Le respect du RGPD pour une structure gérant plusieurs services d’accueils pour enfants en situation de maltraitance, tout en tenant compte des spécificités de l’activité

Question

Notre structure gère plusieurs services d’accueils pour enfants en situation de maltraitance. Nous souhaitons savoir comment faire pour appliquer le Règlement Général pour la Protection des Données (RGPD) tout en tenant compte des spécificités de notre activité.

Nous nous occupons de mineurs et jeunes majeurs en situation de maltraitances physiques et/ou morales, ainsi que des familles de cette population. Les Conseils Départementaux ainsi que les tribunaux nous demandent de recueillir des informations à caractère sensible pour établir des rapports, notes de situation et écrits de fin de mesure afin de rendre compte des situations dans lesquelles les enfants et leurs familles se trouvent. Nous tenons également des dossiers à jour, au format papier et au format numériques avec ces informations. De fait, nous sommes obligés de traiter des données sensibles concernant les éléments suivants : les données liées à l’état de santé des enfants ; des données concernant la vie sexuelle ou l’orientation sexuelle de personnes physiques ; la vie privée des familles ; les difficultés sociales des familles ; les difficultés financières des familles ; les données liées aux procédures pénales en cours concernant des personnes physiques.

Nous ne sommes pas soumis au secret professionnel. Nous avons seulement un devoir de discrétion sur les informations que nous recueillons. Selon le RGPD nous devons obtenir le consentement préalable des personnes concernées pour traiter ce genre de données. Or nous ne pouvons pas systématiquement obtenir le consentement préalable des usagers. En effet, certains enfants dont nous nous occupons nous sont confiés par les départements suite à des décisions du TGI selon lesquelles les jeunes sont retirés à leurs parents. Ces derniers conservent parfois l’exercice de l’autorité parentale mais n’ont plus le droit de garde de leurs enfants. Ces décisions peuvent être appliquées contre la volonté des parents. Il nous est parfois impossible d’obtenir leur accord pour participer à l’application de ces mesures. Et donc par la même occasion, il est impossible d’obtenir leur consentement pour le traitement des données à caractère sensible concernant leurs enfants. Nous devons néanmoins remplir notre mission de protection de l’enfance ce qui rend le recueil et le traitement de ces informations obligatoire. Il nous semble que nous ne rentrons pas dans les catégories d’exception prévues par les textes. Les autorisations de dérogations de la CNIL qui préexistaient jusqu’au 25 mai 2018 ne sont plus en vigueur et ne peuvent donc plus s’appliquer à nos activités. Comment pouvons respecter le RGPD dans ce type de situation ?

Éléments de réponse

L’application du RGPD

Depuis le 25 mai 2018 le RGPD est applicable dans l’ensemble des pays de l’Union Européenne. En France la loi Informatique et Libertés a été modifiée le 20 juin 2018 pour préciser la réglementation française au regard des marges de manœuvre laissées aux états par le RGPD. Cette loi a connu un premier décret d’application publié le 1er août 2018 et qui traite notamment des données relatives aux sanctions pénales et aux infractions. Mais il faut noter également que l’existence du RGPD n’abolit pas, à ce jour, les autres réglementations existantes notamment dans notre secteur les textes suivants :

  • Loi n° 2007-293 du 5 mars 2007 réformant la protection de l’enfance.
  • Ordonnance n° 45-174 du 2 février 1945 relative à l’enfance délinquante.
  • Loi n° 2002-2 du 2 janvier 2002 rénovant l’action sociale et médico-sociale.
  • Loi n° 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé.
  • Loi n° 2005-102 du 11 février 2005 pour l’égalité des droits et des chances, la participation et la citoyenneté des personnes handicapées.
  • Loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé.
  • Et, plus largement, le CASF (Code de l’Action Sociale et de la Famille) et le CSP (Code de la Santé Publique).

La principale nouveauté introduite par le RGPD est le principe d’accountability (la responsabilité) qui a pour conséquence que :

  • l’organisme gestionnaire doit se mettre seul en conformité (sans attendre d’instruction extérieure),
  • l’organisme gestionnaire doit maintenir cette conformité dans le temps,
  • l’organisme gestionnaire doit prouver qu’il est conforme.

Attention : le régime des sanctions a été considérablement alourdi : amendes administratives pouvant aller jusqu’à 4% du budget de l’association, sanctions pénales culminant à 300 000€ d’amende et 5 ans d’emprisonnement pour le Responsable de traitement (c’est à dire le DG de l’association).

Les données « sensibles »

Le terme « donnée sensible » n’existe pas dans le RGPD qui évoque seulement des « catégories particulières de données ». Cela dit « donnée sensible » est passé dans le langage courant et on peut l’utiliser pour les catégories particulières de données que sont les « données à caractère personnel qui révèle[nt] l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique » (RGPD article 9) auxquelles il convient d’ajouter « les données à caractère personnel relatives aux condamnations pénales et aux infractions » (RGPD article 10). Nous sommes ici en présence d’une liste limitative. Au sein de cette liste un sort particulier est fait aux données de santé.

Qu’elles soient sensibles ou non les données collectées directement ou indirectement concernant une personne physique doivent l’être selon certains principes, 8 au total dont ceux-ci :

  • les principes de proportionnalité et de minimisation : les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Vous devrez vous poser, par exemple, la question de savoir si le traitement de données « concernant la vie sexuelle ou l’orientation sexuelle de personnes physiques » répondent bien à ce principe.
  • le principe de transparence qui vous fait obligation de fournir à la personne, au moment de la collecte des données les informations suivantes (RGPD art. 13) :
    • les informations sur les acteurs :
    • l’identité et les coordonnées du responsable du traitement (du sous-traitant et du délégué à la protection des données) ;
    • les destinataires ou les catégories de destinataires des données ;
    • les informations sur le traitement : les finalités du traitement et la base juridique qui s’y rapporte ;
    • la durée de conservation des données ou les critères utilisés pour la déterminer ;
    • les intérêts légitimes poursuivis (le cas échéant) ;
    • le caractère de la collecte et les conséquences en cas de non-fourniture des données ;
    • les informations sur les droits de la personne : les droits (à supposer qu’ils s’appliquent tous) des personnes concernées (accès, rectification, effacement, limitation, opposition, portabilité, consentement) ;
    • la faculté d’introduire une réclamation auprès d’une autorité de contrôle ;
    • l’existence d’une prise de décision automatisée(le cas échéant) ;
    • les informations sur les transferts hors Union européenne (UE) (le cas échéant) :
    • le transfert hors UE ;
    • le niveau de protection du destinataire des données (Binding Corporate Rules, clauses contractuelles types, Privacy Shield, pays offrant un niveau de protection suffisant).
  • en outre si les données sont collectées de façon indirecte vous devez ajouter les informations suivantes (RGPD art. 14) :
    • les catégories de données concernées ;
    • les sources d’où proviennent les données accompagnées d’une mention indiquant si elles sont ou non issues de sources accessibles au public.
  • Il y a des exceptions à cette obligation d’information :
    • Lorsque la personne concernée dispose déjà de l’ensemble des informations, le responsable du traitement est dispensé de son obligation d’information (RGPD art. 13). Mais attention ! Le Responsable de Traitement doit prouver que la personne dispose déjà de ces informations et donc en documenter la preuve.
    • De la même façon si les données sont collectées auprès de tiers le Responsable de Traitement n’est pas tenu d’informer la personne concernée lorsque l’information est impossible, nécessite des efforts disproportionnés ou est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement.
    • Les données personnelles doivent rester confidentielles parce que soumises au secret professionnel.
    • La communication des informations fait l’objet de dispositions spécifiques dans le droit de l’UE ou la législation nationale.
  • le principe de notification qui fait obligation de tenir un Registre des traitements.

Sur la question du consentement

Contrairement à ce que laissent entendre les médias le consentement n’est pas la seule base légale qui permette de traiter des données à caractère personnel il existe 5 autres bases légales (art 6 et art 9 du RGPD) :

  • L’exécution d’un contrat : Lorsque le traitement des données est indispensable à la réalisation du contrat ; par exemple le traitement de l’adresse du client n’est pas nécessaire à l’acte d’achat, mais il l’est afin d’effectuer la livraison de ceux-ci.
  • L’obligation légale : Le responsable de traitement effectue un traitement de données en vertu d’une obligation légale. L’exemple d’actualité est la collecte des pourcentages d’imposition par l’employeur dans le cadre de la mise en place du prélèvement à la source.
  • L’existence d’une mission d’intérêt public : Rappelons ici qu’une mission de service public peut être assurée par une personne privée, même si elle n’est pas investie des prérogatives de puissance publique. Autrement dit, lorsque, eu égard à l’intérêt général de son activité, on peut en déduire que l’administration a entendu confier à un acteur privé, une mission de ce type, on va s’attacher à regarder un faisceau d’éléments ; Par exemple, les objectifs fixés et le contrôle exercé par la puissance publique sur la réalisation de ces objectifs. Le secteur social et médico-social est à cet égard, investi d’une mission de service public envers une partie de la population c’est indéniable ; Certes la puissance publique a choisi de laisser aux associations le rôle d’acteur majeur de ces prises en charge, mais elle finance cette activité et exerce un contrôle : à la fois sur l’admission des personnes et sur les moyens utilisés (par le biais de dispositions telles que les évaluations ou encore les inspections).
  • L’intérêt vital : Si l’intérêt vital d’une personne physique est en jeu, que ce soit celle concernée par le traitement ou une autre. Mais la menace pesant sur la santé doit être grave et avérée. Par exemple les traitements de données réalisés afin de mesurer la progression des épidémies.
  • L’intérêt légitime : ce critère demande à mesurer, d’une part le but poursuivi par le responsable de traitement, et d’autre part les conséquences que ce traitement peut engendrer par la personne concernée. C’est au responsable de traitement de démontrer que le but qu’il poursuit doit être apprécié de manière prioritaire par rapport à l’intérêt de la personne. Par contre la personne doit être avertie des motifs légitimes de la collecte et peut s’opposer à tout moment à un traitement fondé sur cette base.

Vous pouvez donc, et c’est vivement conseillé, retenir une autre base légale que le consentement.

Sur le secret professionnel

L’obligation de discrétion est une bien faible obligation au regard des catégories particulières de données que vous traitez. En l’absence de plus amples informations sur votre organisme il est difficile de se prononcer mais nous vous conseillons de vous reporter au Décret n° 2016-994 du 20 juillet 2016 relatif aux conditions d’échange et de partage d’informations entre professionnels de santé et autres professionnels des champs social et médico-social et à l’accès aux informations de santé à caractère personnel pour envisager si vous figurez dans la liste des professionnels soumis au secret (ce qui de notre point de vue est fort probable).

La mise en œuvre du RGPD

Vous devez non seulement « respecter le RGPD » mais surtout vous devez le mettre en œuvre dans votre organisme puisque dorénavant c’est sur vous que tout repose.

Les commentaires sont fermés.