1.2. L’ouverture d’un dossier individuel relatif à la personne âgée

Introduction

Objet de la présente fiche

Il s’agit de communiquer aux professionnels en charge de la gestion administrative des dossiers individuels les principales exigences à respecter à l’occasion de l’ouverture d’un dossier, notamment en ce qui concerne les droits de la personne âgée.

Respect des exigences relatives au traitement de données à caractère personnel

L’ouverture d’un dossier individuel dans le cadre de l’accompagnement d’une personne âgée en perte d’autonomie relève en principe des activités de traitement des données à caractère personnel.

Définition des données à caractère personnel.

Selon le Règlement général de protection des données de l’Union européenne (RGPD), il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable […] ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » (RGPD, 27 avril 2016, article 4).

« Il n'y a dès lors pas lieu d'appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s'applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche » (RGPD, 27 avril 2016, considérant n° 26).

Notion de « traitement » des données à caractère personnel.

« Aux fins du présent règlement, on entend par: « traitement », toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction » (RGPD, 27 avril 2016, article 4).

Données individuelles contenues dans un dossier informatique ou papier.

La CNIL a confirmé une telle application à l’occasion de recommandations relatives aux dossiers tenus par les professionnels de santé libéraux : « les dispositions du RGPD s’appliquent à tous les traitements de données personnelles (ex : nom, prénom, numéro de patient, etc.) que vous utilisez pour l’exercice de votre activité professionnelle, que ces traitements soient sous une forme informatique (ex : logiciel de gestion de votre cabinet médical, logiciel utilisé pour l’exploitation de votre pharmacie, de votre cabinet d’orthophonie, pour l’exploitation de votre laboratoire de biologie médicale, etc.) ou papier (ex : dossier patient papier) » (CNIL, RGPD et professionnels de santé libéraux : ce que vous devez savoir, 1er juin 2018).

Le responsable du traitement.

« Aux fins du présent règlement, on entend par : […] « responsable du traitement », la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre »(RGPD, 27 avril 2016, article 4).

I. Information de la personne lors de l’ouverture d’un dossier individuel

Fondement juridique.

« Les données à caractère personnel doivent être : […] traitées de manière licite, loyale et transparente au regard de la personne concernée » (RGPD, 27 avril 2016, article 5 a).
« Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l'existence de l'opération de traitement et de ses finalités. Le responsable du traitement devrait fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées » (RGPD, 27 avril 2016, considérant n° 60).

A. Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

  1. « Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
     

    a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement

    b) le cas échéant, les coordonnées du délégué à la protection des données

    c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement

    d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), [traitement nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant] les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers

    e) les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent […].

  2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :

    a) la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée

    b) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données
     

    c) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci

    d) le droit d'introduire une réclamation auprès d'une autorité de contrôle [en France, la CNIL]
     

    e) des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données […] » (RGPD, 27 avril 2016, article 13).

B. Caractéristiques de l’information à communiquer

La CNIL a formulé quelques recommandations : « l’information doit être délivrée de façon concise, transparente, compréhensible et aisément accessible. Elle doit pouvoir être abordable par le « grand public ».
Pour répondre à cette exigence, il faut aller à l’essentiel tout en faisant figurer l’ensemble des mentions obligatoires dans le document d’information.

Il est également recommandé de travailler sur un support rendant l’information la plus intelligible possible. A titre d’exemples, la compréhension de la personne peut être facilitée par l’utilisation de pictogrammes visuels, le surlignage des informations essentielles dans des documents écrits (ex : livret d’accueil, documents écrits d’information remis aux patients) ou encore le recours à la vidéo (ex : diffusion de vidéo dans les salles d’attente), etc.

L’information doit bien sûr également être adaptée, en fonction de la pathologie de la personne, de son âge, des circonstances du recueil des données. […] Une information ciblée doit être faite aux personnes vulnérables (ex : personnes âgées, patients présentant des troubles cognitifs, etc.) » (CNIL, Traitement de données de santé : comment informer les personnes concernées ? 4 avril 2018).

C. Modalités d’information

Absence d’exigence spécifique.

« Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l'identité de la personne concernée soit démontrée par d'autres moyens » (RGPD, 27 avril 2016, article 12).

« Le support d’information est libre : par oral, par écrit ou par tout autre moyen (affichage dans les lieux de soins, dans les secrétariats, remise de documents écrits d’information, etc.) » (CNIL, Traitement de données de santé : comment informer les personnes concernées ? 4 avril 2018).

Renouvellement de l’information.

« Si la personne concernée a déjà été informée, doit-on l’informer de nouveau ? Oui, dans certains cas de figure : modification substantielle du traitement, transmission des données de santé du responsable de traitement à un destinataire, utilisation des données de santé par le responsable de traitement pour une autre finalité, etc. » (CNIL, Traitement de données de santé : comment informer les personnes concernées ? 4 avril 2018).

D. Destinataire(s) de l’information dans le cas d’une personne âgée faisant l’objet d’une mesure de protection

Texte de référence.

.L’article 459 du code civil, dans sa version issue de la loi du 23 mars 2019, énonce qu’« hors les cas prévus à l’article 458 [déclaration de naissance d'un enfant, sa reconnaissance, les actes de l'autorité parentale relatifs à la personne d'un enfant, la déclaration du choix ou du changement du nom d'un enfant et le consentement donné à sa propre adoption ou à celle de son enfant], la personne protégée prend seule les décisions relatives à sa personne dans la mesure où son état le permet.
Lorsque l'état de la personne protégée ne lui permet pas de prendre seule une décision personnelle éclairée, le juge ou le conseil de famille s'il a été constitué peut prévoir qu'elle bénéficiera, pour l'ensemble des actes relatifs à sa personne ou ceux d'entre eux qu'il énumère, de l'assistance de la personne chargée de sa protection. Au cas où cette assistance ne suffirait pas, il peut, le cas échéant après le prononcé d’une habilitation familiale ou l'ouverture d'une mesure de tutelle, autoriser la personne chargée de cette habilitation ou de cette mesure à représenter l'intéressé.
[…] Toutefois, sauf urgence, la personne chargée de la protection du majeur ne peut, sans l'autorisation du juge ou du conseil de famille s'il a été constitué, prendre une décision ayant pour effet de porter gravement atteinte l'intimité de la vie privée de la personne protégée ».

Application de cette règle aux autres différents dispositifs de représentation.

  • Habilitation familiale.
    L’article 459 du code civil a pour champ d’application les curatelles et les tutelles, non le régime de l’habilitation familiale. Toutefois, l’article 494-6 du code civil renvoie notamment à l’article 459 du code civil, ce dernier trouvant donc application à l’habilitation familiale. Il y est énoncé que « l'habilitation peut porter sur : […] un ou plusieurs actes relatifs à la personne à protéger. Dans ce cas, l'habilitation s'exerce dans le respect des dispositions des articles 457-1 à 459-2 du code civil ».
     
  • Mandat de protection future.
    . L’article 459 du code civil trouve également application au mandat de protection future ayant été activé, lorsqu’il s’étend à la protection de la personne du mandant. L’article 479 du code civil énonce que « lorsque le mandat s'étend à la protection de la personne, les droits et obligations du mandataire sont définis par les articles 457-1 à 459-2. Toute stipulation contraire est réputée non écrite ».
     
  • Sauvegarde de justice.L’article 459 du code civil s’applique également à la sauvegarde de justice dans le cas d’une désignation d’un mandataire spécial dont la charge s’étend à la personne. L’article 438 du code civil énonce que « le mandataire spécial peut également se voir confier une mission de protection de la personne dans le respect des articles 457-1 à 463 ».
     

Information du majeur au sujet du traitement des données de santé le concernant.

« L’information doit bien sûr également être adaptée, en fonction de la pathologie de la personne, de son âge, des circonstances du recueil des données. En particulier, une information destinée spécifiquement aux mineurs doit être donnée. De même, une information ciblée doit être faite aux personnes vulnérables (ex : personnes âgées, patients présentant des troubles cognitifs, etc.) » (CNIL, Traitement de données de santé : comment informer les personnes concernées ? 4 avril 2018).

II. Cas d’exemption du consentement de la personne

Définition du « consentement .
« Aux fins du présent règlement, on entend par : « consentement » de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (RGPD, 27 avril 2016, article 4).

Absence de besoin de recueillir le consentement de la personne ou de son représentant légal.

Texte de référence. « Traitement portant sur des catégories particulières de données à caractère personnel »

  1. Le traitement […] des données concernant la santé […] sont interdits.
     
  2. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :

    a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée ;

    b) le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union, par le droit d’un État membre ou par une convention collective conclue en vertu du droit d’un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée ;

    c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
    […]

    d) le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3.
     
  3.  Les données à caractère personnel visées au paragraphe 1 [données concernant la santé] peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union, au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l’Union ou au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents » (RGPD, 27 avril 2016, article 9).

Application aux professionnels de santé libéraux.

« Vous n’avez pas besoin de recueillir le consentement des patients pour collecter et conserver les données de santé les concernant, dans la mesure où leur collecte et leur conservation sont nécessaires aux diagnostics médicaux et à la prise en charge sanitaire ou sociale des patients concernés.

Le consentement pour le traitement de données ne doit pas être confondu avec le consentement requis pour la réalisation de certains actes médicaux (ex : le code de la santé publique impose le recueil du consentement du patient pour la réalisation d’un examen des caractéristiques génétiques) » (CNIL, RGPD et professionnels de santé libéraux : ce que vous devez savoir, 1er juin 2018).

III. Données pouvant être collectées

Texte de référence.

« Les données à caractère personnel doivent être : […] collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ; c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) » (RGPD, 27 avril 2016, article 5).

Cas de collecte par des professionnels de santé libéraux.

« Les données que vous collectez sur les patients doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la prise en charge du patient au titre des activités de prévention, de diagnostic et de soins.
A titre d’exemple, la collecte d’informations sur la vie familiale d’un patient n’est en principe pas appropriée » (CNIL, RGPD et professionnels de santé libéraux : ce que vous devez savoir, 1er juin 2018).

Illustration de données pouvant être collectées dans le cadre de l’accompagnement d’une personne âgée ou handicapée

Un référentiel produit par la CNIL.

La CNIL a proposé un descriptif des données pouvant être collectées dans le cadre d’un référentiel annexé à la délibération n° 2021-028 du 11 mars 2021 (référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de l’accueil, l’hébergement et l’accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap et de celles en difficulté adopté le 11 mars 2021).

Portée du référentiel de la CNIL.

La CNIL rappelle que « [ce référentiel] a pour objectif de fournir aux organismes mettant en œuvre de tels traitements un outil d'aide à la mise en conformité à la réglementation relative à la protection des données à caractère personnel.
[…] Ce référentiel n'a pas de valeur contraignante. Il permet en principe d'assurer la conformité des traitements de données mis en œuvre par les organismes aux principes relatifs à la protection des données, dans un contexte d'évolution des pratiques à l'ère du numérique3.

Principe de « minimisation des données ».

« En vertu du principe de minimisation des données, le responsable de traitement doit veiller à ce que seules les données nécessaires à la poursuite des finalités du traitement soient effectivement collectées et traitées » (CNIL, Référentiel annexé à la délibération du 11 mars 2021).

Illustrations de données pouvant être collectées, sous réserve qu’elles soient nécessaires à la finalité du traitement.

Illustration ci-dessous d'exempe de données par catégorie de données que la CNIL considère comme étant en principe adaptées selon les finalités du traitement. : 

  • A l'identification des bénéficiaires de l'accompagnement social et médico-social et, le cas échéant, de leurs représentants légaux
    -  Nom, prénom, sexe, adresse, courriel, numéro de téléphone, date et lieu de naissance, photographie.
    La photographie ne doit être collectée que lorsque cela est strictement nécessaire au regard de l'objectif poursuivi (p. ex. : pour retrouver un pensionnaire d'un EHPAD qui s'est soustrait à la vigilance du personnel).
    - Numéro d'identification de rattachement à un organisme : numéro d'adhérent ou d'allocataire.
    - Numéro de sécurité sociale dans les conditions fixées par le décret n° 2019-341 du 19 avril 2019.
    - Nationalité du bénéficiaire sous la forme « Français / UE / hors UE », les documents prouvant la régularité du séjour en France de la personne concernée dès lors que le bénéfice de l'aide ou de la prestation sociale est soumis à une condition de régularité du séjour.
    Informations relatives à la procédure de demande d'asile sous la forme « dépôt d'une demande d'asile : oui/non » et/ou à la procédure de demande de titre de séjour sous la forme « dépôt d'une demande de titre de séjour oui/non », la nationalité de la personne concernée ainsi que les informations nécessaires à l'élaboration du récit de vie de la personne concernée.
    - Dans des cas exceptionnels, la photocopie de la pièce d'identité de la personne concernée notamment dans le cadre de l'accompagnement relatif à la gestion budgétaire auprès des organismes publics et/ou privés (p. ex. : dépôt d'un dossier de surendettement auprès de la Banque de France, etc.).
     
  • A la vie personnelle
    -  Situation et composition familiale du foyer, le cas échéant, l'identification d'enfants pris en charge dans le cadre de la protection de l'enfance, habitudes de vie nécessaires à l'organisation de la vie quotidienne (p. ex. : habitudes alimentaires, activité physique, toilette quotidienne, nombre d'heure de sommeil, etc.), centres d'intérêt, langue parlée dans la mesure où cette information est indispensable pour mentionner le besoin d'interprètes.
     
  • Au parcours professionnel et de formation dans le cadre de l'aide à l'insertion professionnelle des personnes
    - Scolarité, situation au regard de l'emploi, de la formation et de la qualification.
     
  • Aux conditions de vie matérielles
    - Situation financière : ressources, charges, crédits, dettes.
    Peuvent également être collectées les informations relatives à la liste des comptes bancaires existants, aux dates d'ouverture desdits comptes, aux moyens de paiement, au montant du découvert autorisé ainsi qu'à l'inscription, le cas échéant, au fichier national des incidents de remboursement des crédits aux particuliers (FICP) et au fichier central des chèques (FCC) sous réserve que ces informations soient strictement nécessaires à l'accompagnement budgétaire réalisé.
    - Prestations et avantages sociaux perçus : nature, montant, quotient familial, numéro d'allocataire.
    - Situation face au logement et à l'hébergement : type et caractéristiques du logement ou modalités d'hébergement (domicile personnel, familial, sans abri, hébergement de fortune, hébergement mobile, hébergement d'urgence, hébergement d'insertion).
    - Moyens de mobilité.
     
  • A la couverture sociale
    - Organismes de rattachement et régimes d'affiliation, droits ouverts.
     
  • Aux coordonnées bancaires dans la mesure où cette information est nécessaire au versement d'une prestation
    - Relevé d'identité bancaire (RIB).
     
  • A l'évaluation sociale et médico-sociale de la personne concernée
    - Difficultés rencontrées et appréciations sur celles-ci, évaluation de la situation des personnes afin de repérer l'aggravation de difficultés ou encore d'une perte d'autonomie s'agissant des personnes âgées ou en situation de handicap.
     
  • Au type d'accompagnement et aux actions mis en œuvre
    - Domaines d'intervention, historique des mesures d'accompagnement, objectifs, parcours, actions d'insertion prévues, entretien et suivi.
     
  • A l'identification des personnes concourant à la prise en charge sociale et médico-sociale et à l'entourage susceptible d'être contacté
    - Nom, prénom, qualité, organisme d'appartenance, numéro de téléphone de l'organisme, adresse, courriel, numéro de téléphone des aidants professionnels ou familiaux (le cas échéant, le lien familial : époux / épouse, frère / sœur, fils / fille, etc.), du médecin traitant, des médecins experts, de la personne de confiance.
     
  • A l'identification des personnes dans le cadre de l'accompagnement au numérique
    - Dans des cas exceptionnels, il est possible d'enregistrer les identifiants et mots de passe de l'espace personnel de la personne concernée lorsque celle-ci n'est pas en capacité de se connecter seule (p. ex. : la personne concernée n'est pas en mesure de se déplacer et est dépourvue d'un accès à Internet).
    L'enregistrement des mots de passe de l'usager ne doit être réalisé que dans le cadre d'un mandat signé entre l'usager et le professionnel (voir exemple de mandat disponible sur le site web de la CNIL). S'agissant du choix du mot de passe, la CNIL conseille vivement de se conformer à la délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe modifiée.
     
  • Informations relatives à certaines aides sociales légales (liste non exhaustive)
    - Aide sociale pour l'hébergement (ASH) et allocation personnalisée d'autonomie (APA) : les données susceptibles d'être collectées par les conseils départementaux dans le cadre de l'instruction, la gestion et le versement de l'APA et de l'ASH sont listées par l'article R. 232-41 du CASF.

    - Carte « mobilité inclusion » : les données susceptibles d'être collectées par les MDPH et les conseils départementaux dans le cadre de l'instruction, la gestion et la délivrance des cartes « mobilité inclusion » sont listées par l'article D. 241-18-1 du CASF.

    - Revenu de solidarité active (RSA) : les données susceptibles d'être collectées par les caisses d'allocations familiales (CAF) et les caisses de mutualité sociale agricole (MSA) dans le cadre de l'instruction, la liquidation et le versement du RSA sont listées à l'article R. 262-103 du CASF.
    Les informations relatives aux bénéficiaires du RSA font l'objet d'échanges entre les conseils départementaux et Pôle emploi afin de coordonner leurs actions d'insertion professionnelles conformément aux dispositions de l'article R. 262-116-2 du CASF.
     

Après s'être assuré de la pertinence et de la proportionnalité des données à caractère personnel qu'il traite, l'organisme doit par ailleurs s'assurer, tout au long de la durée de vie du traitement, de la qualité de ces données qui doivent être exactes, mises à jour et toujours nécessaires à l'objectif poursuivi.