Au JO du 17 février 2022 a été publiée la délibération de la Commission nationale de l’informatique et des libertés (CNIL) n° 2022-008 du 20 janvier 2022 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de la protection de l’enfance et des jeunes majeurs de moins de vingt-et-un-ans.
.
1. Présentation
1.1. Champ d’application du référentiel
Ce référentiel s’adresse aux organismes privés ou publics quelle que soit leur forme juridique, qui accueillent, hébergent et/ou accompagnent sur le plan social, médico-social, éducatif et/ou judiciaire les mineurs et majeurs de moins de vingt et un ans (voire vingt-cinq ans pour les jeunes nécessitant une protection particulière) ainsi que, le cas échéant, leurs familles. La CNIL énumère, à titre seulement indicatif, les établissements et services suivants :
- l’aide sociale à l’enfance (ASE) des départements ;
- les cellules de recueil, de traitement et d’évaluation des informations préoccupantes (CRIP) des départements ;
- les missions locales ;
- les maisons d’enfants à caractère social (MECS) ;
- les centres de placement familial socio-éducatif (CPFSE) ;
- les foyers de l’enfance ;
- les crèches ;
- les services de protection maternelle et infantile (PMI) des Conseils départementaux ;
- les pouponnières à caractère social ;
- les centres d’action médico-sociale précoce (CAMSP) ;
- les établissements d’accueil mère-enfant (EAME) ;
- les services d’aide et d’accompagnement à domicile (SAAD) pour les familles en difficulté ;
- les établissements ou services publics ou privés mettant en œuvre les mesures éducatives ordonnées par l’autorité judiciaire ou concernant des majeurs de moins de vingt et un ans ou les mesures d’investigation préalables aux mesures d’assistance éducative ;
- les services de la prévention spécialisée ;
- les services délégués aux prestations familiales ;
- les services d’enquêtes sociales (SES) ;
- les services d’investigation et d’orientation éducative (SIOE) ;
- les services d’investigation éducative (SIE) ;
- les foyers de jeunes travailleurs (FJT) ;
- de manière générale, l’ensemble des associations de droit privé créées sous la loi de 1901 ayant pour mission l’accueil, l’hébergement, l’accompagnement et le suivi social, médico-social, éducatif et/ou judiciaire des mineurs et jeunes majeurs de moins de vingt et un ans ainsi que, le cas échéant, de leur famille ;
- les organismes chargés de la gestion d’un régime de base de la sécurité sociale légalement obligatoire ou du service des allocations, prestations et aides prévues par le code de la sécurité sociale (S. Sécu. Soc.) ou le code de l’action sociale et des familles (CASF).
1.2. Contenu du référentiel
Le référentiel porte sur les traitements de données à caractère personnel mis en œuvre couramment par les organismes dans le cadre de l’accompagnement social, médico-social, éducatif et/ou judiciaire qu’ils fournissent aux mineurs et majeurs de moins de vingt et un ans (voire vingt-cinq ans pour les jeunes nécessitant une protection particulière) ainsi que, le cas échéant, à leurs familles. Il a pour objectif de fournir aux organismes mettant en œuvre de tels traitements un outil d’aide à la mise en conformité à la réglementation relative à la protection des données à caractère personnel.
Les traitements mis en œuvre par les organismes dans le cadre de l’accompagnement social, médico-social, éducatif et/ou judiciaire doivent être inscrits dans le registre des traitements.
Plus concrètement, le référentiel contient des prescriptions très précises sur :
- les objectifs poursuivis par les traitements (finalités) ;
- les bases légales du traitement ;
- les données à caractère personnel concernées ;
- les destinataires des données et les modalités d’accès aux informations ;
- la conservation des données ;
- l’information des personnes concernées ;
- les droits des personnes ;
- la sécurité des traitements ;
- la réalisation des analyses d’impact relative à la protection des données (AIPD).
1.3. Portée du référentiel
Le référentiel n’a pas de valeur contraignante ; il permet simplement d’assurer la conformité des traitements de données mis en œuvre par les organismes aux principes relatifs à la protection des données, dans un contexte d’évolution des pratiques à l’ère du numérique. En particulier, s’il est respecté, alors il assure aux parties prenantes la conformité au Règlement général sur la protection des données (RGPD).
Les organismes qui souhaiteraient s’écarter du référentiel au regard des conditions particulières tenant à leur situation peuvent le faire. Il leur appartient néanmoins de justifier de l’existence d’un tel besoin et des mesures mises en œuvre afin de garantir la conformité des traitements à la réglementation en matière de protection des données à caractère personnel notamment lors d’un contrôle réalisé par les services de la CNIL.
Il appartient, en tout état de cause, aux acteurs concernés de s’assurer qu’ils respectent les autres réglementations qui peuvent par ailleurs trouver à s’appliquer.
Enfin, ce référentiel constitue une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD).
2. Commentaire
2.1. Une ambiguïté sur le champ d’application ?
Compte tenu de son intitulé, la délibération adoptant ce référentiel vise bien sûr les établissements et services sociaux et médico-sociaux (ESSMS) intervenant dans le champ de la protection de l’enfance.
Toutefois, il semble que le référentiel puisse également trouver à s’appliquer dans toutes les autres catégories d’ESSMS dès lors que les enfants, adolescents ou jeunes adultes accueillis ou accompagnés font l’objet d’une mesure de protection administrative ou judiciaire (l’énumération ci-dessus, donnée à titre indicatif par la CNIL, cite par exemple les CAMSP qui ne relèvent du champ du handicap, non de celui de la protection de l’enfance).
Au-delà même, il n’est pas exclu que le référentiel concerne globalement toutes les catégories d’ESSMS accueillent ou accompagnant des enfants, adolescents ou jeunes adultes. En effet, à titre d’exemples :
- le point 1 du référentiel vise l’ensemble des associations de droit privé créées sous la loi de 1901 ayant pour mission l’accueil, l’hébergement, l’accompagnement et le suivi social, médico-social, éducatif et/ou judiciaire des mineurs et jeunes majeurs de moins de vingt et un ans ainsi que, le cas échéant, de leur famille. Il n’y a pas, dans cette définition, de restriction au seul champ de la protection de l’enfance ;
- le point 3, relatif aux finalités, évoque la gestion du dossier administratif qui comprend notamment le contrat de séjour ou le document individuel de prise en charge (DIPC) ;
- le point 4, relatif aux bases légales du traitement, prend notamment en compte les finalités admises :
- fournir les prestations définies entre l’organisme et le représentant légal du mineur ou le jeune majeur et, le cas échéant, assurer la gestion du dossier administratif de la personne concernée ;
- offrir un accompagnement social, judiciaire, socio-éducatif et médico-social adapté aux difficultés rencontrées par le mineur ou jeune majeur et, le cas échéant, sa famille, notamment dans le cadre de l’élaboration et la mise en œuvre d’un projet personnalisé, d’un suivi dans l’accès aux droits et, le cas échéant, d’une orientation vers des structures compétentes ;
- échanger et partager les informations strictement nécessaires permettant de garantir la coordination et la continuité de l’accompagnement et du suivi des personnes entre les intervenants sociaux, médicaux et paramédicaux ;
- gestion administrative, financière et comptable de l’établissement, du service ou de l’organisme.
Il serait donc opportun que la CNIL puisse préciser le champ d’application exact du référentiel, par exemple en confirmant qu’il ne concerne que les ESMSS du champ de la protection de l’enfance et ceux des ESSMS d’autres catégories qui accueillent effectivement des enfants, adolescents et jeunes adultes faisant actuellement l’objet d’une mesure de protection de l’enfance administrative ou judiciaire.
Dans l’attente d’une telle clarification, les responsables de traitement ainsi que les délégués à la protection des données (DPO) des ESSMS hors protection de l’enfance auront à se décider sur la prise en compte de ce référentiel. Une attitude prudente consisterait à l’intégrer a priori même dans le champ du handicap, ne serait-ce qu’en prévision de la possibilité de l’admission future d’un enfant, adolescent ou jeune adulte faisant l’objet d’une mesure de protection.
2. Prendre en compte le référentiel dans la mise en oeuvre du DIU
Compte tenu des traitements de données auxquels s’intéresse ce référentiel, il paraît opportun que les responsables de traitement et les DPO le prennent en compte au moment de déployer la solution numérique du dossier informatisé de l’usager (DIU). On peut supposer que les éditeurs certifiés auront pensé à faire le nécessaire lors du développement de leurs applications mais d’un point de vue juridique, il serait opportun de procéder, lors de la sélection du logiciel, à une vérification de l’effectivité de sa conformité au référentiel de la CNIL ou, tout au moins, d’obtenir du prestataire un engagement de conformité écrit.