le 19/09/2018

Protection des données personnelles et action sociale/médico-sociale

De nouvelles obligations ont été créées par le RGPD (et la loi CNIL 3) concernant le recueil et le traitement des données personnelles, ce qui bouleverse en profondeur le secteur de l’action sociale et médico-sociale.

En effet, toute structure sociale ou médico-sociale, même composée seulement de quelques salariés, lorsqu’elle collecte et traite des données à caractère personnel, se voit appliquer cette nouvelle règlementation. Cela peut aussi bien être dans le cadre de ses relations avec son personnel, les tiers ou ses fournisseurs. Concrètement, l’établissement et le service social ou médico-social (ESSMS) qui enregistre dans ses fichiers les coordonnées ou les données de santé de ses usagers ou de ses salariés, ou encore échange des informations avec un prestataire ou un partenaire, y est soumis. En cas de non-respect, des sanctions administratives et financières importantes sont prévues.

Afin de prévenir ces risques, quelques points de vigilance doivent être cernés dans l’application de cette nouvelle règlementation relative au traitement des données à caractère personnel. En effet, les acteurs du secteur social et médico-social sont particulièrement visés au vu des données qu’ils sont amenés à collecter et traiter.

  • La collecte de données sensibles : une protection spécifique

En vertu de l’article 9 du RGPD, les données sensibles sont celles faisant apparaître, directement ou indirectement, les origines raciales ou éthiques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou étant relatives à la santé ou l’orientation sexuelle de celles-ci.

Les ESSMS sont amenés à collecter des données sensibles dans le cadre de leurs activités. Le RGPD permet le traitement des données sensibles, de manière dérogatoire, par certains organismes, notamment lorsque le traitement est nécessaire pour la prise en charge sanitaire et sociale ou effectué par une association ou un organisme à but non lucratif.

En tout état de cause, le responsable de traitement doit respecter un principe de transparence dans les informations qu’il communique aux personnes concernées. L’ESSMS doit ainsi être attentif afin de mettre en place des mentions d’informations spécifiques à destination de ses usagers.

Les structures de soins sont notamment amenées à faire preuve d’une vigilance accrue lorsqu’elles traitent des données de santé concernant leurs usagers ou leur personnel, données dont le champ a été élargi par le règlement à « l’état de santé de la personne » et qui sont enfin définies par le RGPD à son article 4.

  • La gestion des risques : l’obligatoire réalisation d’« études d’impact » ou de Privacy Impact Assessment (PIA)

Ce nouvel outil est obligatoire pour le traitement de données personnelles pouvant générer un risque élevé pour les droits et libertés des personnes, notamment si les données sont sensibles, à caractère hautement personnel ou encore concernent des personnes vulnérables (enfants, patients, employés, personnes âgées notamment).

Ainsi, les ESSMS ont de fortes chances d’être concernés par l’obligation d’effectuer des études d’impact sur la vie privée. Concernant la démarche méthodologique de ces études, la CNIL a mis en place un outil, le logiciel PIA, afin d’accompagner les acteurs dans leur démarche.

  • La nomination d’un délégué à la protection des données (DPD)

Dans la mesure où les ESSMS effectuent des missions de service public, la réponse à la question de savoir si ces structures doivent nommer un DPD n’est pas toujours évidente (sauf s’il s’agit d’un établissement public, auquel cas l’obligation ne fait pas de doute).

Si l’article 37 du RGPD ne prévoit pas littéralement d’obligation, contrairement aux autorités publiques ou organismes publics traitant des données, il semblerait qu’au vu des lignes directrices du G29 (accessibles sur le site de la CNIL), il soit cependant recommandé que les organismes privés chargés d’effectuer des missions de service public désignent un DPD.

En effet, dans ce cadre, les particuliers n’ont également pas le choix quant au traitement des données les concernant ou aux modalités de ce traitement et peuvent donc requérir la protection supplémentaire que peut apporter la désignation d’un DPD. En outre, les ESSMS publics étant soumis à cette obligation, il parait logique que les ESSMS privés, qui exécutent les mêmes prestations, s’y soumettent également.

En tout état de cause, lorsque la structure sociale manipulera des données sensibles, elle sera soumise à l’obligation de désigner un DPD en vertu du même article 37 (article 37, 1. c du RGPD).