Recommandations de bonnes pratiques professionnelles€¦ · Lettre de cadrage : Droits des personnes et démarche de protection des données personnelles Après avis favorable des

Lettre de cadrage : Droits des personnes et démarche de protection des données personnellesAprès avis favorable des instances de l’Anesm les 27 et 28/03/2017

23/02/17

Recommandations de bonnes pratiques professionnelles

démarche de protection des données personnelles

Référents COS :

- Mme Henriette STEINBERG

Français

- Mme Marie ABOUSSA, vice

Référents Conseil scientifique :

- Brigitte BOUQUET

- Roland RAMZI GEADAH

Droits des personnes et démarche de protection des données personnelles Après avis favorable des instances de l’Anesm les 27 et 28/03/2017


Lettre de cadrage

Droits des personnes

et


Mme Henriette STEINBERG, vice-présidente section inclusion sociale, Secours Populaire

, vice-présidente section personnes handicapées, NEXEM

Page 1/17



sociale, Secours Populaire

, NEXEM

Lettre de cadrage : Droits des personnes et démarche de protection des données personnelles Après avis favorable des instances de l’Anesm les 27 et 28/03/2017

23/02/17 Page 2/17

La protection des données personnelles est un sujet sociétal et universel auquel n’échappe pas le

secteur social et médico-social. L’accompagnement de qualité garanti au sein des ESSMS nécessite

d’être personnalisé et impose aux professionnels le recueil et la circulation de données à caractère

personnel. La prise en compte de ces informations dans l’accompagnement est en effet une des

conditions pour ajuster les pratiques aux besoins et à la situation de chaque individu.

Terminologie de la protection des données1

- Les données sont des données à caractère personnel dès lors qu’elles portent sur une personne identifiée ou identifiable, la personne concernée.

- Une personne est identifiable si des informations complémentaires peuvent être obtenues sans effort déraisonné, permettant l’identification de la personne concernée.

- L’authentification s’entend du fait de démontrer qu’une certaine personne possède une certaine identité et/ou est autorisée à exercer certaines activités.

- Il existe des catégories particulières de données, appelées « données sensibles », énumérée dans la Convention 1082 [article 53] et dans la directive relative à la protection des données, qui requièrent une protection accrue, et par conséquent, sont soumises à un régime juridique spécial.

- Les données sont anonymisées si elles ne contiennent plus d’identifiants ; elles sont pseudonymisées si les identifiants sont cryptées.

- Contrairement aux données anonymisées, les données pseudonymisées sont des données à caractère personnel.

1 Agence des droits fondamentaux de l’Union européenne. Manuel de droit européen en matière de protection

des données. Luxembourg : Agence des droits fondamentaux de l’Union européenne, 2014. 2 Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère

personnel, STE n°108, Strasbourg, 28/01/1981, entrée en vigueur le 01/10/1985. « La Convention est le premier instrument international contraignant qui a pour objet de protéger les personnes contre l'usage abusif du traitement automatisé des données à caractère personnel, et qui réglemente les flux transfrontaliers des données. Outre des garanties prévues en ce qui concerne le traitement automatisé des données à caractère personnel, elle proscrit le traitement des données "sensibles" relatives à l'origine raciale, aux opinions politiques, à la santé, à la religion, à la vie sexuelle, aux condamnations pénales, etc. , en l'absence de garanties offertes par le droit interne. La Convention garantit également le droit des personnes concernées de connaître les informations stockées à leur sujet et d'exiger le cas échéant des rectifications. Seule restriction à ce droit : lorsque les intérêts majeurs de l'Etat (sécurité publique, défense, etc.) sont en jeu. La Convention impose également des restrictions aux flux transfrontaliers de données dans les Etats où n'existe aucune protection équivalente. » Source : http://www.coe.int/fr/web/conventions/full-list/-/conventions/treaty/108 3 Les données à caractère personnel faisant l'objet d'un traitement automatisé sont :

a. obtenues et traitées loyalement et licitement; b. enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière

incompatible avec ces finalités; c. adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont

enregistrées; d. exactes et si nécessaire mises à jour; e. conservées sous une forme permettant l'identification des personnes concernées pendant une durée

n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées.


23/02/17 Page 3/17

Données sensibles et données à risque

Les données sensibles sont celles qui font apparaître, directement ou indirectement, les origines

raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance

syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci4.

Par principe, la collecte et le traitement de ces données sont interdits. Cependant, dans la mesure où

la finalité du traitement l’exige, ne sont pas soumis à cette interdiction :

. les traitements pour lesquels la personne concernée a donné son consentement exprès ;

. les traitements justifiés par un intérêt public après autorisation de la CNIL ou décret en Conseil

d’Etat.

La collecte et le traitement de ces données doivent dans ces hypothèses, être justifiés au cas par cas

au regard des objectifs recherchés.

Les données présentant des risques particuliers d’atteinte aux droits et libertés

. données génétiques,

. données relatives aux infractions pénales, aux condamnation etc.,

. données comportant des appréciations sur les difficultés sociales des personnes,

. données biométriques,

. données comprenant le numéro NIR (numéro d’inscription au répertoire) c’est-à-dire le numéro de

sécurité sociale

Au regard du respect des droits des personnes, la personnalisation renvoie les professionnels à deux

principes contradictoires : le respect de la vie privée et le droit à la protection des données à

caractère personnel d’une part, la nécessité d’une coordination et de coopération entre différents

intervenants d’autre part.

Sur ce thème, l’Anesm a publié en 2010, des recommandations de bonnes pratiques professionnelles

destinées spécifiquement aux professionnels des établissements et services intervenant dans le

champ de la protection de l’enfance et/ou mettant en œuvre des mesures éducatives5. Or, les

évolutions du cadre légal et l’augmentation des pratiques de coopération et de coordination

nécessaires à la continuité d’un accompagnement personnalisé ont rendu inéluctables des

recommandations destinées à l’ensemble des structures sociales et médico-sociales.

Ainsi, il est inscrit au programme de travail 2017 au titre du programme 4 : Le soutien aux

professionnels, l’élaboration de recommandations de bonnes pratiques professionnelles concernant

la protection des données personnelles et la confidentialité des informations.

4 Article 6 de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à

caractère personnel, dite Convention 108. 5 Anesm. Le partage d’informations à caractère secret en protection de l’enfance. Saint –Denis. 2010.


23/02/17 Page 4/17

1. Contexte

1.1. Le droit à la protection des données à caractère personnel6 : un droit fondamental

autonome

1.1.1. Un nouveau règlement européen

Depuis l’entrée en vigueur du Traité de Lisbonne en décembre 2009, la Charte des droits

fondamentaux de l’Union européenne a acquis une force juridique obligatoire et le droit à la

protection des donnes à caractère personnel a été érigé au rang de droit fondamental autonome.

Le droit à la protection des données à caractère personnel fait partie des droits protégés par l’article

8 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales (CEDH)7, qui

garantit le droit au respect de la vie privée et familiale, du domicile et de la correspondance, et

énonce les conditions dans lesquelles des restrictions à ce droit sont admises.

Du fait de la croissance de la collecte et du partage de données, la réglementation générale

concernant leur protection a nécessité des adaptations. Le 27 avril 2016, un nouveau règlement

relatif à la protection des personnes physiques à l'égard du traitement des données à caractère

personnel et à la libre circulation de ces données8 a abrogé la Directive 95/46/CE (règlement général

sur la protection des données). Ce règlement européen prendra effet en mai 2018.

La nouvelle législation européenne vise à créer un ensemble de règles uniformes à travers l'UE

adaptées à l'ère numérique, à améliorer la sécurité juridique et à renforcer la confiance des citoyens

et entreprises dans le marché unique du numérique. Un consentement clair et positif au traitement

des données, le droit à l'oubli et de lourdes amendes pour les entreprises enfreignant les règles sont

quelques-unes des nouvelles fonctionnalités9.

Les nouvelles règles viennent renforcer le droit des citoyens, et par conséquent des personnes

accompagnées dans les ESSMS. Ils pourront dorénavant davantage contrôler leurs données

personnelles (droit à l’oubli, contrôle des parties détenant les données privées, droit de transmettre

les données personnelles d’un individu à un autre fournisseur de services, droit d’être informé dans

un langage simple et clair, droit d’être informé en cas de piratage des données, protection spéciale

pour les enfants, le respect de la vie privée comme norme).

Le délégué à la protection des données est au cœur du nouveau règlement européen. Il est chargé de

mettre en œuvre la conformité au règlement européen sur la protection des données au sein de

6 La protection des données à caractère personnel est une simplification de langage, qui sera utilisée en lieu et

place de la protection des personnes à l’égard du traitement des données qui les concernent. 7 Convention de sauvegarde des droits de l’homme et des libertés fondamentales, Conseil de l’Europe,

4/11/1950 8 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des

personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) 9 http://www.europarl.europa.eu/news/fr/news-room/20160413BKG22980/nouvelle-l%C3%A9gislation-

europ%C3%A9enne-sur-la-protection-des-donn%C3%A9es


23/02/17 Page 5/17

l’organisme qui l’a désigné. Sa désignation est obligatoire dans certains cas10. En décembre 2016, les

commissions nationales Informatique et Liberté des Etats membre de l’Union Européenne11 ont

élaboré des recommandations de bonnes pratiques professionnelles en direction des délégués12. La

CNIL est chargée d’accompagner les professionnels dans ces obligations.

1.1.2. Les dispositions particulières au regard de la Loi « Informatique et

Liberté »

La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (dite Loi

« Informatique et Liberté ») encadre strictement l’usage des données à caractère personnel, en

obligeant notamment les organisations à déclarer à la CNIL tous traitements effectués sur ce type de

données ou, si elles ont nommé un Correspondant Informatique et Libertés (CIL), en tenant un

registre de ces traitements.

Dans ses articles 6 et 7, la loi « Informatique et Liberté » érige sept grands principes à respecter lors

de la collecte de données à caractère personnel13 :

- finalité : Les données à caractère personnel ne peuvent être recueillies et traitées que pour

un usage déterminé et légitime correspondant aux missions de l’ESSMS, responsable du

traitement.

- proportionnalité : Seules doivent être enregistrées les informations pertinentes et

nécessaires pour leur finalité.

- pertinence des données : Les données personnelles doivent être adéquates, pertinentes et

non excessives au regard des objectifs poursuivis.

- durée limitée de conservation : C’est ce qu’on appelle le droit à l’oubli. Les informations ne

peuvent être conservées de façon indéfinie dans les fichiers informatiques. Une durée de

conservation doit être établie en fonction de la finalité de chaque fichier. Au-delà, les

données peuvent être archivées, sur un support distinct.

10

Les autorités ou les organismes publics, les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions. En dehors des cas de désignation obligatoire, la désignation d’un délégué à la protection des données est encouragée. Elle permet en effet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles. Les organismes peuvent désigner un délégué interne ou externe à leur structure. Le délégué à la protection des données peut par ailleurs être mutualisé c’est-à-dire désigné pour plusieurs organismes sous certaines conditions. Source : https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees 11

L’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci a institué un groupe de travail rassemblant les représentants de chaque autorité indépendante de protection des données nationales. 12 Guidelines on Data Protection Officers (DPOs)

http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf 13

« Les 7 principes clés de la protection des données personnelles ».

http://www.cil.cnrs.fr/CIL/spip.php?article1390. page publiée le 19 octobre 2011, mise à jour le 18 janvier

2012 et consultée le 31 mars 2017


23/02/17 Page 6/17

- sécurité et confidentialité (articles 226-17 et 226-22 du Code pénal) : Le responsable du

traitement est astreint à une obligation de sécurité. Il doit faire prendre les mesures

nécessaires pour garantir la confidentialité des données et éviter leur divulgation.

- transparence14 : La loi garantit aux personnes l’information nécessaire relative aux

traitements auxquels sont soumises des données les concernant et les assure de la possibilité

d’un contrôle personnel.

- respect du droit des personnes : Lors de l’informatisation ou lors du recueil des données, les

personnes concernées doivent être informés de la finalité du traitement, du caractère

obligatoire ou facultatif du recueil, des destinataires des données et des modalités d’exercice

des droits qui leur sont ouverts au titre de la loi « Informatique et Liberté » : droit d’accès et

de rectification mais aussi, droit de s’opposer, sous certaines conditions, à l’utilisation de

leurs données.

Le respect de ces principes est assuré par la mise en place de procédures spécifiques et l’utilisation

d’outils correctement paramétrés. Les établissements et services sociaux et médico-sociaux sont

chargés de la gestion et du traitement de données sensibles (données relatives à la santé, par

exemple) et doivent prévoir des dispositions particulières.

Les systèmes d’information dans lesquelles figurent des données personnelles doivent ainsi

bénéficier de la protection prévue par la loi « Informatique et Liberté » et notamment en termes de

sécurité des fichiers, de confidentialité des données, de durée de conservation des données,

d’information des personnes concernées, d’autorisation et/ou de déclaration à la CNIL, de finalité

des traitements. Conformément à l’article 22 de loi de 1978, la mise en place d’un système

d’information recueillant des données à caractère personnel doit être précédée de la déclaration

adéquate auprès de la CNIL15.

En mai 2016, la CNIL a procédé à une simplification de la déclaration pour les ESSMS via la mise en

place d’autorisations uniques. « Les organismes, services et établissements sociaux peuvent

désormais procéder en ligne sur le site de la CNIL à un engagement de conformité à l’une ou

plusieurs autorisations uniques correspondant au(x) traitement(s) de fichiers dont ils ont besoin dans

le cadre de leur activité ».16 Ces autorisations uniques constituent également un cadre de référence

14

L’utilisation du terme de « transparence » doit être considéré au regard du principe d’agir dans la transparence et d’informer la personne. Le responsable du traitement de données personnelles doit avertir ces personnes dès la collecte des données et en cas de transmission de ces données à des tiers. 15

Tout manquement à cette obligation expose l’organisme gestionnaire à 5 ans d’emprisonnement et à 300 000 euros d’amende (article 226-16 du Code pénal). 16

Délibération n° 2016-094 du 14 avril 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre dans le cadre de l'accueil, l'hébergement, l'accompagnement et le suivi des personnes handicapées et des personnes âgées (AU-047) Délibération n° 2016-095 du 14 avril 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre dans le cadre de l'accueil, l'orientation, l'accompagnement et le suivi social des personnes (AU-048) Délibération n° 2016-096 du 14 avril 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre dans le cadre de la prévention et de la protection de l'enfance (AU-49) Délibération n° 2016-175 du 9 juin 2016 portant autorisation unique relative aux traitements de données à caractère personnel mis en œuvre par les mandataires judiciaires à la protection des majeurs, ayant pour finalités la gestion et le suivi de la représentation juridique, de l'assistance et du contrôle des personnes


23/02/17 Page 7/17

pour les acteurs des secteurs social et médico-social. Ils permettent de connaitre les points

importants à respecter pour garantir une sécurité suffisante des données des personnes

accompagnées. Ces outils devraient être suivis d’un « guide sous forme de fiches pratiques pour

expliquer de façon pédagogique les règles relatives à la protection des données personnelles »17.

1.2. La circulation des informations dans le secteur social et médico-social

La personnalisation de l’accompagnement, la recherche de solutions pour éviter les ruptures de

parcours ou les redondances en matière d’évaluation des besoins, la diversification des modes

d’accompagnement, etc. multiplient le nombre d’intervenants auprès de la personne accompagnée

en des lieux et des temps différenciés ; ce qui a pour effet une augmentation des espaces de

coordination et d’échanges d’information, au sein de l’ESSMS ou avec des partenaires extérieurs18.

Le positionnement des professionnels dans ces espaces est rendu particulièrement difficile par les

différentes règles relatives à l’obligation de confidentialité (L. 311-3, 4° du CASF) et de secret

professionnel (226-13 du code pénal). Le secret professionnel s’applique à toute personne qui en est

dépositaire soit par état ou par profession, soit en raison d’une fonction ou d’une mission

temporaire. Or cette définition fait débat selon l’interprétation plus ou moins stricte qui en est faite.

1.2.1. Un nouveau cadre juridique qui facilite la circulation des informations

Deux lois sont venues récemment faciliter la circulation des informations dans le secteur social et

médico-social permettant de garantir un meilleur accompagnement global de la personne:

- la loi n° 2015-1776 du 28 décembre 2015 relative à l'adaptation de la société au

vieillissement, dite loi ASV ;

- la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé.

La loi n° 2015-1776 du 28 décembre 2015 relative à l'adaptation de la société au vieillissement, dite

loi ASV légalise le partage d’informations au sein des MAIA (Méthode pour l’autonomie et

l’intégration des malades d’Alzheimer).

Cette loi réaffirme, par ailleurs, les exigences en matière de renforcement de la lutte contre la

maltraitance dans les ESSMS. L’article L. 331-8-1 du CASF a été modifié et fournit la première

définition légale des situations de maltraitance des usagers des ESSMS19. Outre les violences

placées par l'autorité judiciaire sous sauvegarde de justice, curatelle, tutelle ou mesure d'accompagnement judiciaire (AU-050) 17

Des formalités simplifiées pour la sphère médico-sociale. 12 mai 2016. https://www.cnil.fr/fr/des-formalites-simplifiees-pour-la-sphere-sociale-et-medico-sociale 18

BLOCH, M-A., HENAUT, L., Coordination et parcours. La dynamique du monde sanitaire, social et médico-social. Dunod. 2014. 19

« Les établissements et services et les lieux de vie et d'accueil informent sans délai, dans des conditions fixées par décret en Conseil d'Etat, les autorités administratives compétentes pour leur délivrer l'autorisation prévue à l'article L. 313-1 ou pour recevoir leur déclaration en application des articles L. 321-1 et L. 322-1 de tout dysfonctionnement grave dans leur gestion ou leur organisation susceptible d'affecter la prise en charge des usagers, leur accompagnement ou le respect de leurs droits et de tout évènement ayant pour effet de menacer ou de compromettre la santé, la sécurité ou le bien-être physique ou moral des personnes prises en charge ou accompagnées.» article L.331-8-1 du CASF créé par l’article 30 de la loi n°2015-1776 du 28 décembre


23/02/17 Page 8/17

individuelles qui imposent le signalement dans les conditions du droit commun, les situations de

maltraitance d’origine plus diffuses liées à l’organisation d’un service sont prises en compte. La loi

n°2016-297 du 14 mars 2016 relative à la protection de l’enfant rend également obligatoire cette

disposition pour les structures intervenant dans le champ de la protection de l’enfance et relevant de

la compétence du Conseil départemental.

Le Décret n° 2016-1813 du 21 décembre 2016 relatif à l’obligation de signalement des structures

sociales et médico-sociales pris en application de l’article 30 de la loi ASV comporte un volet sur

l’information transmise et précise que celle-ci « ne contient aucune donnée nominative et garantit

par son contenu l’anonymat des personnes accueilles et du personnel ». L’article L. 313-24 du CASF

(issu de l’article 48 de la loi 2002-2) concerne spécifiquement la protection des salariés ou agents qui

relatent ou dénoncent des faits de mauvais traitements ou de privation dans les ESSMS20.

La loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé marque

également une évolution importante concernant le partage de l’information entre professionnels.

Ainsi l’article L.1110-4 du Code de la santé publique réalise un réel décloisonnement de l’approche

de la question du secret dans les secteurs sanitaire, social et médico-social. Il élargit la liste des

professionnels soumis au secret par fonction, ainsi :

« Toute personne prise en charge par un professionnel de santé, un établissement ou un des

services de santé définis au livre III de la sixième partie du présent code, un professionnel du

secteur médico-social ou social ou un établissement ou service social et médico-social

mentionné au I de l'article L. 312-1 du code de l'action sociale et des familles a droit au

respect de sa vie privée et du secret des informations le concernant. Excepté dans les cas de

dérogation expressément prévus par la loi, ce secret couvre l'ensemble des informations

concernant la personne venues à la connaissance du professionnel, de tout membre du

personnel de ces établissements, services ou organismes et de toute autre personne en

relation, de par ses activités, avec ces établissements ou organismes. Il s'impose à tous les

professionnels intervenant dans le système de santé. »

La loi du 26 janvier 2016 vient également préciser la notion d'équipe de soins, par l’article L 1110-12

du Code de la santé publique (CSP). Pour autant le partage n'est pas circonscrit à l'exercice en

équipe. Le Décret n°2016-994 du 20 juillet 2016 précise les conditions d'échange et de partage

d'informations entre professionnels de santé et autres professionnels des champs social et médico-

social et l'accès aux informations de santé à caractère personnel. Le Décret n°2016-996 du 20 juillet

2016 fixe lui la liste des structures de coopération, d'exercice partagé ou de coordination sanitaire ou

médico-sociale dans lesquelles peuvent exercer les membres d'une équipe de soins.

2015 et complété par l’arrêté du 28 décembre 2016 relatif à l'obligation de signalement des structures sociales et médico-sociales précisant la nature des dysfonctionnements graves et des évènements dont les autorités administratives doivent être informées. 20

BOULMIER, D. Les lanceurs d'alerte dans les établissements et services sociaux et médicaux-sociaux : À propos de l'article L. 313-24 du CASF. Revue de droit sanitaire et social, Dalloz, 2015, Dossier : Le partage du secret professionnel dans le secteur social et médico-social, pp.448-464.


23/02/17 Page 9/17

2. Enjeux et objectifs des recommandations

Le cadre juridique définissant les conditions d’utilisation des données personnelles, en particulier des

données sensibles, et encadrant leur protection est très riche. Il traduit le caractère sensible de ces

données au regard des droits de la personne et de la protection et de la confidentialité de ces

données. La protection de ces données passe par la sécurité « pour empêcher qu’elles soient

déformées, endommagées, ou que des tiers non autorisés y aient accès. »21

Plusieurs éléments interfèrent dans la mise en œuvre et nécessitent pour les professionnels :

- de connaître les règles et sanctions relatives à la protection et à la circulation d’informations

à caractère personnel ainsi que celles liées au secret ;

- d’informer, d’associer et de recueillir le consentement des personnes concernées ;

- de mettre en place une organisation des niveaux d’accès et d’échange des données à

caractère personnel, qu’ils s’agissent de transmissions écrites ou orales.

2.1. Inscrire la protection des données personnelles et la confidentialité des

informations au service de la qualité de l’accompagnement

La CNIL accompagne les professionnels des ESSMS dans leurs obligations réglementaires par la

création d’outils et de guides dédiés. L’ASIP (Agence des systèmes d’information partagés de santé)

est chargée de définir les conditions et les modalités de déploiement des systèmes d’information

partagés dans le domaine de la santé et du secteur médico-social. Elles diffusent à ce titre des

référentiels dans le respect de la protection des données et pour assurer la sécurité des

informations. Les recommandations de l’Anesm doivent être complémentaires et impulser le soutien

d’une démarche éthique respectueuse des droits fondamentaux de la personne.

La formalisation de procédures ou l’informatisation des dossiers des personnes accompagnées

peuvent constituer pour les établissements et services une réelle opportunité pour réaliser un

diagnostic sur les pratiques professionnelles et les données recueillies et soutenir une démarche

d’amélioration continue des pratiques. D’autant que les questions soulevées sont d’ordre éthique

puisque la conformité relative à la sécurité repose sur une réflexion à partir des risques sur la vie

privée et non pas sur la seule comparaison avec de bonnes pratiques ou sur l’application seule de la

doctrine22.

Les recommandations de bonnes pratiques professionnelles devront donner des repères et des

supports utiles pour guider les professionnels dans cette mise en œuvre. Elles viseront à promouvoir

une culture de la protection et de la confidentialité des informations comme un levier d’amélioration

continue de la qualité de l’accompagnement.

21

Article 34 de la Loi Informatique et Liberté 22

RA 2015 CNIL p30


23/02/17 Page 10/17

2.2. Rappeler le cadre nécessaire et la protection des données personnelles et les

conditions de la circulation des informations

Les recommandations de bonnes pratiques professionnelles devront rappeler le cadre d’intervention

et les principes de la protection et de la circulation des informations. Elles fourniront des repères

utiles à l’élaboration et la tenue des supports du partage de l’information (écrits professionnels,

tenue et archivage du dossier de la personne par exemple). Des fiches pratiques permettront de

rappeler les repères juridiques concernant :

- les principes du recueil des données personnelles et de leur circulation au sein de l’ESSMS et

avec les partenaires extérieurs,

- la protection des données personnelles : précisions sur ce que constituent un fichier à

caractère personnelle, des données sensibles, etc.

- l’obligation de confidentialité et de secret professionnel.

Des fiches pratiques seront dédiées à la sécurisation des données sensibles, à savoir celles qui font

apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques,

philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé

ou à la vie sexuelle. Un lien avec le DMP sera effectué.

2.3. Associer les personnes concernées et recueillir le consentement de la personne

L’association des personnes accompagnées au processus de partage est prévue sous la forme de leur

information préalable et du recueil de leur consentement. Or bien souvent, la crainte qu’une parfaite

information ne conduise les personnes à refuser de consentir peut contribuer à dégrader l’exigence

du consentement23.

En France quand il y a exigence de consentement, la loi précise le plus souvent que ce consentement

doit être “exprès”, c'est-à-dire « lorsque la volonté de celui qui s'engage se manifeste d'une manière

apparente, par exemple par la signature d'un écrit ou par une déclaration faite en public, ou devant

témoin »24 . En 2015, le Conseil d’Etat25 a souligné dans son arrêt que les trois caractéristiques du

consentement (libre, spécifique et informé) étaient cumulatives et que, si une information relative

aux finalités du traitement était bien le préalable à toute manifestation de volonté, elle ne

permettait pas, à elle seule, de conférer au consentement un caractère spécifique, donc de s’assurer

de sa validité. Ce souci de la preuve peut d’ailleurs conduire, en pratique, à produire un écrit là où

pourtant le consentement exprès n’est pas exigé. Mais, force est de constater qu’un tel formalisme

n’est pas toujours synonyme de garantie.

Une attention particulière sera portée sur les personnes disposant de mesures de protection et sur

les enfants. Les nouvelles règles européennes prévoient des garanties spéciales pour les enfants dans

certains domaines, du fait qu’ils peuvent être moins conscients des risques et conséquences liés au

partage de leurs données personnelles. Ils bénéficient ainsi d’un droit à l’oubli plus clair. Les

23

GENTOT, M., La protection des données personnelles à la croisée des chemins, Chapitre 1. 24

Dictionnaire juridique du droit privé de Serge Braudo [https://www.dictionnaire-juridique.com] 25

Conseil d’État, 10ème et 9ème sous-sections, 11 mars 2015 (N°368624)


23/02/17 Page 11/17

professionnels ont ainsi obligation de les informer dans un langage clair et adapté, en plus du

consentement des représentants légaux, afin que majeurs, ils puissent exercer leurs droits sur leurs

données. Par ailleurs, les dispositions stipulent qu’en dessous d’un certain âge26, les enfants doivent

avoir la permission de leurs parents (autorisation parentale) pour ouvrir un compte sur les réseaux

sociaux.

3. Questions auxquelles devront répondre les recommandations

3.1. Pour une éthique de la protection des données personnelles au sein des ESSMS

- Comment impulser une culture collective dans l’établissement ou le service autour de la protection des données personnelles et du respect des droits des personnes ? Comment organiser la réflexion éthique nécessaire à l’organisation du système d’information ?

- Quelle démarche pédagogique entreprendre pour favoriser la prise de conscience de la

responsabilité de chacun dans l’effectivité du droit au respect de la vie privée ? Comment

définir ce qui est « strictement nécessaires » ? Comment conduire une analyse d’impact

relative à la vie privée ?

- Comment s’assurer et quelle organisation promouvoir (désignation d’un référent

institutionnel, etc.) pour garantir le respect des droits des personnes ?

- Quels outils développer au service de cette démarche ? Comment diffuser la Charte

Informatique et Liberté et les outils connexes ? etc.

- …/…

3.2. Le dossier de la personne accompagnée

- Quels sont les éléments à faire figurer dans le dossier de la personne accompagné qu’il soit

numérique ou papier ? Comment actualiser les informations et retirer les documents

préparatoires ? Que faire des documents de travail des professionnels (notes prises lors des

entretiens, brouillons de rapport, etc.) ?

- Comment organiser (le contenu et l’accès) au volet médical du dossier ?

- Quelles sont les pratiques de sécurisation des dossiers papier et numérique ? A qui

s’adressent-ils ? Qui peut y avoir accès ? Quelles limites ?

- Quels sont les délais de conservation des données (statut, durée, etc.) ?

- …/…

3.3. Sécurisation et protection des données personnelles

- Quelles sont les pratiques de sécurisation physique et logique des informations ?

- Quels outils développer pour informer et s’assurer du respect par les professionnels des

règles en matière de protection et de confidentialité des informations ?

- …/…

Ces règles et principes seront présentés sous forme de fiches-repères par thématique ou sujet

sensible (données de santé, archivage des dossiers, etc.).

26

Il revient aux Etats membres de déterminer la limite d’âge qui devra être située entre 13 et 16 ans.


23/02/17 Page 12/17

3.4. Consentement et association des personnes accompagnées dans le recueil et la

circulation d’informations personnelles

- Comment informer les personnes accompagnées de la nécessité de recueillir des données

personnelles et des conditions permettant d’assurer leur sécurité ? Comment formaliser le

consentement ? Quels éléments de preuve ? Quelle place à la liberté de ne pas consentir ?

au droit à la rectification et à la correction ? Quels outils proposés ?

- Comment permettre aux personnes accompagnées d’intégrer les obligations relatives au

secret professionnel et à l’obligation de discrétion ? Comment les accompagner dans la

diffusion de leurs données, y compris de leur image ? Quelle utilisation de l’image dans les

médias numériques ?

- Comment accompagner les personnes dans la connaissance du contenu de leur dossier ?

Comment faciliter le droit d’accès au dossier de la personne ? Comment rendre effectif ce

droit ?

- …/...

4. Destinataires des recommandations

Les établissements et services directement concernés par ces recommandations sont l’ensemble des

établissements et services visés au I de l’article L.312-1 du CASF, soit plus de 30 000 ESSMS.

5. Calendrier et méthode

Pour la rédaction de ces recommandations, la méthode du consensus formalisé est retenue, du fait

que les pratiques relatives à la protection des données personnelles sont multiples et peuvent

apparaître disparates. Pour rappel, ces recommandations visent l’ensemble des établissements et

services du secteur social et médico-social.

La composition du groupe de travail devra permettre d’établir un juste équilibre entre personnes

qualifiées sur le sujet et professionnels de terrain. Elle visera la diversité des métiers (directeurs

d’établissements et responsables de services, personnels médicaux, travailleurs sociaux, techniciens

des systèmes d’information) et des secteurs (personnes âgées, handicapées, inclusion sociale,

addictologie, protection de l’enfance, protection juridique des majeurs). Des représentants de la CNIL

et de la CADA participeront également aux travaux.

L’analyse documentaire devra s’articuler sur les points suivants :

- Présentation du cadre juridique français

- Analyse des documents existants en France et à l’étranger relatifs aux pratiques de partage

d’informations dans le travail social et le secteur médico-social

- Analyse des documents mettant en évidence des facteurs qui favorisent ou freinent le

partage d’informations.

Cette analyse documentaire sera complétée par des entretiens approfondis menés auprès de

professionnels ayant investi cette thématique et qui permettront d’élaborer et d’illustrer les

recommandations.


23/02/17 Page 13/17

Le projet de recommandations sera ensuite soumis à un groupe de lecture pour vérifier la cohérence

et s’assurer de sa lisibilité. Enfin, une relecture juridique permettra de s’assurer de la légalité des

propositions retenues avant présentation aux instances de l’Anesm. Le projet de recommandations

sera présenté aux instances de l’Anesm au cours du premier trimestre 2018.


23/02/17 Page 14/17

6. Eléments de bibliographie

6.1. Cadre juridique

Europe :

� Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

� Convention de sauvegarde des droits de l’homme et des libertés fondamentales, Conseil de l’Europe, 4/11/1950 France :

Lois : � Loi n° 2016-297 du 14 mars 2016 relative à la protection de l’enfant � Loi n° 2016-87 du 2 février 2016 créant de nouveaux droits en faveur des malades et des personnes

en fin de vie � Loi n° 2016-41du 26 janvier 2016 de modernisation de notre système de santé � Loi n° 2015-1776 du 28 décembre 2015 relative à l'adaptation de la société au vieillissement � Loi n° 2014-873 du 4 août 2014 pour l'égalité réelle entre les femmes et les hommes � Loi n° 2007-293 du 5 mars 2007 réformant la protection de l’enfance � Loi n° 2007-297 du 5 mars 2007 relative à la prévention de la délinquance � Loi n°2002-2 du 2 janvier 2002 rénovant l’action sociale et médico-sociale � Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Décrets :

� Décret n° 2016-1349 du 10 octobre 2016 relatif au consentement préalable au partage d'informations entre des professionnels ne faisant pas partie de la même équipe de soins

� Décret n° 2016-1395 du 18 octobre 2016 fixant les conditions dans lesquelles est donnée l'information sur le droit de désigner la personne de confiance mentionnée à l'article L. 311-5-1 du code de l'action sociale et des familles

� Décret n° 2016-994 du 20 juillet 2016 relatif aux conditions d'échange et de partage d'informations entre professionnels de santé et autres professionnels des champs social et médico-social et à l'accès aux informations de santé à caractère personnel

� Décret n° 2016-996 du 20 juillet 2016 relatif à la liste des structures de coopération, d'exercice partagé ou de coordination sanitaire ou médico-sociale dans lesquelles peuvent exercer les membres d'une équipe de soins

� Décret n°2006-6 du 4 janvier 2006 relatif à l'hébergement de données de santé à caractère personnel et modifiant le code de la santé publique (dispositions réglementaires)

� Décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

� Décret n° 2004-1274 du 26 novembre 2004 relatif au contrat de séjour ou document individuel de prise en charge prévu par l'article L. 311-4 du code de l'action sociale et des familles Arrêtés :

� Arrêté du 8 septembre 2003 relatif à la charte des droits et libertés de la personne accueillie, mentionnée à l'article L. 3114 du code de l'action sociale et des familles


23/02/17 Page 15/17

Délibérations CNIL : � Délibération n° 2016-094 du 14 avril 2016 portant autorisation unique de traitements de données à

caractère personnel mis en œuvre dans le cadre de l'accueil, l'hébergement, l'accompagnement et le suivi des personnes handicapées et des personnes âgées (AU-047)

� Délibération n° 2016-095 du 14 avril 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre dans le cadre de l'accueil, l'orientation, l'accompagnement et le suivi social des personnes (AU-048)

� Délibération n° 2016-096 du 14 avril 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre dans le cadre de la prévention et de la protection de l'enfance (AU-49)

� Délibération n° 2016-175 du 9 juin 2016 portant autorisation unique relative aux traitements de données à caractère personnel mis en œuvre par les mandataires judiciaires à la protection des majeurs, ayant pour finalités la gestion et le suivi de la représentation juridique, de l'assistance et du contrôle des personnes placées par l'autorité judiciaire sous sauvegarde de justice, curatelle, tutelle ou mesure d'accompagnement judiciaire (AU-050)

6.2. Articles - Ouvrages

� BADEL, M. La protection de la vie privée dans les lois du 2 janvier et du 4 mars 2002. Journal du droit

des jeunes, 2004, n° 235, pp. 21-30. � BEM, A. Le droit au respect de la vie privée : définition, conditions et sanctions. Legavox.fr,

04/01/2015. � BLOCH, M-A., HENAUT, L., Coordination et parcours. La dynamique du monde sanitaire, social et

médico-social. Dunod. 2014. � BOULMIER, D. Les lanceurs d'alerte dans les établissements et services sociaux et médicaux-sociaux :

À propos de l'article L. 313-24 du CASF. Revue de droit sanitaire et social, Dalloz, 2015, Dossier : Le partage du secret professionnel dans le secteur social et médico-social, pp.448-464.

� CADOT, O., Écrire pour la personne concernée, VST - Vie sociale et traitements, 2014/4, n° 124, p. 83-86.

� CAPODANO, J., Secret professionnel et partage d’informations. Les nouvelles dispositions de la loi Santé, VST - Vie sociale et traitements, 2016/4, N° 132, p. 84-88

� CNIL. L’utilisation de l’image des personnes. 28/03/2005. (Document électronique) � CNIL. Les conseils de la CNIL pour mieux maîtriser la publication de photos. 13/10/2014. (Document

électronique) � CNIL. Publication des photos sur Internet : comment partager sans se sur-exposer ? 12/12/2012.

(Document électronique) � GENOT-POK, I., ABENZOARD, N. Fiche de synthèse – Des précisions sur l’échange et le partage

d’informations. Jurisante.fr, 27/07/2016. � LHUILLIER, J.M., Le droit des usagers dans les établissements et services sociaux et médico-sociaux,

Rennes : Presses de l’EHESP, 2015 (5ème édition). � MACABIES, J., Écrits professionnels et informatique : pour le meilleur ou pour le pire ?, Les Cahiers

Dynamiques, 2014/3, n° 61, p. 108-114. � RABEUX, C., Le Haut Conseil du travail social sollicite les aides à domicile sur le partage

d’informations. Hospimedia. 21/02/2017. � ROSENCZVEIG, J.P., VERDIER, P., DAADOUCH, C., Le secret professionnel en travail social et médico-

social, Dunod, 2016 (6ème édition). � TILLI, N. La protection des données à caractère personnel. Documentaliste-Sciences de l'Information,

2013, vol. 50, pp. 62-69.


23/02/17 Page 16/17

6.3. Rapports – Etudes

� Administrateur général des données. Les données au service de la transformation de l’action

publique. Rapport au Premier ministre sur la gouvernance de la donnée 2015. Paris : La Documentation française, 2016.

� Conseil supérieur du travail social, Le partage d'informations dans l'action sociale et le travail social, Rennes : Presses de l’EHESP, 2013.

� Cour de Cassation. Droits de la personnalité et droit du savoir public. In : Rapport annuel 2010. Paris : La Documentation française, 2011.

� HAS. Échanges et partage de données par voie électronique. Analyse bibliographique réalisée entre octobre 2012 et février 2013. Saint-Denis : HAS, 2013.

� FOUILLERON, A. Les échanges de données réalisés à titre onéreux entre les administrations. Rapport au Premier ministre. Paris : Premier ministre, 2016.

� Conseil National de l’Ordre des médecins. Article 4 - Secret professionnel. Février 2016 � LUCAS, J., Ordre national des médecins. Dématérialisation des documents médicaux Créer la

confiance pour favoriser l’informatisation. Rapport adopté par le Conseil national de l’Ordre des médecins le 18 juin 2010. 2010. (Document électronique)

� PICARD, R., PILLET, D. Caractérisation du secteur médico-social pour le développement d'offres TIC. Paris : CGIET, 2010.

6.4. Mémoires – Thèses

� BOUBERT, E. L’impact organisationnel de l’informatisation du dossier de la personne accompagnée

dans le secteur médico-social : l’exemple de la mise en place du Dossier Unique du Val-Mandé (DU-VM). Mémoire de l’Ecole des Hautes Etudes en Santé Publique, 2010.

� PAPA, A.-I. Le partage des informations individuelles de l’usager dans les établissements et services sociaux et médico-sociaux est-il modélisable au regard de la loi «informatique et libertés»? Master spécialisé : management et protection des données à caractère personnel : Paris : Institut supérieur d’électronique, 2012.

� VAN HELMERIJCK, P. Le dossier de l’usager : un système d’information au service du processus d’accompagnement. Exemple de la mise en place d’une politique du dossier de l’usager dans un SAVS de l’ADAPEI du Rhône. Master : Droit, Economie, Gestion : Lyon : IFROS, Université Jean Moulin 3, 2008.

6.5. Guides – Recommandations

� Agence des droits fondamentaux de l’Union européenne. Manuel de droit européen en matière de

protection des données. Luxembourg : Agence des droits fondamentaux de l’Union européenne, 2014.

� Agence française de la santé numérique. Modèles des objets de santé. Référentiel. Version finale. Paris : Agence française de la santé numérique, 2016.

� ANAP. Systèmes d’information dans le secteur médico-social. Guide d’utilisation de l’outil de diagnostic de la maturité des systèmes d’information. Paris : Anap, 2016.

� ANAP. Initier un système d’information PAERPA sur son territoire. Prérequis. Paris : Anap, 2015. � ANAP. Systèmes d’information dans le secteur médico-social. Retours d’expérience et grands

enseignements. Paris : Anap, 2013. � ANAP. Piloter les projets SI par la valeur. Répertoire d'indicateurs. Paris : Anap, 2012.


23/02/17 Page 17/17

� Anesm. Évaluation interne : repères pour les établissements et services relevant du secteur de l’inclusion sociale. Saint-Denis : Anesm, 2016.

� Anesm. Évaluation interne : repères pour les établissements et services intervenant dans le champ de la protection de l’enfance et/ou mettant en œuvre des mesures éducatives. Saint-Denis : Anesm, 2016.

� Anesm. L’accompagnement à la santé de la personne handicapée. Saint-Denis : Anesm, 2013. � Anesm. Le partage d’information à caractère secret en protection de l’enfance. Saint-Denis : Anesm,

2011. � Anesm. La participation des usagers dans les établissements médico-sociaux relevant de

l’addictologie. Saint-Denis : Anesm, 2010. � Conseil de l’Europe. Lignes directrices sur la protection des personnes à l’égard du traitement des

données à caractère personnel à l’ère des mégadonnées. Strasbourg : Conseil de l’Europe, 2017. � CNIL. Guide pour les employeurs et les salariés. Edition 2010 (Document électronique) � CNIL. Le recrutement et la gestion du personnel. 19 octobre 2015 � DGAS. Le dossier de la personne accueillie ou accompagnée. Recommandations aux professionnels

pour améliorer la qualité. Paris : DGAS, 2007. � Direction de l'information légale et administrative. Droit à l’image et protection de la vie privée.

Service-public.fr, 21/07/2016. � KILKELLY, U. Le droit au respect de la vie privée et familiale. Un guide sur la mise en œuvre de l’article

8 de la Convention européenne des Droits de l’Homme. Strasbourg : Conseil de l’Europe, 2003. Coll. Précis sur les droits de l’homme, nº 1.

� ROAGNA, I. La protection du droit au respect de la vie privée et familiale par la Convention européenne des droits de l’homme. Strasbourg : Conseil de l’Europe, 2012. Série des précis droits de l’homme du Conseil de l’Europe.

6.6. Autres

� CCNE. Le « dossier médical personnel » et l’informatisation des données de santé. Avis n°104. Paris : CCNE, 2008.

� Communication devant le Parlement européen sur les obligations non contractuelles résultant d’une attente à la vie privée et aux droits de la personnalité. Audience du 28 janvier 2010. (Document électronique)

Documents

Recommandations de bonnes pratiques professionnelles€¦ · Lettre de cadrage : Droits des personnes et démarche de protection des données personnelles Après avis favorable des