Introduction
Objet de la présente fiche
Il s’agit de communiquer aux professionnels en charge de la gestion administrative des dossiers individuels les principales exigences à respecter à l’occasion de l’ouverture d’un dossier, notamment en ce qui concerne les droits de la personne âgée ou en situation de handicap.
Respect des exigences relatives au traitement de données à caractère personnel
L’ouverture d’un dossier individuel dans le cadre de l’accompagnement d’une personne âgée en perte d’autonomie ou d’une personne en situation de handicap relève en principe des activités de traitement des données à caractère personnel.
Définition des données à caractère personnel. Selon le Règlement général de protection des données de l’Union européenne (RGPD), il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable […] ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » (RGPD, 27 avril 2016, article 4).
« Il n'y a dès lors pas lieu d'appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s'applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche » (RGPD, 27 avril 2016, considérant n° 26).
Données individuelles contenues dans un dossier informatique ou papier. La CNIL a confirmé une telle application à l’occasion de recommandations relatives aux dossiers tenus par les professionnels de santé libéraux : « les dispositions du RGPD s’appliquent à tous les traitements de données personnelles (ex : nom, prénom, numéro de patient, etc.) que vous utilisez pour l’exercice de votre activité professionnelle, que ces traitements soient sous une forme informatique (ex : logiciel de gestion de votre cabinet médical, logiciel utilisé pour l’exploitation de votre pharmacie, de votre cabinet d’orthophonie, pour l’exploitation de votre laboratoire de biologie médicale, etc.) ou papier (ex : dossier patient papier) » (CNIL, RGPD et professionnels de santé libéraux : ce que vous devez savoir, 1er juin 2018).
Le responsable du traitement. « Aux fins du présent règlement, on entend par : […] « responsable du traitement », la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre »(RGPD, 27 avril 2016, article 4).
I. Information de la personne lors de l’ouverture d’un dossier individuel
Fondement juridique. « Les données à caractère personnel doivent être : […] traitées de manière licite, loyale et transparente au regard de la personne concernée » (RGPD, 27 avril 2016, article 5 a).
« Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l'existence de l'opération de traitement et de ses finalités. Le responsable du traitement devrait fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées » (RGPD, 27 avril 2016, considérant n° 60).
A. Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
« 1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement
b) le cas échéant, les coordonnées du délégué à la protection des données
c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement
d) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), [traitement nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant] les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent […].
2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :
a) la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée
b) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données
c) lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci
d) le droit d'introduire une réclamation auprès d'une autorité de contrôle [en France, la CNIL]
e) des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données […] » (RGPD, 27 avril 2016, article 13).
B. Caractéristiques de l’information à communiquer
La CNIL a formulé quelques recommandations : « l’information doit être délivrée de façon concise, transparente, compréhensible et aisément accessible. Elle doit pouvoir être abordable par le « grand public ».
Pour répondre à cette exigence, il faut aller à l’essentiel tout en faisant figurer l’ensemble des mentions obligatoires dans le document d’information.
Il est également recommandé de travailler sur un support rendant l’information la plus intelligible possible. A titre d’exemples, la compréhension de la personne peut être facilitée par l’utilisation de pictogrammes visuels, le surlignage des informations essentielles dans des documents écrits (ex : livret d’accueil, documents écrits d’information remis aux patients) ou encore le recours à la vidéo (ex : diffusion de vidéo dans les salles d’attente), etc.
L’information doit bien sûr également être adaptée, en fonction de la pathologie de la personne, de son âge, des circonstances du recueil des données. […] Une information ciblée doit être faite aux personnes vulnérables (ex : personnes âgées, patients présentant des troubles cognitifs, etc.) » (CNIL, Traitement de données de santé : comment informer les personnes concernées ? 4 avril 2018).
C. Modalités d’information
Absence d’exigence spécifique. « Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l'identité de la personne concernée soit démontrée par d'autres moyens » (RGPD, 27 avril 2016, article 12).
« Le support d’information est libre : par oral, par écrit ou par tout autre moyen (affichage dans les lieux de soins, dans les secrétariats, remise de documents écrits d’information, etc.) » (CNIL, Traitement de données de santé : comment informer les personnes concernées ? 4 avril 2018).
Renouvellement de l’information. « Si la personne concernée a déjà été informée, doit-on l’informer de nouveau ? Oui, dans certains cas de figure : modification substantielle du traitement, transmission des données de santé du responsable de traitement à un destinataire, utilisation des données de santé par le responsable de traitement pour une autre finalité, etc. » (CNIL, Traitement de données de santé : comment informer les personnes concernées ? 4 avril 2018).
D. Destinataire(s) de l’information dans le cas d’une personne faisant l’objet d’une mesure de protection
Texte de référence. L’article 459 du code civil, dans sa version issue de la loi du 23 mars 2019, énonce qu’« hors les cas prévus à l’article 458 [déclaration de naissance d'un enfant, sa reconnaissance, les actes de l'autorité parentale relatifs à la personne d'un enfant, la déclaration du choix ou du changement du nom d'un enfant et le consentement donné à sa propre adoption ou à celle de son enfant], la personne protégée prend seule les décisions relatives à sa personne dans la mesure où son état le permet.
Lorsque l'état de la personne protégée ne lui permet pas de prendre seule une décision personnelle éclairée, le juge ou le conseil de famille s'il a été constitué peut prévoir qu'elle bénéficiera, pour l'ensemble des actes relatifs à sa personne ou ceux d'entre eux qu'il énumère, de l'assistance de la personne chargée de sa protection. Au cas où cette assistance ne suffirait pas, il peut, le cas échéant après le prononcé d’une habilitation familiale ou l'ouverture d'une mesure de tutelle, autoriser la personne chargée de cette habilitation ou de cette mesure à représenter l'intéressé.
[…] Toutefois, sauf urgence, la personne chargée de la protection du majeur ne peut, sans l'autorisation du juge ou du conseil de famille s'il a été constitué, prendre une décision ayant pour effet de porter gravement atteinte l'intimité de la vie privée de la personne protégée ».
Application de cette règle aux autres différents dispositifs de représentation.
Habilitation familiale. L’article 459 du code civil a pour champ d’application les curatelles et les tutelles, non le régime de l’habilitation familiale. Toutefois, l’article 494-6 du code civil renvoie notamment à l’article 459 du code civil, ce dernier trouvant donc application à l’habilitation familiale. Il y est énoncé que « l'habilitation peut porter sur : […] un ou plusieurs actes relatifs à la personne à protéger. Dans ce cas, l'habilitation s'exerce dans le respect des dispositions des articles 457-1 à 459-2 du code civil ».
Mandat de protection future. L’article 459 du code civil trouve également application au mandat de protection future ayant été activé, lorsqu’il s’étend à la protection de la personne du mandant. L’article 479 du code civil énonce que « lorsque le mandat s'étend à la protection de la personne, les droits et obligations du mandataire sont définis par les articles 457-1 à 459-2. Toute stipulation contraire est réputée non écrite ».
Sauvegarde de justice. L’article 459 du code civil s’applique également à la sauvegarde de justice dans le cas d’une désignation d’un mandataire spécial dont la charge s’étend à la personne. L’article 438 du code civil énonce que « le mandataire spécial peut également se voir confier une mission de protection de la personne dans le respect des articles 457-1 à 463 ».
II. Cas d’exemption du consentement de la personne
Absence de besoin de recueillir le consentement de la personne ou de son représentant légal.
Texte de référence. « Traitement portant sur des catégories particulières de données à caractère personnel
1. Le traitement […] des données concernant la santé […] sont interdits.
2. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :
a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée ;
b) le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union, par le droit d’un État membre ou par une convention collective conclue en vertu du droit d’un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée ;
c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
[…]
h) le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3.
3. Les données à caractère personnel visées au paragraphe 1 [données concernant la santé] peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union, au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l’Union ou au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents » (RGPD, 27 avril 2016, article 9).
Application aux professionnels de santé libéraux. « Vous n’avez pas besoin de recueillir le consentement des patients pour collecter et conserver les données de santé les concernant, dans la mesure où leur collecte et leur conservation sont nécessaires aux diagnostics médicaux et à la prise en charge sanitaire ou sociale des patients concernés.
Le consentement pour le traitement de données ne doit pas être confondu avec le consentement requis pour la réalisation de certains actes médicaux (ex : le code de la santé publique impose le recueil du consentement du patient pour la réalisation d’un examen des caractéristiques génétiques) » (CNIL, RGPD et professionnels de santé libéraux : ce que vous devez savoir, 1er juin 2018).
III. Données pouvant être collectées
A. Texte de référence
« Les données à caractère personnel doivent être : […] collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ; c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) » (RGPD, 27 avril 2016, article 5).
Cas de collecte par des professionnels de santé libéraux. « Les données que vous collectez sur les patients doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la prise en charge du patient au titre des activités de prévention, de diagnostic et de soins.
A titre d’exemple, la collecte d’informations sur la vie familiale d’un patient n’est en principe pas appropriée » (CNIL, RGPD et professionnels de santé libéraux : ce que vous devez savoir, 1er juin 2018).
B. Illustration de données pouvant être collectées dans le cadre de l’accompagnement d’une personne âgée ou en situation de handicap
Un référentiel produit par la CNIL. La CNIL a proposé un descriptif des données pouvant être collectées dans le cadre d’un référentiel annexé à la délibération n° 2021-028 du 11 mars 2021 (référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de l’accueil, l’hébergement et l’accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap et de celles en difficulté adopté le 11 mars 2021).
Portée du référentiel de la CNIL. La CNIL rappelle que « [ce référentiel] a pour objectif de fournir aux organismes mettant en œuvre de tels traitements un outil d'aide à la mise en conformité à la réglementation relative à la protection des données à caractère personnel.
[…] Ce référentiel n'a pas de valeur contraignante. Il permet en principe d'assurer la conformité des traitements de données mis en œuvre par les organismes aux principes relatifs à la protection des données, dans un contexte d'évolution des pratiques à l'ère du numérique3.
Principe de « minimisation des données ». « En vertu du principe de minimisation des données, le responsable de traitement doit veiller à ce que seules les données nécessaires à la poursuite des finalités du traitement soient effectivement collectées et traitées » (CNIL, Référentiel annexé à la délibération du 11 mars 2021).
Illustrations de données pouvant être collectées, sous réserve qu’elles soient nécessaires à la finalité du traitement.
Le tableau reproduit ci-dessous fournit des illustrations des données que la CNIL considère comme étant en principe adaptées selon les finalités du traitement.
VOIR TABLEAUX PDF
Après s'être assuré de la pertinence et de la proportionnalité des données à caractère personnel qu'il traite, l'organisme doit par ailleurs s'assurer, tout au long de la durée de vie du traitement, de la qualité de ces données qui doivent être exactes, mises à jour et toujours nécessaires à l'objectif poursuivi ».
IV. Durée de conservation
A. Texte de référence
« [Les données personnelles doivent être […] e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) » (RGPD, 27 avril 2016, article 5).
B. Recommandations de la CNIL
Source. CNIL. Délibération n° 2021-028 du 11 mars 2021 portant adoption d'un référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de l'accueil, l'hébergement et l'accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap et de celles en difficulté
La CNIL formule les préconisations suivantes :
« 7. Durées de conservation
Une durée de conservation précise des données doit être fixée en fonction de chaque finalité : ces données ne peuvent en effet pas être conservées pour une durée indéfinie.
La durée de conservation de données ou, lorsqu'il est impossible de la fixer, les critères utilisés pour déterminer cette durée, font partie des informations qui doivent être communiquées aux personnes concernées.
Dans ces conditions, il incombe au responsable du traitement de déterminer cette durée en amont de la réalisation du traitement.
7.1. Les durées de conservation
En principe, il est recommandé que les données collectées et traitées, pour les besoins de l'accueil, l'hébergement et l'accompagnement social et médico-social des personnes ne soient pas conservées dans la base active au-delà de deux ans à compter du dernier contact émanant de la personne ayant fait l'objet de cet accompagnement (p. ex. : dernier courriel ou courrier envoyé par la personne concernée, etc.), sauf dispositions législatives ou réglementaires contraires ou cas particulier. Cette durée de conservation est celle préconisée par la Commission s'agissant de l'ensemble des finalités visées par le référentiel.
Les données peuvent en outre être conservées plus longtemps que les durées mentionnées ci-dessus, en archivage intermédiaire, dans certains cas particuliers, par exemple si le responsable du traitement en a l'obligation légale (par exemple, pour répondre à des obligations comptables, sociales ou fiscales) ou s'il a besoin de se constituer une preuve en cas de contentieux et dans la limite du délai de prescription/forclusion applicable (par exemple, en matière de discrimination). La durée de l'archivage intermédiaire doit cependant répondre à une réelle nécessité, dûment justifiée par le responsable de traitement après une analyse préalable de différents facteurs, notamment le contexte, la nature des données traitées et le niveau de risque d'un éventuel contentieux.
A l'expiration de ces périodes, les données sont détruites de manière sécurisée ou archivées dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public pour les organismes soumis à ces dispositions, d'une part, ou conformément aux dispositions de la délibération de la CNIL portant adoption d'une recommandation concernant les modalités d'archivage électronique de données à caractère personnel pour les organismes relevant du secteur privé, d'autre part.
Le tableau suivant contient des exemples pour lesquels la durée de conservation est en principe adéquate au regard des textes (liste non-exhaustive) :
VOIR TABLEAUX PDF
7.2. La conservation de données anonymisées
La réglementation relative à la protection des données à caractère personnel ne s'applique pas, notamment en ce qui concerne les durées de conservation, aux données anonymisées. Il s'agit des données qui ne peuvent plus, par quiconque, être mises en relation avec la personne physique identifiée à laquelle elles se rapportaient initialement.
L'anonymisation doit être distinguée de la pseudonymisation où il est techniquement possible de retrouver l'identité de la personne concernée grâce à des données tierces. En effet, l'opération de pseudonymisation est réversible, contrairement à l'anonymisation.
Ainsi, le responsable du traitement peut conserver sans limitation de durée les données anonymisées. Dans ce cas, l'organisme concerné doit garantir le caractère anonymisé des données de façon pérenne.
Pour en savoir plus, l'organisme a la possibilité de consulter les guides de la CNIL suivants :
- « Sécurité : Archiver de manière sécurisée » ;
- « Limiter la conservation des données » ;
- « Guide pratique : les durées de conservation ».
