Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
Lettre de cadrage : Droits des personnes et démarche de protection des données personnellesAprès avis favorable des instances de l’Anesm les 27 et 28/03/2017
23/02/17
Recommandations de bonnes pratiques professionnelles
démarche de protection des données personnelles
Référents COS :
- Mme Henriette STEINBERG
Français
- Mme Marie ABOUSSA, vice
Référents Conseil scientifique :
- Brigitte BOUQUET
- Roland RAMZI GEADAH
Droits des personnes et démarche de protection des données personnelles Après avis favorable des instances de l’Anesm les 27 et 28/03/2017
Recommandations de bonnes pratiques professionnelles
Lettre de cadrage
Droits des personnes
et
démarche de protection des données personnelles
Mme Henriette STEINBERG, vice-présidente section inclusion sociale, Secours Populaire
, vice-présidente section personnes handicapées, NEXEM
Page 1/17
Recommandations de bonnes pratiques professionnelles
démarche de protection des données personnelles
sociale, Secours Populaire
, NEXEM
Lettre de cadrage : Droits des personnes et démarche de protection des données personnelles Après avis favorable des instances de l’Anesm les 27 et 28/03/2017
23/02/17 Page 2/17
La protection des données personnelles est un sujet sociétal et universel auquel n’échappe pas le
secteur social et médico-social. L’accompagnement de qualité garanti au sein des ESSMS nécessite
d’être personnalisé et impose aux professionnels le recueil et la circulation de données à caractère
personnel. La prise en compte de ces informations dans l’accompagnement est en effet une des
conditions pour ajuster les pratiques aux besoins et à la situation de chaque individu.
Terminologie de la protection des données1
- Les données sont des données à caractère personnel dès lors qu’elles portent sur une personne identifiée ou identifiable, la personne concernée.
- Une personne est identifiable si des informations complémentaires peuvent être obtenues sans effort déraisonné, permettant l’identification de la personne concernée.
- L’authentification s’entend du fait de démontrer qu’une certaine personne possède une certaine identité et/ou est autorisée à exercer certaines activités.
- Il existe des catégories particulières de données, appelées « données sensibles », énumérée dans la Convention 1082 [article 53] et dans la directive relative à la protection des données, qui requièrent une protection accrue, et par conséquent, sont soumises à un régime juridique spécial.
- Les données sont anonymisées si elles ne contiennent plus d’identifiants ; elles sont pseudonymisées si les identifiants sont cryptées.
- Contrairement aux données anonymisées, les données pseudonymisées sont des données à caractère personnel.
1 Agence des droits fondamentaux de l’Union européenne. Manuel de droit européen en matière de protection
des données. Luxembourg : Agence des droits fondamentaux de l’Union européenne, 2014. 2 Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère
personnel, STE n°108, Strasbourg, 28/01/1981, entrée en vigueur le 01/10/1985. « La Convention est le premier instrument international contraignant qui a pour objet de protéger les personnes contre l'usage abusif du traitement automatisé des données à caractère personnel, et qui réglemente les flux transfrontaliers des données. Outre des garanties prévues en ce qui concerne le traitement automatisé des données à caractère personnel, elle proscrit le traitement des données "sensibles" relatives à l'origine raciale, aux opinions politiques, à la santé, à la religion, à la vie sexuelle, aux condamnations pénales, etc. , en l'absence de garanties offertes par le droit interne. La Convention garantit également le droit des personnes concernées de connaître les informations stockées à leur sujet et d'exiger le cas échéant des rectifications. Seule restriction à ce droit : lorsque les intérêts majeurs de l'Etat (sécurité publique, défense, etc.) sont en jeu. La Convention impose également des restrictions aux flux transfrontaliers de données dans les Etats où n'existe aucune protection équivalente. » Source : http://www.coe.int/fr/web/conventions/full-list/-/conventions/treaty/108 3 Les données à caractère personnel faisant l'objet d'un traitement automatisé sont :
a. obtenues et traitées loyalement et licitement; b. enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière
incompatible avec ces finalités; c. adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont
enregistrées; d. exactes et si nécessaire mises à jour; e. conservées sous une forme permettant l'identification des personnes concernées pendant une durée
n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées.
Lettre de cadrage : Droits des personnes et démarche de protection des données personnelles Après avis favorable des instances de l’Anesm les 27 et 28/03/2017
23/02/17 Page 3/17
Données sensibles et données à risque
Les données sensibles sont celles qui font apparaître, directement ou indirectement, les origines
raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance
syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci4.
Par principe, la collecte et le traitement de ces données sont interdits. Cependant, dans la mesure où
la finalité du traitement l’exige, ne sont pas soumis à cette interdiction :
. les traitements pour lesquels la personne concernée a donné son consentement exprès ;
. les traitements justifiés par un intérêt public après autorisation de la CNIL ou décret en Conseil
d’Etat.
La collecte et le traitement de ces données doivent dans ces hypothèses, être justifiés au cas par cas
au regard des objectifs recherchés.
Les données présentant des risques particuliers d’atteinte aux droits et libertés
. données génétiques,
. données relatives aux infractions pénales, aux condamnation etc.,
. données comportant des appréciations sur les difficultés sociales des personnes,
. données biométriques,
. données comprenant le numéro NIR (numéro d’inscription au répertoire) c’est-à-dire le numéro de
sécurité sociale
Au regard du respect des droits des personnes, la personnalisation renvoie les professionnels à deux
principes contradictoires : le respect de la vie privée et le droit à la protection des données à
caractère personnel d’une part, la nécessité d’une coordination et de coopération entre différents
intervenants d’autre part.
Sur ce thème, l’Anesm a publié en 2010, des recommandations de bonnes pratiques professionnelles
destinées spécifiquement aux professionnels des établissements et services intervenant dans le
champ de la protection de l’enfance et/ou mettant en œuvre des mesures éducatives5. Or, les
évolutions du cadre légal et l’augmentation des pratiques de coopération et de coordination
nécessaires à la continuité d’un accompagnement personnalisé ont rendu inéluctables des
recommandations destinées à l’ensemble des structures sociales et médico-sociales.
Ainsi, il est inscrit au programme de travail 2017 au titre du programme 4 : Le soutien aux
professionnels, l’élaboration de recommandations de bonnes pratiques professionnelles concernant
la protection des données personnelles et la confidentialité des informations.
4 Article 6 de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à
caractère personnel, dite Convention 108. 5 Anesm. Le partage d’informations à caractère secret en protection de l’enfance. Saint –Denis. 2010.
Lettre de cadrage : Droits des personnes et démarche de protection des données personnelles Après avis favorable des instances de l’Anesm les 27 et 28/03/2017
23/02/17 Page 4/17
1. Contexte
1.1. Le droit à la protection des données à caractère personnel6 : un droit fondamental
autonome
1.1.1. Un nouveau règlement européen
Depuis l’entrée en vigueur du Traité de Lisbonne en décembre 2009, la Charte des droits
fondamentaux de l’Union européenne a acquis une force juridique obligatoire et le droit à la
protection des donnes à caractère personnel a été érigé au rang de droit fondamental autonome.
Le droit à la protection des données à caractère personnel fait partie des droits protégés par l’article
8 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales (CEDH)7, qui
garantit le droit au respect de la vie privée et familiale, du domicile et de la correspondance, et
énonce les conditions dans lesquelles des restrictions à ce droit sont admises.
Du fait de la croissance de la collecte et du partage de données, la réglementation générale
concernant leur protection a nécessité des adaptations. Le 27 avril 2016, un nouveau règlement
relatif à la protection des personnes physiques à l'égard du traitement des données à caractère
personnel et à la libre circulation de ces données8 a abrogé la Directive 95/46/CE (règlement général
sur la protection des données). Ce règlement européen prendra effet en mai 2018.
La nouvelle législation européenne vise à créer un ensemble de règles uniformes à travers l'UE
adaptées à l'ère numérique, à améliorer la sécurité juridique et à renforcer la confiance des citoyens
et entreprises dans le marché unique du numérique. Un consentement clair et positif au traitement
des données, le droit à l'oubli et de lourdes amendes pour les entreprises enfreignant les règles sont
quelques-unes des nouvelles fonctionnalités9.
Les nouvelles règles viennent renforcer le droit des citoyens, et par conséquent des personnes
accompagnées dans les ESSMS. Ils pourront dorénavant davantage contrôler leurs données
personnelles (droit à l’oubli, contrôle des parties détenant les données privées, droit de transmettre
les données personnelles d’un individu à un autre fournisseur de services, droit d’être informé dans
un langage simple et clair, droit d’être informé en cas de piratage des données, protection spéciale
pour les enfants, le respect de la vie privée comme norme).
Le délégué à la protection des données est au cœur du nouveau règlement européen. Il est chargé de
mettre en œuvre la conformité au règlement européen sur la protection des données au sein de
6 La protection des données à caractère personnel est une simplification de langage, qui sera utilisée en lieu et
place de la protection des personnes à l’égard du traitement des données qui les concernent. 7 Convention de sauvegarde des droits de l’homme et des libertés fondamentales, Conseil de l’Europe,
4/11/1950 8 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) 9 http://www.europarl.europa.eu/news/fr/news-room/20160413BKG22980/nouvelle-l%C3%A9gislation-
europ%C3%A9enne-sur-la-protection-des-donn%C3%A9es
Lettre de cadrage : Droits des personnes et démarche de protection des données personnelles Après avis favorable des instances de l’Anesm les 27 et 28/03/2017
23/02/17 Page 5/17
l’organisme qui l’a désigné. Sa désignation est obligatoire dans certains cas10. En décembre 2016, les
commissions nationales Informatique et Liberté des Etats membre de l’Union Européenne11 ont
élaboré des recommandations de bonnes pratiques professionnelles en direction des délégués12. La
CNIL est chargée d’accompagner les professionnels dans ces obligations.
1.1.2. Les dispositions particulières au regard de la Loi « Informatique et
Liberté »
La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (dite Loi
« Informatique et Liberté ») encadre strictement l’usage des données à caractère personnel, en
obligeant notamment les organisations à déclarer à la CNIL tous traitements effectués sur ce type de
données ou, si elles ont nommé un Correspondant Informatique et Libertés (CIL), en tenant un
registre de ces traitements.
Dans ses articles 6 et 7, la loi « Informatique et Liberté » érige sept grands principes à respecter lors
de la collecte de données à caractère personnel13 :
- finalité : Les données à caractère personnel ne peuvent être recueillies et traitées que pour
un usage déterminé et légitime correspondant aux missions de l’ESSMS, responsable du
traitement.
- proportionnalité : Seules doivent être enregistrées les informations pertinentes et
nécessaires pour leur finalité.
- pertinence des données : Les données personnelles doivent être adéquates, pertinentes et
non excessives au regard des objectifs poursuivis.
- durée limitée de conservation : C’est ce qu’on appelle le droit à l’oubli. Les informations ne
peuvent être conservées de façon indéfinie dans les fichiers informatiques. Une durée de
conservation doit être établie en fonction de la finalité de chaque fichier. Au-delà, les
données peuvent être archivées, sur un support distinct.
10
Les autorités ou les organismes publics, les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions. En dehors des cas de désignation obligatoire, la désignation d’un délégué à la protection des données est encouragée. Elle permet en effet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles. Les organismes peuvent désigner un délégué interne ou externe à leur structure. Le délégué à la protection des données peut par ailleurs être mutualisé c’est-à-dire désigné pour plusieurs organismes sous certaines conditions. Source : https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees 11
L’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci a institué un groupe de travail rassemblant les représentants de chaque autorité indépendante de protection des données nationales. 12 Guidelines on Data Protection Officers (DPOs)
http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf 13
« Les 7 principes clés de la protection des données personnelles ».
http://www.cil.cnrs.fr/CIL/spip.php?article1390. page publiée le 19 octobre 2011, mise à jour le 18 janvier
2012 et consultée le 31 mars 2017
Lettre de cadrage : Droits des personnes et démarche de protection des données personnelles Après avis favorable des instances de l’Anesm les 27 et 28/03/2017
23/02/17 Page 6/17
- sécurité et confidentialité (articles 226-17 et 226-22 du Code pénal) : Le responsable du
traitement est astreint à une obligation de sécurité. Il doit faire prendre les mesures
nécessaires pour garantir la confidentialité des données et éviter leur divulgation.
- transparence14 : La loi garantit aux personnes l’information nécessaire relative aux
traitements auxquels sont soumises des données les concernant et les assure de la possibilité
d’un contrôle personnel.
- respect du droit des personnes : Lors de l’informatisation ou lors du recueil des données, les
personnes concernées doivent être informés de la finalité du traitement, du caractère
obligatoire ou facultatif du recueil, des destinataires des données et des modalités d’exercice
des droits qui leur sont ouverts au titre de la loi « Informatique et Liberté » : droit d’accès et
de rectification mais aussi, droit de s’opposer, sous certaines conditions, à l’utilisation de
leurs données.
Le respect de ces principes est assuré par la mise en place de procédures spécifiques et l’utilisation
d’outils correctement paramétrés. Les établissements et services sociaux et médico-sociaux sont
chargés de la gestion et du traitement de données sensibles (données relatives à la santé, par
exemple) et doivent prévoir des dispositions particulières.
Les systèmes d’information dans lesquelles figurent des données personnelles doivent ainsi
bénéficier de la protection prévue par la loi « Informatique et Liberté » et notamment en termes de
sécurité des fichiers, de confidentialité des données, de durée de conservation des données,
d’information des personnes concernées, d’autorisation et/ou de déclaration à la CNIL, de finalité
des traitements. Conformément à l’article 22 de loi de 1978, la mise en place d’un système
d’information recueillant des données à caractère personnel doit être précédée de la déclaration
adéquate auprès de la CNIL15.
En mai 2016, la CNIL a procédé à une simplification de la déclaration pour les ESSMS via la mise en
place d’autorisations uniques. « Les organismes, services et établissements sociaux peuvent
désormais procéder en ligne sur le site de la CNIL à un engagement de conformité à l’une ou
plusieurs autorisations uniques correspondant au(x) traitement(s) de fichiers dont ils ont besoin dans
le cadre de leur activité ».16 Ces autorisations uniques constituent également un cadre de référence
14
L’utilisation du terme de « transparence » doit être considéré au regard du principe d’agir dans la transparence et d’informer la personne. Le responsable du traitement de données personnelles doit avertir ces personnes dès la collecte des données et en cas de transmission de ces données à des tiers. 15
Tout manquement à cette obligation expose l’organisme gestionnaire à 5 ans d’emprisonnement et à 300 000 euros d’amende (article 226-16 du Code pénal). 16
Délibération n° 2016-094 du 14 avril 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre dans le cadre de l'accueil, l'hébergement, l'accompagnement et le suivi des personnes handicapées et des personnes âgées (AU-047) Délibération n° 2016-095 du 14 avril 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre dans le cadre de l'accueil, l'orientation, l'accompagnement et le suivi social des personnes (AU-048) Délibération n° 2016-096 du 14 avril 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre dans le cadre de la prévention et de la protection de l'enfance (AU-49) Délibération n° 2016-175 du 9 juin 2016 portant autorisation unique relative aux traitements de données à caractère personnel mis en œuvre par les mandataires judiciaires à la protection des majeurs, ayant pour finalités la gestion et le suivi de la représentation juridique, de l'assistance et du contrôle des personnes
Lettre de cadrage : Droits des personnes et démarche de protection des données personnelles Après avis favorable des instances de l’Anesm les 27 et 28/03/2017
23/02/17 Page 7/17
pour les acteurs des secteurs social et médico-social. Ils permettent de connaitre les points
importants à respecter pour garantir une sécurité suffisante des données des personnes
accompagnées. Ces outils devraient être suivis d’un « guide sous forme de fiches pratiques pour
expliquer de façon pédagogique les règles relatives à la protection des données personnelles »17.
1.2. La circulation des informations dans le secteur social et médico-social
La personnalisation de l’accompagnement, la recherche de solutions pour éviter les ruptures de
parcours ou les redondances en matière d’évaluation des besoins, la diversification des modes
d’accompagnement, etc. multiplient le nombre d’intervenants auprès de la personne accompagnée
en des lieux et des temps différenciés ; ce qui a pour effet une augmentation des espaces de
coordination et d’échanges d’information, au sein de l’ESSMS ou avec des partenaires extérieurs18.
Le positionnement des professionnels dans ces espaces est rendu particulièrement difficile par les
différentes règles relatives à l’obligation de confidentialité (L. 311-3, 4° du CASF) et de secret
professionnel (226-13 du code pénal). Le secret professionnel s’applique à toute personne qui en est
dépositaire soit par état ou par profession, soit en raison d’une fonction ou d’une mission
temporaire. Or cette définition fait débat selon l’interprétation plus ou moins stricte qui en est faite.
1.2.1. Un nouveau cadre juridique qui facilite la circulation des informations
Deux lois sont venues récemment faciliter la circulation des informations dans le secteur social et
médico-social permettant de garantir un meilleur accompagnement global de la personne:
- la loi n° 2015-1776 du 28 décembre 2015 relative à l'adaptation de la société au
vieillissement, dite loi ASV ;
- la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé.
La loi n° 2015-1776 du 28 décembre 2015 relative à l'adaptation de la société au vieillissement, dite
loi ASV légalise le partage d’informations au sein des MAIA (Méthode pour l’autonomie et
l’intégration des malades d’Alzheimer).
Cette loi réaffirme, par ailleurs, les exigences en matière de renforcement de la lutte contre la
maltraitance dans les ESSMS. L’article L. 331-8-1 du CASF a été modifié et fournit la première
définition légale des situations de maltraitance des usagers des ESSMS19. Outre les violences
placées par l'autorité judiciaire sous sauvegarde de justice, curatelle, tutelle ou mesure d'accompagnement judiciaire (AU-050) 17
Des formalités simplifiées pour la sphère médico-sociale. 12 mai 2016. https://www.cnil.fr/fr/des-formalites-simplifiees-pour-la-sphere-sociale-et-medico-sociale 18
BLOCH, M-A., HENAUT, L., Coordination et parcours. La dynamique du monde sanitaire, social et médico-social. Dunod. 2014. 19
« Les établissements et services et les lieux de vie et d'accueil informent sans délai, dans des conditions fixées par décret en Conseil d'Etat, les autorités administratives compétentes pour leur délivrer l'autorisation prévue à l'article L. 313-1 ou pour recevoir leur déclaration en application des articles L. 321-1 et L. 322-1 de tout dysfonctionnement grave dans leur gestion ou leur organisation susceptible d'affecter la prise en charge des usagers, leur accompagnement ou le respect de leurs droits et de tout évènement ayant pour effet de menacer ou de compromettre la santé, la sécurité ou le bien-être physique ou moral des personnes prises en charge ou accompagnées.» article L.331-8-1 du CASF créé par l’article 30 de la loi n°2015-1776 du 28 décembre
Lettre de cadrage : Droits des personnes et démarche de protection des données personnelles Après avis favorable des instances de l’Anesm les 27 et 28/03/2017
23/02/17 Page 8/17
individuelles qui imposent le signalement dans les conditions du droit commun, les situations de
maltraitance d’origine plus diffuses liées à l’organisation d’un service sont prises en compte. La loi
n°2016-297 du 14 mars 2016 relative à la protection de l’enfant rend également obligatoire cette
disposition pour les structures intervenant dans le champ de la protection de l’enfance et relevant de
la compétence du Conseil départemental.
Le Décret n° 2016-1813 du 21 décembre 2016 relatif à l’obligation de signalement des structures
sociales et médico-sociales pris en application de l’article 30 de la loi ASV comporte un volet sur
l’information transmise et précise que celle-ci « ne contient aucune donnée nominative et garantit
par son contenu l’anonymat des personnes accueilles et du personnel ». L’article L. 313-24 du CASF
(issu de l’article 48 de la loi 2002-2) concerne spécifiquement la protection des salariés ou agents qui
relatent ou dénoncent des faits de mauvais traitements ou de privation dans les ESSMS20.
La loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé marque
également une évolution importante concernant le partage de l’information entre professionnels.
Ainsi l’article L.1110-4 du Code de la santé publique réalise un réel décloisonnement de l’approche
de la question du secret dans les secteurs sanitaire, social et médico-social. Il élargit la liste des
professionnels soumis au secret par fonction, ainsi :
« Toute personne prise en charge par un professionnel de santé, un établissement ou un des
services de santé définis au livre III de la sixième partie du présent code, un professionnel du
secteur médico-social ou social ou un établissement ou service social et médico-social
mentionné au I de l'article L. 312-1 du code de l'action sociale et des familles a droit au
respect de sa vie privée et du secret des informations le concernant. Excepté dans les cas de
dérogation expressément prévus par la loi, ce secret couvre l'ensemble des informations
concernant la personne venues à la connaissance du professionnel, de tout membre du
personnel de ces établissements, services ou organismes et de toute autre personne en
relation, de par ses activités, avec ces établissements ou organismes. Il s'impose à tous les
professionnels intervenant dans le système de santé. »
La loi du 26 janvier 2016 vient également préciser la notion d'équipe de soins, par l’article L 1110-12
du Code de la santé publique (CSP). Pour autant le partage n'est pas circonscrit à l'exercice en
équipe. Le Décret n°2016-994 du 20 juillet 2016 précise les conditions d'échange et de partage
d'informations entre professionnels de santé et autres professionnels des champs social et médico-
social et l'accès aux informations de santé à caractère personnel. Le Décret n°2016-996 du 20 juillet
2016 fixe lui la liste des structures de coopération, d'exercice partagé ou de coordination sanitaire ou
médico-sociale dans lesquelles peuvent exercer les membres d'une équipe de soins.
2015 et complété par l’arrêté du 28 décembre 2016 relatif à l'obligation de signalement des structures sociales et médico-sociales précisant la nature des dysfonctionnements graves et des évènements dont les autorités administratives doivent être informées. 20
BOULMIER, D. Les lanceurs d'alerte dans les établissements et services sociaux et médicaux-sociaux : À propos de l'article L. 313-24 du CASF. Revue de droit sanitaire et social, Dalloz, 2015, Dossier : Le partage du secret professionnel dans le secteur social et médico-social, pp.448-464.
Lettre de cadrage : Droits des personnes et démarche de protection des données personnelles Après avis favorable des instances de l’Anesm les 27 et 28/03/2017
23/02/17 Page 9/17
2. Enjeux et objectifs des recommandations
Le cadre juridique définissant les conditions d’utilisation des données personnelles, en particulier des
données sensibles, et encadrant leur protection est très riche. Il traduit le caractère sensible de ces
données au regard des droits de la personne et de la protection et de la confidentialité de ces
données. La protection de ces données passe par la sécurité « pour empêcher qu’elles soient
déformées, endommagées, ou que des tiers non autorisés y aient accès. »21
Plusieurs éléments interfèrent dans la mise en œuvre et nécessitent pour les professionnels :
- de connaître les règles et sanctions relatives à la protection et à la circulation d’informations
à caractère personnel ainsi que celles liées au secret ;
- d’informer, d’associer et de recueillir le consentement des personnes concernées ;
- de mettre en place une organisation des niveaux d’accès et d’échange des données à
caractère personnel, qu’ils s’agissent de transmissions écrites ou orales.
2.1. Inscrire la protection des données personnelles et la confidentialité des
informations au service de la qualité de l’accompagnement
La CNIL accompagne les professionnels des ESSMS dans leurs obligations réglementaires par la
création d’outils et de guides dédiés. L’ASIP (Agence des systèmes d’information partagés de santé)
est chargée de définir les conditions et les modalités de déploiement des systèmes d’information
partagés dans le domaine de la santé et du secteur médico-social. Elles diffusent à ce titre des
référentiels dans le respect de la protection des données et pour assurer la sécurité des
informations. Les recommandations de l’Anesm doivent être complémentaires et impulser le soutien
d’une démarche éthique respectueuse des droits fondamentaux de la personne.
La formalisation de procédures ou l’informatisation des dossiers des personnes accompagnées
peuvent constituer pour les établissements et services une réelle opportunité pour réaliser un
diagnostic sur les pratiques professionnelles et les données recueillies et soutenir une démarche
d’amélioration continue des pratiques. D’autant que les questions soulevées sont d’ordre éthique
puisque la conformité relative à la sécurité repose sur une réflexion à partir des risques sur la vie
privée et non pas sur la seule comparaison avec de bonnes pratiques ou sur l’application seule de la
doctrine22.
Les recommandations de bonnes pratiques professionnelles devront donner des repères et des
supports utiles pour guider les professionnels dans cette mise en œuvre. Elles viseront à promouvoir
une culture de la protection et de la confidentialité des informations comme un levier d’amélioration
continue de la qualité de l’accompagnement.
21
Article 34 de la Loi Informatique et Liberté 22
RA 2015 CNIL p30
Lettre de cadrage : Droits des personnes et démarche de protection des données personnelles Après avis favorable des instances de l’Anesm les 27 et 28/03/2017
23/02/17 Page 10/17
2.2. Rappeler le cadre nécessaire et la protection des données personnelles et les
conditions de la circulation des informations
Les recommandations de bonnes pratiques professionnelles devront rappeler le cadre d’intervention
et les principes de la protection et de la circulation des informations. Elles fourniront des repères
utiles à l’élaboration et la tenue des supports du partage de l’information (écrits professionnels,
tenue et archivage du dossier de la personne par exemple). Des fiches pratiques permettront de
rappeler les repères juridiques concernant :
- les principes du recueil des données personnelles et de leur circulation au sein de l’ESSMS et
avec les partenaires extérieurs,
- la protection des données personnelles : précisions sur ce que constituent un fichier à
caractère personnelle, des données sensibles, etc.
- l’obligation de confidentialité et de secret professionnel.
Des fiches pratiques seront dédiées à la sécurisation des données sensibles, à savoir celles qui font
apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques,
philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé
ou à la vie sexuelle. Un lien avec le DMP sera effectué.
2.3. Associer les personnes concernées et recueillir le consentement de la personne
L’association des personnes accompagnées au processus de partage est prévue sous la forme de leur
information préalable et du recueil de leur consentement. Or bien souvent, la crainte qu’une parfaite
information ne conduise les personnes à refuser de consentir peut contribuer à dégrader l’exigence
du consentement23.
En France quand il y a exigence de consentement, la loi précise le plus souvent que ce consentement
doit être “exprès”, c'est-à-dire « lorsque la volonté de celui qui s'engage se manifeste d'une manière
apparente, par exemple par la signature d'un écrit ou par une déclaration faite en public, ou devant
témoin »24 . En 2015, le Conseil d’Etat25 a souligné dans son arrêt que les trois caractéristiques du
consentement (libre, spécifique et informé) étaient cumulatives et que, si une information relative
aux finalités du traitement était bien le préalable à toute manifestation de volonté, elle ne
permettait pas, à elle seule, de conférer au consentement un caractère spécifique, donc de s’assurer
de sa validité. Ce souci de la preuve peut d’ailleurs conduire, en pratique, à produire un écrit là où
pourtant le consentement exprès n’est pas exigé. Mais, force est de constater qu’un tel formalisme
n’est pas toujours synonyme de garantie.
Une attention particulière sera portée sur les personnes disposant de mesures de protection et sur
les enfants. Les nouvelles règles européennes prévoient des garanties spéciales pour les enfants dans
certains domaines, du fait qu’ils peuvent être moins conscients des risques et conséquences liés au
partage de leurs données personnelles. Ils bénéficient ainsi d’un droit à l’oubli plus clair. Les
23
GENTOT, M., La protection des données personnelles à la croisée des chemins, Chapitre 1. 24
Dictionnaire juridique du droit privé de Serge Braudo [https://www.dictionnaire-juridique.com] 25
Conseil d’État, 10ème et 9ème sous-sections, 11 mars 2015 (N°368624)
Lettre de cadrage : Droits des personnes et démarche de protection des données personnelles Après avis favorable des instances de l’Anesm les 27 et 28/03/2017
23/02/17 Page 11/17
professionnels ont ainsi obligation de les informer dans un langage clair et adapté, en plus du
consentement des représentants légaux, afin que majeurs, ils puissent exercer leurs droits sur leurs
données. Par ailleurs, les dispositions stipulent qu’en dessous d’un certain âge26, les enfants doivent
avoir la permission de leurs parents (autorisation parentale) pour ouvrir un compte sur les réseaux
sociaux.
3. Questions auxquelles devront répondre les recommandations
3.1. Pour une éthique de la protection des données personnelles au sein des ESSMS
- Comment impulser une culture collective dans l’établissement ou le service autour de la protection des données personnelles et du respect des droits des personnes ? Comment organiser la réflexion éthique nécessaire à l’organisation du système d’information ?
- Quelle démarche pédagogique entreprendre pour favoriser la prise de conscience de la
responsabilité de chacun dans l’effectivité du droit au respect de la vie privée ? Comment
définir ce qui est « strictement nécessaires » ? Comment conduire une analyse d’impact
relative à la vie privée ?
- Comment s’assurer et quelle organisation promouvoir (désignation d’un référent
institutionnel, etc.) pour garantir le respect des droits des personnes ?
- Quels outils développer au service de cette démarche ? Comment diffuser la Charte
Informatique et Liberté et les outils connexes ? etc.
- …/…
3.2. Le dossier de la personne accompagnée
- Quels sont les éléments à faire figurer dans le dossier de la personne accompagné qu’il soit
numérique ou papier ? Comment actualiser les informations et retirer les documents
préparatoires ? Que faire des documents de travail des professionnels (notes prises lors des
entretiens, brouillons de rapport, etc.) ?
- Comment organiser (le contenu et l’accès) au volet médical du dossier ?
- Quelles sont les pratiques de sécurisation des dossiers papier et numérique ? A qui
s’adressent-ils ? Qui peut y avoir accès ? Quelles limites ?
- Quels sont les délais de conservation des données (statut, durée, etc.) ?
- …/…
3.3. Sécurisation et protection des données personnelles
- Quelles sont les pratiques de sécurisation physique et logique des informations ?
- Quels outils développer pour informer et s’assurer du respect par les professionnels des
règles en matière de protection et de confidentialité des informations ?
- …/…
Ces règles et principes seront présentés sous forme de fiches-repères par thématique ou sujet
sensible (données de santé, archivage des dossiers, etc.).
26
Il revient aux Etats membres de déterminer la limite d’âge qui devra être située entre 13 et 16 ans.
Lettre de cadrage : Droits des personnes et démarche de protection des données personnelles Après avis favorable des instances de l’Anesm les 27 et 28/03/2017
23/02/17 Page 12/17
3.4. Consentement et association des personnes accompagnées dans le recueil et la
circulation d’informations personnelles
- Comment informer les personnes accompagnées de la nécessité de recueillir des données
personnelles et des conditions permettant d’assurer leur sécurité ? Comment formaliser le
consentement ? Quels éléments de preuve ? Quelle place à la liberté de ne pas consentir ?
au droit à la rectification et à la correction ? Quels outils proposés ?
- Comment permettre aux personnes accompagnées d’intégrer les obligations relatives au
secret professionnel et à l’obligation de discrétion ? Comment les accompagner dans la
diffusion de leurs données, y compris de leur image ? Quelle utilisation de l’image dans les
médias numériques ?
- Comment accompagner les personnes dans la connaissance du contenu de leur dossier ?
Comment faciliter le droit d’accès au dossier de la personne ? Comment rendre effectif ce
droit ?
- …/...
4. Destinataires des recommandations
Les établissements et services directement concernés par ces recommandations sont l’ensemble des
établissements et services visés au I de l’article L.312-1 du CASF, soit plus de 30 000 ESSMS.
5. Calendrier et méthode
Pour la rédaction de ces recommandations, la méthode du consensus formalisé est retenue, du fait
que les pratiques relatives à la protection des données personnelles sont multiples et peuvent
apparaître disparates. Pour rappel, ces recommandations visent l’ensemble des établissements et
services du secteur social et médico-social.
La composition du groupe de travail devra permettre d’établir un juste équilibre entre personnes
qualifiées sur le sujet et professionnels de terrain. Elle visera la diversité des métiers (directeurs
d’établissements et responsables de services, personnels médicaux, travailleurs sociaux, techniciens
des systèmes d’information) et des secteurs (personnes âgées, handicapées, inclusion sociale,
addictologie, protection de l’enfance, protection juridique des majeurs). Des représentants de la CNIL
et de la CADA participeront également aux travaux.
L’analyse documentaire devra s’articuler sur les points suivants :
- Présentation du cadre juridique français
- Analyse des documents existants en France et à l’étranger relatifs aux pratiques de partage
d’informations dans le travail social et le secteur médico-social
- Analyse des documents mettant en évidence des facteurs qui favorisent ou freinent le
partage d’informations.
Cette analyse documentaire sera complétée par des entretiens approfondis menés auprès de
professionnels ayant investi cette thématique et qui permettront d’élaborer et d’illustrer les
recommandations.
Lettre de cadrage : Droits des personnes et démarche de protection des données personnelles Après avis favorable des instances de l’Anesm les 27 et 28/03/2017
23/02/17 Page 13/17
Le projet de recommandations sera ensuite soumis à un groupe de lecture pour vérifier la cohérence
et s’assurer de sa lisibilité. Enfin, une relecture juridique permettra de s’assurer de la légalité des
propositions retenues avant présentation aux instances de l’Anesm. Le projet de recommandations
sera présenté aux instances de l’Anesm au cours du premier trimestre 2018.
Lettre de cadrage : Droits des personnes et démarche de protection des données personnelles Après avis favorable des instances de l’Anesm les 27 et 28/03/2017
23/02/17 Page 14/17
6. Eléments de bibliographie
6.1. Cadre juridique
Europe :
� Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
� Convention de sauvegarde des droits de l’homme et des libertés fondamentales, Conseil de l’Europe, 4/11/1950 France :
Lois : � Loi n° 2016-297 du 14 mars 2016 relative à la protection de l’enfant � Loi n° 2016-87 du 2 février 2016 créant de nouveaux droits en faveur des malades et des personnes
en fin de vie � Loi n° 2016-41du 26 janvier 2016 de modernisation de notre système de santé � Loi n° 2015-1776 du 28 décembre 2015 relative à l'adaptation de la société au vieillissement � Loi n° 2014-873 du 4 août 2014 pour l'égalité réelle entre les femmes et les hommes � Loi n° 2007-293 du 5 mars 2007 réformant la protection de l’enfance � Loi n° 2007-297 du 5 mars 2007 relative à la prévention de la délinquance � Loi n°2002-2 du 2 janvier 2002 rénovant l’action sociale et médico-sociale � Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
Décrets :
� Décret n° 2016-1349 du 10 octobre 2016 relatif au consentement préalable au partage d'informations entre des professionnels ne faisant pas partie de la même équipe de soins
� Décret n° 2016-1395 du 18 octobre 2016 fixant les conditions dans lesquelles est donnée l'information sur le droit de désigner la personne de confiance mentionnée à l'article L. 311-5-1 du code de l'action sociale et des familles
� Décret n° 2016-994 du 20 juillet 2016 relatif aux conditions d'échange et de partage d'informations entre professionnels de santé et autres professionnels des champs social et médico-social et à l'accès aux informations de santé à caractère personnel
� Décret n° 2016-996 du 20 juillet 2016 relatif à la liste des structures de coopération, d'exercice partagé ou de coordination sanitaire ou médico-sociale dans lesquelles peuvent exercer les membres d'une équipe de soins
� Décret n°2006-6 du 4 janvier 2006 relatif à l'hébergement de données de santé à caractère personnel et modifiant le code de la santé publique (dispositions réglementaires)
� Décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
� Décret n° 2004-1274 du 26 novembre 2004 relatif au contrat de séjour ou document individuel de prise en charge prévu par l'article L. 311-4 du code de l'action sociale et des familles Arrêtés :
� Arrêté du 8 septembre 2003 relatif à la charte des droits et libertés de la personne accueillie, mentionnée à l'article L. 3114 du code de l'action sociale et des familles
Lettre de cadrage : Droits des personnes et démarche de protection des données personnelles Après avis favorable des instances de l’Anesm les 27 et 28/03/2017
23/02/17 Page 15/17
Délibérations CNIL : � Délibération n° 2016-094 du 14 avril 2016 portant autorisation unique de traitements de données à
caractère personnel mis en œuvre dans le cadre de l'accueil, l'hébergement, l'accompagnement et le suivi des personnes handicapées et des personnes âgées (AU-047)
� Délibération n° 2016-095 du 14 avril 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre dans le cadre de l'accueil, l'orientation, l'accompagnement et le suivi social des personnes (AU-048)
� Délibération n° 2016-096 du 14 avril 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre dans le cadre de la prévention et de la protection de l'enfance (AU-49)
� Délibération n° 2016-175 du 9 juin 2016 portant autorisation unique relative aux traitements de données à caractère personnel mis en œuvre par les mandataires judiciaires à la protection des majeurs, ayant pour finalités la gestion et le suivi de la représentation juridique, de l'assistance et du contrôle des personnes placées par l'autorité judiciaire sous sauvegarde de justice, curatelle, tutelle ou mesure d'accompagnement judiciaire (AU-050)
6.2. Articles - Ouvrages
� BADEL, M. La protection de la vie privée dans les lois du 2 janvier et du 4 mars 2002. Journal du droit
des jeunes, 2004, n° 235, pp. 21-30. � BEM, A. Le droit au respect de la vie privée : définition, conditions et sanctions. Legavox.fr,
04/01/2015. � BLOCH, M-A., HENAUT, L., Coordination et parcours. La dynamique du monde sanitaire, social et
médico-social. Dunod. 2014. � BOULMIER, D. Les lanceurs d'alerte dans les établissements et services sociaux et médicaux-sociaux :
À propos de l'article L. 313-24 du CASF. Revue de droit sanitaire et social, Dalloz, 2015, Dossier : Le partage du secret professionnel dans le secteur social et médico-social, pp.448-464.
� CADOT, O., Écrire pour la personne concernée, VST - Vie sociale et traitements, 2014/4, n° 124, p. 83-86.
� CAPODANO, J., Secret professionnel et partage d’informations. Les nouvelles dispositions de la loi Santé, VST - Vie sociale et traitements, 2016/4, N° 132, p. 84-88
� CNIL. L’utilisation de l’image des personnes. 28/03/2005. (Document électronique) � CNIL. Les conseils de la CNIL pour mieux maîtriser la publication de photos. 13/10/2014. (Document
électronique) � CNIL. Publication des photos sur Internet : comment partager sans se sur-exposer ? 12/12/2012.
(Document électronique) � GENOT-POK, I., ABENZOARD, N. Fiche de synthèse – Des précisions sur l’échange et le partage
d’informations. Jurisante.fr, 27/07/2016. � LHUILLIER, J.M., Le droit des usagers dans les établissements et services sociaux et médico-sociaux,
Rennes : Presses de l’EHESP, 2015 (5ème édition). � MACABIES, J., Écrits professionnels et informatique : pour le meilleur ou pour le pire ?, Les Cahiers
Dynamiques, 2014/3, n° 61, p. 108-114. � RABEUX, C., Le Haut Conseil du travail social sollicite les aides à domicile sur le partage
d’informations. Hospimedia. 21/02/2017. � ROSENCZVEIG, J.P., VERDIER, P., DAADOUCH, C., Le secret professionnel en travail social et médico-
social, Dunod, 2016 (6ème édition). � TILLI, N. La protection des données à caractère personnel. Documentaliste-Sciences de l'Information,
2013, vol. 50, pp. 62-69.
Lettre de cadrage : Droits des personnes et démarche de protection des données personnelles Après avis favorable des instances de l’Anesm les 27 et 28/03/2017
23/02/17 Page 16/17
6.3. Rapports – Etudes
� Administrateur général des données. Les données au service de la transformation de l’action
publique. Rapport au Premier ministre sur la gouvernance de la donnée 2015. Paris : La Documentation française, 2016.
� Conseil supérieur du travail social, Le partage d'informations dans l'action sociale et le travail social, Rennes : Presses de l’EHESP, 2013.
� Cour de Cassation. Droits de la personnalité et droit du savoir public. In : Rapport annuel 2010. Paris : La Documentation française, 2011.
� HAS. Échanges et partage de données par voie électronique. Analyse bibliographique réalisée entre octobre 2012 et février 2013. Saint-Denis : HAS, 2013.
� FOUILLERON, A. Les échanges de données réalisés à titre onéreux entre les administrations. Rapport au Premier ministre. Paris : Premier ministre, 2016.
� Conseil National de l’Ordre des médecins. Article 4 - Secret professionnel. Février 2016 � LUCAS, J., Ordre national des médecins. Dématérialisation des documents médicaux Créer la
confiance pour favoriser l’informatisation. Rapport adopté par le Conseil national de l’Ordre des médecins le 18 juin 2010. 2010. (Document électronique)
� PICARD, R., PILLET, D. Caractérisation du secteur médico-social pour le développement d'offres TIC. Paris : CGIET, 2010.
6.4. Mémoires – Thèses
� BOUBERT, E. L’impact organisationnel de l’informatisation du dossier de la personne accompagnée
dans le secteur médico-social : l’exemple de la mise en place du Dossier Unique du Val-Mandé (DU-VM). Mémoire de l’Ecole des Hautes Etudes en Santé Publique, 2010.
� PAPA, A.-I. Le partage des informations individuelles de l’usager dans les établissements et services sociaux et médico-sociaux est-il modélisable au regard de la loi «informatique et libertés»? Master spécialisé : management et protection des données à caractère personnel : Paris : Institut supérieur d’électronique, 2012.
� VAN HELMERIJCK, P. Le dossier de l’usager : un système d’information au service du processus d’accompagnement. Exemple de la mise en place d’une politique du dossier de l’usager dans un SAVS de l’ADAPEI du Rhône. Master : Droit, Economie, Gestion : Lyon : IFROS, Université Jean Moulin 3, 2008.
6.5. Guides – Recommandations
� Agence des droits fondamentaux de l’Union européenne. Manuel de droit européen en matière de
protection des données. Luxembourg : Agence des droits fondamentaux de l’Union européenne, 2014.
� Agence française de la santé numérique. Modèles des objets de santé. Référentiel. Version finale. Paris : Agence française de la santé numérique, 2016.
� ANAP. Systèmes d’information dans le secteur médico-social. Guide d’utilisation de l’outil de diagnostic de la maturité des systèmes d’information. Paris : Anap, 2016.
� ANAP. Initier un système d’information PAERPA sur son territoire. Prérequis. Paris : Anap, 2015. � ANAP. Systèmes d’information dans le secteur médico-social. Retours d’expérience et grands
enseignements. Paris : Anap, 2013. � ANAP. Piloter les projets SI par la valeur. Répertoire d'indicateurs. Paris : Anap, 2012.
Lettre de cadrage : Droits des personnes et démarche de protection des données personnelles Après avis favorable des instances de l’Anesm les 27 et 28/03/2017
23/02/17 Page 17/17
� Anesm. Évaluation interne : repères pour les établissements et services relevant du secteur de l’inclusion sociale. Saint-Denis : Anesm, 2016.
� Anesm. Évaluation interne : repères pour les établissements et services intervenant dans le champ de la protection de l’enfance et/ou mettant en œuvre des mesures éducatives. Saint-Denis : Anesm, 2016.
� Anesm. L’accompagnement à la santé de la personne handicapée. Saint-Denis : Anesm, 2013. � Anesm. Le partage d’information à caractère secret en protection de l’enfance. Saint-Denis : Anesm,
2011. � Anesm. La participation des usagers dans les établissements médico-sociaux relevant de
l’addictologie. Saint-Denis : Anesm, 2010. � Conseil de l’Europe. Lignes directrices sur la protection des personnes à l’égard du traitement des
données à caractère personnel à l’ère des mégadonnées. Strasbourg : Conseil de l’Europe, 2017. � CNIL. Guide pour les employeurs et les salariés. Edition 2010 (Document électronique) � CNIL. Le recrutement et la gestion du personnel. 19 octobre 2015 � DGAS. Le dossier de la personne accueillie ou accompagnée. Recommandations aux professionnels
pour améliorer la qualité. Paris : DGAS, 2007. � Direction de l'information légale et administrative. Droit à l’image et protection de la vie privée.
Service-public.fr, 21/07/2016. � KILKELLY, U. Le droit au respect de la vie privée et familiale. Un guide sur la mise en œuvre de l’article
8 de la Convention européenne des Droits de l’Homme. Strasbourg : Conseil de l’Europe, 2003. Coll. Précis sur les droits de l’homme, nº 1.
� ROAGNA, I. La protection du droit au respect de la vie privée et familiale par la Convention européenne des droits de l’homme. Strasbourg : Conseil de l’Europe, 2012. Série des précis droits de l’homme du Conseil de l’Europe.
6.6. Autres
� CCNE. Le « dossier médical personnel » et l’informatisation des données de santé. Avis n°104. Paris : CCNE, 2008.
� Communication devant le Parlement européen sur les obligations non contractuelles résultant d’une attente à la vie privée et aux droits de la personnalité. Audience du 28 janvier 2010. (Document électronique)