La Commission nationale de l'informatique et des libertés (Cnil) publie simultanément trois délibérations importantes, portant autorisation unique de traitements de données à caractère personnel dans le champ social et médicosocial. Ces délibérations couvrent trois domaines : les personnes âgées et les personnes handicapées, la lutte contre l'exclusion et l'insertion, la prévention et la protection de l'enfance. Autrement dit, l'essentiel du champ de compétence des collectivités territoriales en la matière.

Une décision unique pour couvrir tous les traitements

Ces trois délibérations s'appuient sur l'article 25-II de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui permet à la Cnil d'autoriser, par une décision unique, "les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires". Relèvent de cette définition "les seuls traitements automatisés comportant des données relatives aux appréciations sur les difficultés sociales mis en œuvre par les établissements et services" intervenant dans le cadre du secteur concerné.
Dans ce cas, le responsable de chaque traitement n'a pas besoin d'établir une demande d'autorisation spécifique, mais adresse à la Cnil un engagement de conformité à la description figurant dans l'autorisation (autrement dit dans les trois délibérations).
Sont exclus de cette autorisation unique les traitements mis en œuvre pour le compte de l'Etat, d'une personne morale de droit public ou de droit privé gérant une mission de service public, dès lors qu'ils comportent le NIR (numéro d'inscription au répertoire des personnes physiques). De tels traitements doivent en effet être décidés par un acte réglementaire. S'y ajoutent quelques cas particuliers, comme les traitements destinés à la gestion des informations préoccupantes relatives à l'enfance en danger - qui font par ailleurs l'objet d'une autorisation unique spécifique - ou ceux relatifs aux situations de maltraitance des personnes âgées ou handicapées.

Autorisation unique ne vaut pas blanc-seing

L'autorisation unique donnée par la Cnil n'a rien d'un blanc-seing. Les trois délibérations posent en effet un certain nombre de règles à respecter. Elles précisent ainsi les finalités des traitements mis en œuvre. On y retrouve un certain nombre de constantes, communes aux trois secteurs : gestion administrative des personnes, "saisie des problématiques identifiées dans le cadre de l'évaluation sociale et médicosociale", élaboration et suivi du projet personnalisé d'accompagnement, échange et partage entre les intervenants sociaux, médicaux et paramédicaux des informations "strictement nécessaires permettant de garantir la coordination et la continuité de l'accompagnement et du suivi des personne", gestion de demandes d'attribution de places en établissements et services, gestion des demandes d'aides sociales...
Les délibérations listent également les données - assez étendues - qui peuvent être collectées et traitées. Elles précisent au passage que "des données à caractère personnel ne peuvent être collectées que si elles sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie" et que l'ensemble des données listées n'ont pas vocation à être systématiquement recueillies. Le responsable du traitement doit donc être en mesure de justifier le caractère nécessaire et proportionné des données à caractère personnel pour les besoins du travail poursuivi.
Les délibérations précisent aussi différents points délicats. Ainsi, il est, par exemple, possible de collecter la nationalité du bénéficiaire (sous la forme Français/UE/hors UE) et les documents prouvant la régularité de son séjour en France, "dès lors que le bénéfice de l'aide ou la prestation sollicitée est soumis à une condition de régularité du séjour".

Pas de conservation au-delà de deux ans après le dernier contact

La suite des trois délibérations est consacrée à diverses questions. Ainsi, sur la conservation des données, la Cnil rappelle que "des données à caractère personnel ne peuvent être conservées que le temps strictement nécessaire à l'accomplissement de la finalité pour laquelle elles ont été collectées". En tout état de cause, les données collectées et traitées pour les besoins du suivi social ou médicosocial ne peuvent être conservées dans la base active au-delà de deux ans à compter du dernier contact avec la personne ayant fait l'objet de ce suivi, sauf dispositions législatives ou réglementaires contraires. Ces données doivent être supprimées sans délai en cas de décès de la personne concernée. Lorsqu'il existe un recours contre un tiers ou un contentieux, elles peuvent être conservées jusqu'à l'intervention de la décision définitive.
De même, sur les destinataires des données recueillies, les délibérations précisent que "compte tenu de leur caractère sensible, le partage des informations collectées doit s'entourer de garanties spécifiques". La Cnil rappelle également que "les informations échangées sont protégées au titre du secret professionnel, dans les conditions prévues aux articles 226-13 et 226-14 du Code pénal, sous réserve des dérogations prévues expressément par la loi et permettant le partage des informations".
Au-delà de cette position de principe, chaque délibération donne une liste des destinataires potentiels des informations recueillies. Celle-ci comprend notamment les personnels des établissements et services concernés, les professionnels participant à la prise en charge, les organismes instructeurs et payeurs de prestations sociales...
Enfin, des derniers articles des délibérations traitent respectivement de l'information et du droit des personnes (droit d'accès et de rectification), des mesures de sécurité et du cas, très particulier, du transfert de données à caractère personnel à destination d'un pays tiers à l'Espace économique européen.

Jean-Noël Escudié / PCA

Références : délibération 2016-094 du 14 avril 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre dans le cadre de l'accueil, l'hébergement, l'accompagnement et le suivi des personnes handicapées et des personnes âgées (AU-047) ; délibération 2016-095 du 14 avril 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre dans le cadre de l'accueil, l'orientation, l'accompagnement et le suivi social des personnes (AU-048) ; délibération 2016-096 du 14 avril 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre dans le cadre de la prévention et de la protection de l'enfance (Journal officiel du 16 mai 2016). 
 

ncG1vNJzZmivp6x7o63NqqyenJWowaa%2B0aKrqKGimsBvstFoq6unmah6pbHLopmeqpGptrC60mabnmWclnqkusilZJqtpKS%2Fqr%2FEp6tmpJWoerW%2BwKKrnqWVo8G0ecOeZJ2nnqOypr%2BMnJirmZOpsrOxjKmcq6ufo7umuIydmKerXaGy