Blog Données personnelles
Un nouveau référentiel de la CNIL pour le secteur social et médico-social
Le 11 mars 2021, la Commission nationale de l’informatique et des libertés (CNIL) a adopté un référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de l’accueil, l’hébergement et l’accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap et de celles en difficulté.
Ce référentiel décrit notamment :
- les finalités poursuivies par les traitements de données personnelles,
- les bases légales des traitements de données personnelles,
- les catégories des données personnelles traitées,
- les destinataires des données personnelles,
- les durées de conservation applicables,
- le contenu et les modalités de l’information devant être communiquée aux personnes concernées,
- les modalités d’exercice des droits des personnes concernées,
- les mesures de sécurité devant être mises en œuvre,
- la nécessité de réaliser une analyse d’impact selon les traitements mis en œuvre.
S’agissant des bases légales du traitement, la CNIL précise que selon que l’organisme relève du secteur privé ou public, certains traitements répondant pourtant à la même finalité peuvent être fondés sur des bases légales différentes (par exemple, intérêt légitime dans le secteur privé, exécution d’une mission d’intérêt public dans le secteur public).
Sauf cas particuliers, le référentiel précise que le partage des informations collectées doit respecter les principes suivants :
- les informations échangées ne doivent servir qu’à évaluer la situation de la personne ou de la famille concernée afin de déterminer les actions à mettre en œuvre ;
- ces échanges d’informations doivent être strictement limités à l’accomplissement des missions de l’organisme ou du service mettant en œuvre le traitement ;
- ils ne peuvent pas porter sur l’ensemble des informations mais doivent être limités à celles nécessaires à l’accompagnement et au suivi des personnes ;
- les échanges doivent être réalisés dans les conditions fixées par les textes législatifs et réglementaires.
En principe, la CNIL recommande que les données ne soient pas conservées dans la base active au-delà de deux ans à compter du dernier contact émanant de la personne ayant fait l’objet de cet accompagnement sauf dispositions législatives ou réglementaires contraires ou cas particulier.
Si ce référentiel n’a pas de valeur contraignante, il constitue toutefois un outil d’aide à la mise en conformité des traitements de données personnelles au RGPD et à la loi Informatique et Libertés modifiée.