Protection des données à caractère personnel : la CNIL facilite la mise en conformité des établissements médico-sociaux

Les professionnels du domaine médico-social traitent chaque jour des données à caractère personnel des personnes qu’ils accompagnent. Cependant la plupart de ces données sont sensibles et nécessitent l’autorisation de la Commission Nationale de l’Informatique et des Libertés (CNIL).

CNIL_logo

C’était pas mieux avant !

Les démarches pour se mettre en conformité avec la loi étaient jusqu’alors longues et fastidieuses. Il fallait, en effet, obtenir à chaque fois des autorisations spéciales de la CNIL pour traiter certaines des données que les personnes accompagnées nous confiaient, car plusieurs textes de loi l’interdisaient. Il fallait alors envoyer plusieurs demandes d’autorisation, attendre la réponse de la CNIL et modifier nos pratiques avant de solliciter une nouvelle autorisation. Ces démarches, chronophages, pouvaient en outre s’avérer difficiles à effectuer par les établissements.

Oui, beaucoup d’organismes et d’établissements étaient alors hors-la-loi !

C’est mieux maintenant !

La CNIL vient de permettre l’allégement de ces démarches en créant une autorisation unique pour le secteur médico-social. Il suffit désormais aux établissements de se conformer à cette autorisation unique (référence AU-047) (1) puis d’établir un engagement de conformité sur le site de la CNIL. Cela ne signifie cependant pas qu’il soit aisé de correspondre à cette autorisation mais les organismes peuvent désormais connaître précisément les mesures à mettre en place pour être dans la légalité avant d’effectuer leur engagement de conformité.

Que contient cette autorisation unique AU-047 ?

La CNIL précise sous forme de liste ordonnée les finalités, les types de données, les temps de conservation et les destinataires des données qui sont confiées aux établissements, services et organismes médico-sociaux ainsi que les mesures de sécurité que ceux-ci doivent mettre en place vis-à-vis de ces données. En voici un court résumé :

Les finalités et les types de données

Les finalités couvrent l’ensemble du suivi des personnes accompagnées sur le plan financier, social, médical et de gestion de la vie quotidienne. Par exemple, le numéro de sécurité sociale était un sujet sensible dans le secteur médico-social car son utilisation était jusque-là interdite. Aujourd’hui, il est officiellement admis que les établissements puissent collecter et traiter ce type de données.

donnees001

Les destinataires

Au sujet des destinataires, il est à chaque fois indispensable de s’interroger sur la nécessité de recevoir ou de communiquer des données à caractère personnel, même en cas de demande d’autorité habilitée. La conservation des données doit être, au maximum, de 2 ans après le dernier contact avec la personne accompagnée, avant son archivage définitif.

donnees002

Les droits des personnes

Les données confiées par les personnes accompagnées aux établissements appartiennent exclusivement à ces personnes. Elles doivent alors être tenues informées de leurs droits, en recourant toujours à un langage parlé et/ou écrit adapté à leur état. Plusieurs droits relatifs à ces données sont ainsi à connaitre :

  • le droit d’accès
  • le droit de rectification
  • le droit d’opposition

L’accord des personnes est par ailleurs toujours nécessaire avant de mettre en place de nouveaux traitements. Il faut recueillir leur consentement oral ou écrit en leur fournissant toutes les informations nécessaires sur la finalité et les données concernées par chaque nouveau traitement.

donnees003

La sécurité

La sécurité est également au cœur de la protection des données. Elle passe par la sécurisation du système informatique et le respect de bonnes pratiques. Il est de la responsabilité de chacun de prendre soin des données confiées par les personnes accompagnées et du responsable informatique de veiller à la sécurisation des accès aux données en interne et en externe.

donnees004

Pour en savoir plus :

 

(1) : Délibération n° 2016-094 du 14 avril 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre dans le cadre de l’accueil, l’hébergement, l’accompagnement et le suivi des personnes handicapées et des personnes âgées.

Les commentaires sont fermés.