Vie privée, confidentialité, RGPD : quand prendre soin de l’autre passe aussi par la protection des données




Autres articles
COMMUNIQUÉ DU 14 MARS 2021
 
Vie privée, confidentialité, RGPD : quand prendre soin de l’autre passe aussi par la protection des données
 
 
Paris, le 14 mars 2021
 
Le règlement général sur la protection des données (RGPD) du 27 avril 2016 a profondément modifié le cadre juridique existant relatif aux traitements des données à caractère personnel.
 
Le RGPD fait désormais partie de notre vie quotidienne. Il concerne tous les secteurs : internet, entreprises, institutions publiques, secteur de la santé, etc.
 
Les organismes qui traitent des données à caractère personnel assument la responsabilité de leur conformité au RGPD. Ils sont sanctionnables pour toute infraction.
 
La CNIL a lancé une consultation publique (1) sur un projet de référentiel dans le secteur social (2) auquel l’ANAS a contribué.
 
Ce projet de référentiel est utile aux professionnel·le·s du social et médico-social pour comprendre les principes du RGPD. Il est présenté comme une aide pour se mettre en conformité avec le RGPD dans le champ du travail social. S’il converge avec certaines valeurs fondamentales du secteur social, il soulève également de nombreux questionnements et interrogations.
 
Voici les cinq principaux points que l’ANAS a soulevé auprès de la CNIL.
 
Les bases légales autorisant le traitement et la collecte des données : des contours qui restent à préciser
 
Les bases légales (ce qui autorise le traitement des données) paraissent être à ce stade des dénominations de principes encore polysémiques dont les définitions ne sont pas encore circonscrites (par exemple : qui définit ce qu’est un intérêt légitime ?). Aussi, Il est nécessaire de les détailler plus finement car les termes peuvent être détournés de leur sens. 
 
En effet, certaines institutions pourraient s’appuyer sur une base légale (exemple : mission d’intérêt public) et estimer que toute collecte de données dans ce cadre serait automatiquement licite, alors qu’elles ne seraient pas pertinentes.
 
La collecte des données : une vigilance à maintenir à chaque instant
 
La collecte des données doit être réalisée selon le principe de minimisation et de leur utilisation en adéquation avec la finalité poursuivie.
 
Par exemple, le support pour l’évaluation multidimensionnelle APA intègre un item demandant de préciser la « situation budgétaire actuelle ». Cet élément n’est pas utilisé pour l’attribution de l’APA (3), aussi nous nous interrogeons sur la nécessité de recueillir ce type d’informations. De plus, 12 pages de collecte de données paraissent conséquentes pour répondre à l’objectif d’accéder à une aide au maintien à domicile.
 
Est-il possible de parler de proportionnalité dans le recueil de données lorsque la saisie est obligatoire dans le cadre de l’instruction d’un dossier de demande d’aide ?
 
Il serait intéressant de préciser dans le référentiel la notion de données « objectives ». En effet, les données collectées doivent être factuelles, exemptes de jugements de valeur, de préjugés, etc.
 
De plus, il est nécessaire de rappeler que la collecte de données se fait à un instant précis (4) et pas pour une finalité qui se présenterait potentiellement à l’avenir. La collecte ne doit pas se vouloir prévisionnelle, pour le « au cas où ».
 
L’association attire la vigilance de la CNIL quant aux dérives de l’interconnexion des données et de destinataires qui seraient légitimés par l’unique nécessité d’un partage d’informations sous couvert de mettre en œuvre un accompagnement des personnes plus efficace ou mieux adapté. 
 
A ce stade, il paraît manquer un point concernant les tiers associés à la saisie du traitement de données sans être employés par les institutions responsables de traitement (exemple : SI-SIAO, Via Trajectoire, TERR-eSANTÉ, etc.). En effet, le RGPD appelle l’attention de chacun·e quant à l'impérieuse nécessité de vigilance vis-à-vis des données personnelles des personnes accompagnées. Ses principes en appellent à l’attention constante de chaque professionnel, tel que régulièrement rappelé par les affaires suscitant l’émoi du secteur (SIAO 75 (5), SI-SIAO (6), SIREVA (7), SIAS (8), DIS (9), ONED (10), COSMOS (11), etc.).
 
L’articulation entre RGPD et secret professionnel : une clarification nécessaire
 
Pour l’ANAS, c’est le droit sectoriel tel que l’astreinte au secret professionnel qui doit guider l’action des professionnel·le·s. En effet, le RGPD ne doit pas s’appliquer en lieu et place d’autres règles juridiques encadrant l’activité car en réalité, les dispositions sont cumulatives (tel que le rappelle parfois le document de façon générale). Or, quid des cas où secret professionnel et modalités techniques de partage (habilitations) dans le cadre du RGPD pourraient s'opposer ? Par exemple, si le partage d’information autorisé par le traitement de données à caractère personnel ne se trouve pas être « strictement nécessaire » dans l’évaluation de la singularité d’une situation ? 
 
Ce référentiel est l’occasion de rappeler que chaque profession relevant de l’article 226-13 du code pénal se réfère à la même notion de secret professionnel. Par exemple, le terme de « secret médical » n’est pas strictement défini d’un point de vue juridique. D’ailleurs, le référentiel manque de clarté sur l’articulation entre RGPD et secret professionnel.
 
Pour illustrer, ce n’est pas parce qu’une possibilité de partage d’information existe qu’il est légal de partager toute information au sein d’un traitement de données à caractère personnel. De même, le seul fait d’être soumis au secret professionnel n’ouvre pas de droits spécifiques à l’accès à des informations à caractère secret recueillies par un autre professionnel.
 
Des interrogations autour du consentement : « céder n’est pas consentir »
 
Concernant le consentement des personnes, des interrogations émergent. Celui-ci est-il libre et éclairé lorsqu’il est attendu un possible secours financier en échange de la collecte de données personnelles ? Qu’en est-il alors du droit de s’opposer au traitement comme précisé dans le RGPD ?
 
Comment est recueilli le consentement, surtout quand les personnes concernées sont des personnes fragiles, vulnérables ? Qu’en est-il également du consentement des personnes placées sous protection juridique (curatelle, tutelle) ?
 
Pouvons-nous évoquer une notion de consentement quand la saisie devient obligatoire?
 
S’approprier le RGPD : l’engagement, un enjeu central pour chacun
 
Le RGPD invite à réinterroger les pratiques professionnelles et institutionnelles.
 
Ce référentiel permet d’échanger autour du RGPD et d'affiner la réflexion des professionnel·le·s sur les principes relatifs aux traitements de données afin de nous approprier la « culture » RGPD.
 
Les assistant·e·s de service social peuvent demander l’accès à l’analyse d'impact concernant les logiciels institutionnels et professionnels qu’iels utilisent afin de comprendre les enjeux relatifs à son utilisation.
 
De même, il est important que les professionnel·le·s et les usager·e·s puissent être associé·e·s et donner leur avis dans la conception et la mise en place d’un traitement de données à caractère personnel.
 
Conclusion :
 
Bien qu’il rappelle de grands principes, le référentiel proposé par la CNIL nous paraît insuffisant pour le responsable de traitement des données du secteur et le délégué à la protection des données. Il nous apparaît qu’il aurait pu être plus exhaustif, en citant des exemples, en élaborant des cas pratiques et établissant des lignes directrices spécifiques au secteur social et médico-social proposées par la CNIL ou par le Comité européen de la protection des données, des exemples de « bonnes pratiques » ou d’interdictions manifestes.
 
De plus, si le RGPD permet la collecte et le traitement des données au sein de services sociaux, cela ne doit pas conduire à ce que l’assistant·e de service social devienne un·e agent·e de saisie de données sans pouvoir questionner la pertinence des données légitimes à collecter, conserver et utiliser pour l’accompagnement des personnes.

D’autres outils de sensibilisation et de la formation paraissent nécessaires voire indispensables. Par exemple, un document précis sur chaque champ d’activité impliquant des éléments de clarification contextuelle pourrait être créé : un pour les personnes âgées, un autre pour les personnes en situation de handicap, un autre pour les personnes en insertion professionnelle, etc.
 
Ainsi, les professionnel·le·s doivent veiller au respect des valeurs fondamentales du travail social dans leur pratique professionnelle quotidienne. Le RGPD vient bien entendu les enrichir mais il ne doit pas servir à en affaiblir leur indispensable complémentarité.
 
Le Conseil d’Administration de l’ANAS

Communiqué CNIL.pdf  (135.39 Ko)


1. CNIL, La CNIL lance une consultation publique sur un projet de référentiel dans le secteur social, 12 octobre 2020, disponible sur : https://www.cnil.fr/fr/la-cnil-lance-une-consultation-publique-sur-un-projet-de-referentiel-dans-le-secteur-social
2. CNIL, [Projet] Référentiel relatif aux traitements de données a caractère personnel mis en œuvre dans le cadre de l’accueil, l’hébergement et l’accompagnement social et médico-social des personnes âgées, en situation de handicap et en difficulté, document de travail, disponible sur : https://www.cnil.fr/sites/default/files/atoms/files/referentiel_secteur_social.pdf
3. CNSA, Support pour l’évaluation multidimensionnelle APA, disponible sur : https://www.cnsa.fr/documentation-et-donnees/formulaires/support-pour-levaluation-multidimensionnelle-apa
4. CNIL, Les bases légales, 12 octobre 2020, disponible sur : https://www.cnil.fr/fr/les-bases-legales
5. Communiqué ANAS du 17 mars 2016, « Faille de sécurité SIAO : l'Anas alerte et saisit la Cnil », disponible sur : https://www.anas.fr/Faille-de-securite-SIAO-l-Anas-alerte-et-saisit-la-Cnil_a978.html
6. Jacques Duplessy, « Un bug informatique déstabilise l’hébergement des sans-abri » in Mediapart, 1er octobre 2020, disponible sur : https://www.mediapart.fr/journal/france/011020/un-bug-informatique-destabilise-l-hebergement-des-sans-abri
7. Communiqué ANAS du 17 avril 2018, « Avec SIREVA, souriez, vous êtes fichés », disponible sur : https://www.anas.fr/Avec-SIREVA-souriez-vous-etes-fiches_a1179.html
8. Délibération n° 2017-147 du 9 mai 2017 autorisant la mise en œuvre d’un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d’un outil dénommé « SIAS » permettant l’accompagnement et le suivi social des ressortissants du ministère de la défense (Demande d’autorisation n° 2041484)
9. Communiqué de l’ANAS du 4 Septembre 2011, « La CNIL rappelle à l'ordre le Conseil Général de l’Essonne et lui demande de respecter la loi », disponible sur : https://www.anas.fr/La-CNIL-rappelle-a-l-ordre-le-Conseil-General-de-l-Essonne-et-lui-demande-de-respecter-la-loi_a738.html
10. Communiqué ANAS du 21 janvier 2010, « Fiches ONED : La CNIL rend un avis…extrêmement critique ! », disponible sur : https://www.anas.fr/Fiches-ONED-La-CNIL-rend-un-avis-extremement-critique-_a661.html
11. Privacy France, Le Conseil général de Seine-Saint-Denis in Big Brother Awards 2013, disponible sur : http://bigbrotherawards.eu.org/Le-Conseil-general-de-Seine-Saint
 
 
 
 
 
 
 
 
 
 
 

Dimanche 14 Mars 2021

Dans la même rubrique :