère personnel. La CNIL rappelle à cette occasion que les traitements mis en œuvre par les organismes dans le cadre de l’accompagnement social et/ou médico-social doivent être inscrits dans le registre prévu à l’article 30 du Règlement général sur la protection des données à caractère personnel (RGPD).

Le document, qui n’a par lui-même aucune valeur contraignante, doit permettre d’assurer la conformité des traitements de données mis en œuvre par les organismes aux principes relatifs à la protection des données, dans un contexte d’évolution des pratiques à l’ère du numérique. Les organismes qui s’en écarteraient au regard des conditions particulières tenant à leur situation peuvent le faire mais ils doivent pouvoir justifier de l’existence d’un tel besoin et des mesures mises en œuvre afin de garantir la conformité des traitements à la réglementation en matière de protection des données à caractère personnel.

Le référentiel n’a pas non plus pour objet d’interpréter les règles de droit autres que celles relatives à la protection des données à caractère personnel. Il appartient donc aux acteurs concernés de s’assurer qu’ils respectent les autres réglementations qui peuvent par ailleurs trouver à s’appliquer.

Au-delà, ce référentiel constitue une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD) dans le cas où celle-ci est nécessaire.

1. Finalités des traitements

Au sens du référentiel, répondent à des finalités légitimes les traitements servant :

  • à la délivrance de prestations définies dans le cadre d’un contrat conclu entre l’organisme et la personne concernée ou son représentant légal ;
  • à la gestion du dossier administratif de l’usager ;
  • à l’instruction, la gestion et, le cas échéant, l’ouverture des droits et/ou le versement des prestations sociales légales et facultatives ;
  • à l’accompagnement social et médico-social répondant aux difficultés rencontrées, notamment l’élaboration d’un projet personnalisé d’accompagnement au regard des habitudes de vie, des demandes particulières, des besoins particuliers, de l’autonomie physique et psychique de la personne ;
  • au suivi de cet accompagnement conformément à l’article L. 311-3 du CASF ;
  • au suivi des personnes dans l’accès aux droits, notamment l’assistance dans les relations et les démarches à effectuer et, le cas échéant, leur orientation vers les structures compétentes susceptibles de les prendre en charge ;
  • à l’échange et au partage des informations strictement nécessaires, dans le respect des dispositions de l’article L. 1110-4 du CSP et du CASF, pour garantir la coordination et la continuité de l’accompagnement et du suivi des personnes entre les intervenants sociaux, médicaux et paramédicaux ;
  • à la gestion administrative (nombre de places disponibles, capacité d’accueil de l’établissement, etc.), financière et comptable de l’établissement, du service ou de l’organisme ;
  • à la remontée des informations, préalablement anonymisées, aux autorités compétentes concernant des dysfonctionnements graves ou évènements ayant pour effet de menacer ou de compromettre la santé, la sécurité ou le bien-être des personnes prises en charge conformément aux articles R. 331-8 et suivants du CASF ;
  • à l’établissement des statistiques, des études internes et des enquêtes de satisfaction aux fins d’évaluation de la qualité des activités et des prestations et des besoins à couvrir.

2. Base légale du traitement

La CNIL rappelle que chaque traitement doit être caractérisé par une base légale identifiée et propose dans un tableau, pour chacune des finalités précitées, des références juridiques adéquates :

3. Données à caractère personnel concernées

Rappelant l’importance du principe de minimisation des données, la CNIL vise les données à caractère personnel utiles :

  • à l’identification des bénéficiaires de l’accompagnement social et médico-social et, le cas échéant, de leurs représentants légaux ;
  • à la vie personnelle ;
  • au parcours professionnel et de formation dans le cadre de l’aide à l’insertion professionnelle des personnes ;
  • aux conditions de vies matérielles ;
  • à la couverture sociale ;
  • aux coordonnées bancaires dans la mesure où cette information est nécessaire au versement d’une prestation ;
  • à l’évaluation sociale et médico-sociale de la personne concernée ;
  • au type d’accompagnement et aux actions mis en œuvre ;
  • à l’identification des personnes concourant à la prise en charge sociale et médico-sociale et à l’entourage susceptible d’être contacté ;
  • à l’identification des personnes dans le cadre de l’accompagnement au numérique.

La Commission attache une importance particulières aux traitements du numéro de sécurité sociale (NIR), des données sensibles et des données relatives aux condamnations pénales et infractions.En effet, bénéficiant d’une protection spécifique, les données traitées ne peuvent être collectées et traitées que dans des conditions strictement définies par les textes :

  • le numéro d’inscription au registre (NIR) national d’identification des personnes physiques fait l’objet d’une réglementation spécifique. Il ne peut être enregistré dans le traitement que dans le cadre des échanges avec les professionnels de santé ou les organismes de sécurité sociale, de prévoyance et les MDPH. Le décret n° 2019-341 du 19 avril 2019 détermine les catégories de responsables de traitement et les finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre lorsqu’ils portent sur des données comportant le NIR ;
  • l’identifiant national de santé ou INS (articles L. 1111-8-1 et R. 1111-8-1 et suivants du CSP) ne peut être utilisé que pour répertorier et retrouver les données de santé et les données administratives rattachées à une personne bénéficiant ou appelée à bénéficier d’une prise en charge sanitaire ou médico-sociale. L’INS ne peut être utilisé que par les professionnels, les établissements, services ou organismes participant à la prévention ou aux soins dont les conditions d’exercice ou les activités sont régies par le CSP (professionnels de santé libéraux, établissements de santé, etc.), par les professionnels du secteur social et médico-social, par les ESSMS, les MDPH ou par les professionnels constituant une équipe de soins au sens de l’article L. 1110-12 du CSP et intervenant dans la prise en charge sanitaire ou médico-sociale de l’usager ;
  • les données relatives aux infractions, condamnations pénales et mesures de sûreté connexes ne peuvent être traitées que dans certains cas dans le respect des dispositions légales relatives aux données d’infractions (article 46 de la loi “informatique et libertés”) ;

Enfin, la CNIL traite du cas particulier des données sensibles, définies comme révélant :

  • l’origine ethnique ou prétendument raciale ;
  • les opinions politiques ;
  • les convictions religieuses ou philosophiques ;
  • l’appartenance syndicale ;
  • les données génétiques ;
  • les données biométriques ;
  • les données concernant la santé ;
  • les données concernant la vie sexuelle ou l’orientation sexuelle.

Ces données ne peuvent pas être collectées, sauf exception prévue par les textes.

4. Consentement aux traitements

Le référentiel rappelle qu’il convient de distinguer le consentement, en tant qu’exception prévue par le RGPD autorisant la collecte de données sensibles, du consentement en tant que base légale ou base juridique qui autorise légalement la mise en œuvre du traitement. Il propose, dans un tableau, une typologie indicative reliant les finalités aux données et aux fondements juridiques :


Catégories de données
Exemples de données
identification des bénéficiaires de l’accompagnement social et médico-social et, le cas échéant, de leurs représentants légaux– nom

– prénom

– sexe

– adresse

– courriel

– numéro de téléphone

– date et lieu de naissance

– photographie : elle ne doit être collectée que lorsque cela est strictement nécessaire au regard de l’objectif poursuivi (ex. : pour retrouver un pensionnaire d’un EHPAD qui s’est soustrait à la vigilance du personnel).

– numéro d’identification de rattachement à un organisme : numéro d’adhérent ou d’allocataire

– numéro de sécurité sociale dans les conditions fixées par le décret n° 2019-341 du 19 avril 2019

Nationalité du bénéficiaire sous la forme « Français / UE / hors UE », les documents prouvant la régularité du séjour en France de la personne concernée dès lors que le bénéfice de l’aide ou de la prestation sociale est soumis à une condition de régularité du séjour

– informations relatives à la procédure de demande d’asile sous la forme : « dépôt d’une demande d’asile : oui/non »

– informations relatives à la procédure de demande de titre de séjour sous la forme : « dépôt d’une demande de titre de séjour oui/non »

– nationalité de la personne concernée

– informations nécessaires à l’élaboration du récit de vie de la personne concernée

Dans des cas exceptionnels, la photocopie de la pièce d’identité de la personne concernée notamment dans le cadre de l’accompagnement relatif à la gestion budgétaire auprès des organismes publics et/ou privés (ex. : dépôt d’un dossier de surendettement auprès de la Banque de France, etc.)

vie personnelle
– situation et composition familiale du foyer

– identification d’enfants pris en charge dans le cadre de la protection de l’enfance

– habitudes de vie nécessaires à l’organisation de la vie quotidienne (ex. : habitudes alimentaires, activité physique, toilette quotidienne, nombre d’heure de sommeil, etc.)

– centres d’intérêt

– langue parlée dans la mesure où cette information est indispensable pour mentionner le besoin d’interprètes
parcours professionnel et de formation dans le cadre de l’aide à l’insertion professionnelle des personnes– scolarité

– situation au regard de l’emploi, de la formation et de la qualification
conditions matérielles de vieSituation financière :

– ressources

– charges

– crédits

– dettes

Peuvent également être collectées les informations relatives :

– à la liste des comptes bancaires existants

– aux dates d’ouverture desdits comptes

– aux moyens de paiement

– au montant du découvert autorisé

– à l’inscription, le cas échéant, au fichier national des incidents de remboursement des crédits aux particuliers (FICP) et au fichier central des chèques (FCC) sous réserve que ces informations soient strictement nécessaires à l’accompagnement budgétaire réalisé

Prestations et avantages sociaux perçus :

– nature

– montant

– quotient familial

– numéro d’allocataire

Situation face au logement et à l’hébergement :

– type du logement

– caractéristiques du logement

– modalités d’hébergement (domicile personnel, familial, sans abri, hébergement de fortune, hébergement mobile, hébergement d’urgence, hébergement d’insertion)

Moyens de mobilité
couverture sociale– organismes de rattachement

– régimes d’affiliation

– droits ouverts
coordonnées bancaires dans la mesure où cette information est nécessaire au versement d’une prestation
– relevé d’identité bancaire (RIB)
évaluation sociale et médico-sociale de la personne concernée– difficultés rencontrées et appréciations sur celles-ci

– évaluation de la situation des personnes afin de repérer l’aggravation de difficultés ou encore d’une perte d’autonomie s’agissant des personnes âgées ou en situation de handicap
type d’accompagnement et aux actions mis en œuvre– domaines d’intervention

– historique des mesures d’accompagnement

– objectifs

– parcours

– actions d’insertion prévues

– entretien et suivi
identification des personnes concourant à la prise en charge sociale et médico-sociale et à l’entourage susceptible d’être contacté– nom

– prénom

– qualité

– organisme d’appartenance

– numéro de téléphone de l’organisme

– adresse des aidants professionnels ou familiaux

– courriel des aidants professionnels ou familiaux

– numéro de téléphone des aidants professionnels ou familiaux

– le cas échéant, le lien familial : époux / épouse, frère / sœur, fils / fille, etc.

– identité et coordonnées du médecin traitant

– identité et coordonnées des médecins expert

– identité et coordonnées de la personne de confiance
identification des personnes dans le cadre de l’accompagnement au numériqueDans des cas exceptionnels, il est possible d’enregistrer les identifiants et mots de passe de l’espace personnel de la personne concernée lorsque celle-ci n’est pas en capacité de se connecter seule (ex. : la personne concernée n’est pas en mesure de se déplacer et est dépourvue d’un accès à Internet)

L’enregistrement des mots de passe de l’usager ne doit être réalisé que dans le cadre d’un mandat signé entre l’usager et le professionnel.
informations relatives à certaines aides sociales légales

(liste non exhaustive)
– aide sociale pour l’hébergement (ASH)

– allocation personnalisée d’autonomie (APA)

(les données susceptibles d’être collectées par les Conseils départementaux dans le cadre de l’instruction, la gestion et le versement de l’APA et de l’ASH sont listées par l’article R. 232-41 du CASF)

Carte « mobilité inclusion » : les données susceptibles d’être collectées par les MDPH et les Conseils départementaux dans le cadre de l’instruction, la gestion et la délivrance des cartes « mobilité inclusion » sont listées par l’article D. 241-18-1 du CASF.

Revenu de solidarité active (RSA) : les données susceptibles d’être collectées par les Caisses d’allocations familiales (CAF) et les Caisses de mutualité sociale agricole (MSA) dans le cadre de l’instruction, la liquidation et le versement du RSA sont listées à l’article R. 262-103 du CASF.

Les informations relatives aux bénéficiaires du RSA font l’objet d’échanges entre les Conseils départementaux et Pôle Emploi afin de coordonner leurs actions d’insertion professionnelles conformément aux dispositions de l’article R. 262-116-2 du CASF.

L’organisme doit par ailleurs s’assurer, tout au long de la durée de vie du traitement, de la qualité de ces données qui doivent être exactes, mises à jour et toujours nécessaires à l’objectif poursuivi.

5. Destinataires des données et accès aux informations

Les données personnelles ne peuvent être rendues accessibles qu’aux seules personnes habilitées à en connaître au regard de leurs attributions. D’une manière générale, les habilitations d’accès doivent être documentées par les organismes et les accès aux différents traitements doivent faire l’objet de mesures de traçabilité.

5.1. Personnes accédant aux données pour le compte du responsable de traitement

Seules les personnes habilitées au titre de leurs missions ou de leurs fonctions peuvent accéder aux données à caractère personnel traitées, et ce dans la stricte limite de leurs attributions respectives et de l’accomplissement de ces missions et fonctions.

Il peut s’agir, par exemple, des professionnels et de tout membre du personnel de l’établissement, du service concourant à une ou plusieurs des finalités susvisées, dans la limite de leurs attributions respectives et des règles encadrant le partage et l’échange d’informations (ex. : l’équipe pluridisciplinaire de la MDPH , les professionnels et tout membre du personnel membre de la même équipe de soins exerçant au sein du même établissement).

5.2. Destinataires des données

Le RGPD définit les destinataires comme « tout organisme qui reçoit la communication des données ».

Avant toute communication des informations, le responsable de traitement doit:

  • d’une part, s’interroger sur la finalité de la transmission pour s’assurer de sa pertinence et de sa légitimité ;
  • d’autre part, vérifier que les données communiquées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie.
    Dans le cadre de ce référentiel, peuvent notamment être destinataires des données (liste non-exhaustive) :

S’agissant de données traitées par une personne soumise au secret médical/professionnel, ont accès au données :

  • les professionnels et tout membre du personnel membre de la même équipe de soins ou non et n’exerçant pas au sein du même établissement, sous réserve dans ce dernier cas du recueil du consentement de la personne concernée conformément aux dispositions de l’article L. 1110-4 du CSP, qui participent à une ou plusieurs des finalités susvisées ;
  • les personnes appelées à intervenir dans la gestion financière et successorale du patrimoine de la personne ayant fait l’objet d’un accompagnement et d’un suivi ;
  • les organismes instructeurs et payeurs de prestations sociales ;
  • les organismes financeurs et gestionnaires, s’agissant exclusivement de données préalablement anonymisées, à l’exception de ceux autorisés par une disposition légale ou réglementaire à obtenir la communication de données à caractère personnel des personnes accompagnées ;
  • les autorités administratives compétentes mentionnées par les dispositions des articles R. 331-8 et suivants du CASF, s’agissant exclusivement de données préalablement anonymisées, dans le cadre des signalements de dysfonctionnement grave ou évènement ayant pour effet de menacer ou de compromettre la santé, la sécurité ou le bien-être des personnes prises en charge.

5.3. Sous-traitants

Le RGPD définit les sous-traitants comme « La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ». Il peut s’agir, par exemple :

  • des prestataires de services informatiques (hébergement, maintenance, etc.) ;
  • de tout organisme offrant un service ou une prestation impliquant un traitement de données à caractère personnel pour le compte d’un autre organisme (ex. : la gestion de la paie des salariés ou des agents).

Le responsable de traitement qui souhaite avoir recours à un sous-traitant doit veiller à ne faire appel qu’à des organismes présentant des garanties suffisantes.

Un contrat définissant les caractéristiques du traitement ainsi que les différentes obligations des parties en matière de protection des données doit être établi entre elles (article 28 du RGPD).

5.4. Tiers autorisés

Les autorités légalement habilitées sont susceptibles, dans le cadre d’une mission particulière ou de l’exercice d’un droit de communication, de demander au responsable de traitement la communication de données à caractère personnel (ex. : Pôle Emploi ou les organismes de sécurité sociale dans le cadre de la lutte contre la fraude, les administrations de la justice, de la police, de la gendarmerie).

Dans ce cas, le responsable du traitement doit s’assurer du caractère contraignant de la disposition avancée et ne transmettre que les données prévues par le texte, ou, si ce dernier ne les liste pas, les seules données indispensables au regard de la finalité du droit de communication en question.

5.5. Transferts de données à caractère personnel en dehors de l’Union européenne

Pour assurer la continuité de la protection des données à caractère personnel, leur transfert en dehors de l’Union européenne est soumis à des règles particulières. Ainsi, conformément aux dispositions des articles 44 et suivants du RGPD, toute transmission de données hors de l’UE doit :

  • être fondée sur une décision d’adéquation ;
  • ou être encadrée par des règles internes d’entreprise (« BCR »), des clauses types de protection des données, un code de conduite ou un mécanisme de certification approuvé par la CNIL ;
  • ou être encadrée par des clauses contractuelles ad hoc préalablement autorisées par la CNIL ;
  • ou répondre à une des dérogations prévues à l’article 49 du RGPD.

6. Durées de conservation

Une durée de conservation précise des données doit être fixée en fonction de chaque finalité : ces données ne peuvent en effet pas être conservées pour une durée indéfinie.

La durée de conservation de données ou, lorsqu’il est impossible de la fixer, les critères utilisés pour déterminer cette durée, font partie des informations qui doivent être communiquées aux personnes concernées.

Le responsable du traitement doit déterminer cette durée en amont de la réalisation du traitement.

La CNIL propose un tableau indicatif des durées de conservation applicables :

7. Conservation de données anonymisées

La réglementation relative à la protection des données à caractère personnel ne s’applique pas, notamment en ce qui concerne les durées de conservation, aux données anonymisées. Il s’agit des données qui ne peuvent plus, par quiconque, être mises en relation avec la personne physique identifiée à laquelle elles se rapportaient initialement.

Attention : l’anonymisation doit être distinguée de la pseudonymisation où il est techniquement possible de retrouver l’identité de la personne concernée grâce à des données tierces. En effet, l’opération de pseudonymisation est réversible, contrairement à l’anonymisation.

Ainsi, le responsable du traitement peut conserver sans limitation de durée les données anonymisées. Dans ce cas, l’organisme concerné doit garantir le caractère anonymisé des données de façon pérenne.

8. Information des personnes

Un traitement de données à caractère personnel doit être mis en œuvre en toute transparence vis-à-vis des personnes concernées.

8.1. Contenu de l’information à délivrer

L’information communiquée aux personnes doit se faire dans les conditions prévues par les articles 12, 13 et 14 du RGPD.

Dès le stade de la collecte des données à caractère personnel, les personnes concernées doivent notamment être informées de l’existence du traitement, de ses caractéristiques essentielles (parmi lesquelles l’identité du responsable du traitement et l’objectif poursuivi) et des droits dont elles disposent.
Des exemples de mentions d’information sont disponibles sur le site de la CNIL et peuvent être consultés dans la rubrique « RGPD : exemples de mentions d’information ».

8.2. Modalités de l’information

Afin de respecter pleinement les principes de loyauté et de transparence et conformément aux dispositions des articles 13 et 14 du RGPD, les personnes doivent en principe être directement informées au moment où les données sont collectées.

Si le RGPD n’impose aucune forme spécifique, une information écrite doit être privilégiée de manière à pouvoir justifier de son contenu, ainsi que du moment où elle a été délivrée.

Dans le cadre de l’accompagnement social et médico-social des personnes, le responsable de traitement procède à l’information des personnes concernées et, le cas échéant, de leurs représentants légaux par tout moyen approprié (ex. : mentions d’informations insérées au sein du livret d’accueil, du contrat de séjour, du DIPEC, du contrat d’hébergement, des formulaires de demandes de prestations sociales), dans un langage compréhensible et selon des modalités appropriées et adaptées à leur situation (ex. : pictogramme, à l’oral, images ludiques notamment lorsque le public concerné est mineur, recours à la méthode « Facile à lire et à comprendre » dite « FALC ») conformément aux dispositions de l’article 12 du RGPD. De manière générale, une information orale est recommandée en plus d’une information écrite, afin de s’assurer de la bonne compréhension par la personne concernée des informations communiquées.

9. Droits des personnes

Le référentiel de la CNIL rappelle les droits que les personnes peuvent exercer sur les données à caractère personnel qui les concernent :

  • le droit d’accès permet à la personne de savoir si des données la concernant sont traitées par le responsable de traitement et, dans cette hypothèse, d’obtenir des précisions sur les conditions de ce traitement et, à sa demande, d’obtenir une copie des données la concernant détenues par ce responsable ;
  • le droit de rectification permet à la personne concernée de demander la rectification des informations inexactes ou incomplètes la concernant ;
  • le droit à l’effacement permet à la personne concernée de demander à un organisme l’effacement de données à caractère personnel la concernant (ex. : les données sont effacées par le responsable de traitement pour respecter les délais de conservation fixés par les textes législatifs ou réglementaires, la personne a retiré le consentement sur lequel est fondé le traitement) ;
  • le droit à la limitation du traitement (par exemple, lorsque la personne conteste l’exactitude de ses données, celle-ci peut demander à l’organisme le gel temporaire du traitement de ses données, le temps que celui-ci procède aux vérifications nécessaires) ;
  • le droit à la portabilité, dans les conditions prévues conformément aux dispositions du RGPD, offre à la personne concernée la possibilité de récupérer une partie des données la concernant dans un format ouvert et lisible par machine afin de les réutiliser à des fins personnelles. Ce droit ne s’applique que si les trois conditions suivantes sont réunies : 1°) limitation aux seules données à caractère personnel fournies par la personne concernée, 2°) application uniquement si les données sont traitées de manière automatisée (exclusion des fichiers par voie papier) et sur la base du consentement préalable de la personne concernée ou de l’exécution d’un contrat conclu avec la personne concernée et 3°) respect des droits et libertés des tiers ;
  • le droit de s’opposer au traitement de leurs données, sous réserve des conditions d’exercice de ce droit en application des dispositions de l’article 21 du RGPD.

En ce qui concerne les traitements relatifs à l’accompagnement social et/ou médico-social, la personne concernée peut s’opposer au traitement de ses données, à condition :

  • d’invoquer des raisons tenant à sa situation particulière,
  • et uniquement lorsque le traitement est mis en œuvre sur la base légale de l’intérêt légitime du responsable de traitement, ou pour l’exécution d’une mission d’intérêt public ou d’une mission relevant de l’exercice de l’autorité publique (ex. : le responsable de traitement peut refuser à la personne concernée l’exercice de son droit d’opposition dès lors que le traitement des informations la concernant repose sur l’obligation légale).

Le responsable du traitement peut refuser de donner suite à cette demande d’opposition s’il démontre qu’il dispose d’intérêts légitimes et impérieux qui prévalent sur les droits et libertés du demandeur.

10. Sécurité

L’organisme doit prendre toutes les précautions utiles au regard des risques présentés par son traitement pour préserver la sécurité des données à caractère personnel et, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.

En particulier, la CNIL invite le responsable des traitements à mettre en œuvre les mesures suivantes, ou être en mesure de justifier de la mise en place de mesures équivalentes ou de leur absence de nécessité ou de possibilité (les particuliers traitant un volume faible de données prennent, par exemple, les mesures élémentaires de sécurité pour assurer la sécurité et la confidentialité des données qu’ils traitent) :


Catégories
Mesures
Sensibiliser
les utilisateurs

– informer et sensibiliser les personnes manipulant les données

– rédiger une charte informatique et lui donner une force contraignante
Authentifier
les utilisateurs

– adopter une politique de mots de passe utilisateur conforme aux recommandations de la CNIL

– obliger l’utilisateur à changer son mot de passe après réinitialisation

– limiter le nombre de tentatives d’accès à un compte

Gérer les habilitations
– définir des profils d’habilitation

– supprimer les permissions d’accès obsolètes

– réaliser une revue annuelle des habilitations

Tracer les accès
et
gérer les incidents
– informer les utilisateurs de la mise en place du système de journalisation

– protéger les équipements de journalisation et les informations journalisées

– prévoir les procédures pour les notifications de violation de données à caractère personnel

Sécuriser les
postes de travail
– prévoir une procédure de verrouillage automatique de session

– utiliser des antivirus régulièrement mis à jour

– installer un « pare-feu » (firewall) logiciel

– recueillir l’accord de l’utilisateur avant toute intervention sur son poste

Sécuriser l’informatique
mobile

– prévoir des moyens de chiffrement des équipements mobiles

– faire des sauvegardes ou des synchronisations régulières des données

– exiger un code secret pour le déverrouillage des ordiphones

Protéger le
réseau
informatique
interne

– limiter les flux réseau au strict nécessaire

– sécuriser les accès distants des appareils informatiques nomades par VPN

– mettre en œuvre le protocole WPA2 ou WPA2-PSK, ou supérieur, pour les réseaux Wi-Fi

Sécuriser
les serveurs

– limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées

– installer sans délai les mises à jour critiques

– assurer une disponibilité des données

Sécuriser
les sites web

– utiliser le protocole TLS et vérifier sa mise en œuvre

– vérifier qu’aucun mot de passe ou identifiant n’est encapsulé dans les URL

– contrôler que les entrées des utilisateurs correspondent à ce qui est attendu

– mettre un bandeau de consentement pour les cookies et autres traceurs non nécessaires au service

Sauvegarder
et prévoir
la continuité
d’activité

– effectuer des sauvegardes régulières

– stocker les supports de sauvegarde dans un endroit sûr

– prévoir des moyens de sécurité pour le convoyage des sauvegardes

– prévoir et tester régulièrement la continuité d’activité

Archiver de
manière sécurisée

– mettre en œuvre des modalités d’accès spécifiques aux données archivées

– détruire les archives obsolètes de manière sécurisée

Encadrer
la maintenance et
la destruction des données

– encadrer par un responsable de l’organisme les interventions par des tiers

– effacer les données de tout matériel avant sa mise au rebut


Gérer la
sous-traitance
Les relations avec les prestataires qui traitent des données au nom et pour le compte du responsable de traitement (l’organisme employeur) doivent faire l’objet d’un accord écrit.

Cet accord doit contenir une ou des clauses spécifiques relatives aux obligations respectives des parties résultant du traitement des données à caractère personnel.

L’accord doit notamment prévoir les conditions de restitution et de destruction des données.

Il incombe au responsable de traitement de s’assurer de l’effectivité des garanties prévues (audits de sécurité, visites, etc.).

Sécuriser les
échanges avec d’autres
organismes

– ne pas transmettre des fichiers contenant les données à caractère personnel des usagers en clair via des messageries grand public

– privilégier des moyens de communication autres que les messageries grand public pour communiquer des informations relatives aux personnes accompagnées à d’autres travailleurs sociaux ou organismes (ex. : plateformes d’échanges sécurisées, messagerie interne)

– chiffrer les pièces sensibles à transmettre, si cette transmission utilise la messagerie électronique

– s’assurer qu’il s’agit du bon destinataire

– assurer la confidentialité des secrets (clé de chiffrement, mot de passe, etc.) en les transmettant via un canal distinct (ex. : envoi du fichier chiffré par courriel et transmission du secret par téléphone ou par SMS)
Protéger
les locaux et
les bureaux physiques

– restreindre les accès aux locaux au moyen de portes verrouillées

– installer des alarmes anti-intrusion et les vérifier périodiquement

– ranger tous les documents papiers relatifs aux usagers dans des armoires fermées à clé

– verrouiller la porte d’accès au bureau en cas d’absence prolongée
Encadrer les développements informatiques
– proposer des paramètres respectueux de la vie privée aux utilisateurs finaux

– encadrer de manière stricte les zones de commentaires libres

– tester sur des données fictives ou anonymisées

Utiliser des
fonctions cryptographiques

– utiliser des algorithmes, des logiciels et des bibliothèques reconnus

– conserver les secrets et les clés cryptographiques de manière sécurisée
Sécuriser les
mots de passe
des usagers

– utiliser un gestionnaire de mots de passe ou un carnet stocké dans un coffre-fort pour enregistrer les mots de passe des usagers accompagnés dans le cadre de l’accompagnement numérique

11. Analyse d’impact relative à la protection des données (AIPD)

Les traitements ayant pour finalité l’accompagnement social et médico-social des personnes figurant dans la liste des types d’opérations de traitement pour lesquelles une AIPD est requise, doivent systématiquement donner lieu à la réalisation préalable d’une AIPD.

Sont concernés les deux types de traitements suivants :


Types d’opérations de traitement

Exemples

Traitements de données
de santé mis en œuvre
par les établissements de
santé ou les ESSMS pour
la prise en charge des personnes

– Traitement portant sur les dossiers des résidents pris en charge par un centre communal d’action sociale (CCAS) ou par un établissement d’hébergement pour personnes âgées dépendantes (EPHAD)

Traitements ayant pour finalité l’accompagnement social et/ou médico-social
des personnes

– traitement mis en œuvre par un établissement ou une association dans le cadre de la prise en charge de personnes en insertion ou réinsertion sociale et professionnelle ;

– traitement mis en œuvre par les MDPH dans le cadre de l’accueil, l’hébergement, l’accompagnement et le suivi de ces personnes ;

– traitement mis en œuvre par un centre communal d’action sociale dans le cadre du suivi de personnes atteintes de pathologies chroniques invalidantes en situation de fragilité sociale.

La réalisation d’une AIPD suppose que soient pris en compte :

  • les principes et droits fondamentaux fixés notamment par le RGPD et la loi « Informatique et Libertés » et devant être respectés quels que soient la nature, la gravité et la vraisemblance des risques encourus ;
  • la gestion des risques sur la vie privée qui permet de déterminer les mesures techniques et d’organisation appropriées pour protéger les données.

Enfin, le référentiel précise que, conformément à l’article 36 du RGPD, le responsable des traitements doit consulter la CNIL préalablement à la mise en œuvre du traitement si l’analyse d’impact indique qu’il ne parvient pas à identifier des mesures suffisantes pour réduire les risques à un niveau acceptable.

Ces articles pourraient vous intéresser