Le 14 février dernier, La CNIL, le Ministère de la Santé et de la Prévention, le Ministère des Solidarités, de l’Autonomie et des Personnes Handicapées et la CNSA, en collaboration avec l’ANS tenaient un webinaire pour découvrir la protection des données à caractère personnel et ses implications pratiques dans les établissements sociaux et médico-sociaux, disponible en replay.
Quoi ?
Un établissement social ou médico-social (ESMS), est une structure dont la vocation est d’accueillir et d’accompagner, pour une brève durée ou au long cours, des personnes dépendantes, handicapées ou en situation d’exclusion sociale. Sont notamment concernés, les établissements d’hébergement pour les personnes âgées dépendantes (EHPAD) ; des services d’aide à l’accompagnement à domicile (SAAD) ; des services d’accompagnement médico-social pour adultes handicapés (SAMSAH) ; des centres communaux d’action sociale (CCAS) ; des associations de droit privé créées sous la loi de 1901 et ayant pour mission l’accueil, l’hébergement, l’accompagnement et le suivi social et médico-social de personnes vulnérables ; etc.
Qui ?
Personnes âgées, personnes en situation de handicap, personnes en difficulté (exemples : demandeurs d’asile ; grande précarité) et le cas échéant, représentants légaux des personnes concernées.
Comment ?
Dans ce contexte, les ESMS sont amenés à mettre en œuvre des traitements de données à caractère personnel en tant que responsables de traitement, ce qui les soumet au respect des règles relatives à la protection des données.
Fiche module – Etablissements sociaux et médico-sociaux
Traitement 1 - Gestion des admissions et prise en charge administrative de la personne concernée
Finalités potentielles du traitement 1 (exemples)
- Gestion des places vacantes et évaluation des capacités d’accueil de l’organisme ;
- Gestion des demandes d’hébergement et d’accès au logement, le cas échéant ;
- Etablissement du contrat entre l’organisme et la personne concernée ;
- Gestion des rendez-vous médicaux et/ou sociaux ;
- Gestion des visites familiales…
Précisions
Dans ce contexte, plusieurs contrats sont susceptibles d’être concernés (liste non-exhaustive) :
- Contrat de séjour ou document individuel de prise en charge (DIPEC) ;
- Contrat d’accueil à domicile entre l’accueillant familial et la personne accueillie ;
- Contrat de soutien et d’aide par le travail pour les travailleurs en situation de handicap ;
- Contrat d’engagement réciproque (CER) ou projet personnalisé d’accès à l’emploi (PPAE) ;
- Contrat d’hébergement conclu entre le bénéficiaire et l’organisme assurant l’accueil des personnes en situation d’urgence…
Traitement 2 - Accompagnement social et/ou médico-social
Finalités potentielles du traitement 2 (exemples)
- Elaboration et suivi d’un projet personnalisé d’accompagnement ;
- Echange et partage des informations en internet permettant de garantir la coordination et la continuité de l’accompagnement et du suivi des personnes entre intervenants sociaux, médicaux et paramédicaux ;
- Accompagnement dans les actes essentiels de la vie quotidienne ;
- Organisation et suivi des parcours d’insertion/réinsertion/intégration scolaire, sociale et professionnelle ;
- Gestion des dossiers individuels de soins dans le cadre du suivi médical et gestion des remboursements des frais médicaux le cas échéant ;
- Accès aux droits relatifs à la vie de vie et accompagnement dans la rédaction des « directives anticipées » ;
- Assistance dans le cadre des démarches administratives numériques ;
- Assistance des personnes pour l’obtention d’une domiciliation pour les personnes sans domicile stable…
Traitement 3 - Instruction et gestion des droits liés aux prestations sociales, légales et facultatives
Finalités potentielles du traitement 3 (exemples)
- Suivi des personnes dans l’accès aux droits ;
- Assistance dans les relations et démarches à effectuer ;
- Orientation des personnes vers les structures compétentes susceptibles de les prendre en charge…
Précisions
Exemples d’aides légales pour les personnes âgées, en situation de handicap ou en difficulté : aide sociale à l’hébergement (ASH) ; allocation personnalisée d’autonomie (APA) ; carte mobilité inclusion (CMI) ; revenu de solidarité active (RSA) ; allocation de logement sociale (ALS)…
Exemples d’aides facultatives : aides ménagères ; aides au transport ; règlement des factures de gaz et/ou électricité…
Bases légales potentielles
Pour les organismes publics ou personnes morales de droit privé gérant un service public :
- L’exécution d’un contrat (article 6-1b RGPD) ;
- L’exécution d’une mission d’intérêt public (article 6-1e RGPD) ;
Pour les organismes privés :
- L’exécution d’un contrat (article 6-1b RGPD) ;
- L’intérêt légitime poursuivi par le responsable de traitement (article 6-1f RGPD) ;
Ressortent également les bases légales suivantes :
- L’obligation légale (article 6-1c RGPD) : notamment dans le cadre la gestion administrative et financière interne de l’organisme, ou encore dans le cas particulier du suivi des personnes et familles reçues dans le cadre de la médiation familiale, sociale ou pénale.
- Le consentement (article 6-1c RGPD) : dans le cas particulier des droits relatifs à la fin de vie des personnes concernées.
Précision sur le consentement
La CNIL appelle l’attention des organismes sur la nécessité de faire preuve de la plus grande prudence dans l’usage du consentement comme base légale de leurs traitements. Les personnes concernées peuvent en effet souffrir d’altération du discernement pouvant rendre le consentement non valable.
Catégories de données personnelles traitées
- Identification ;
- Vie personnelle ;
- Vie professionnelle ;
- Données d’ordre économique et financier ;
- Données relatives à l’évaluation sociale et médico-sociale et au type d’accompagnement/actions mis en œuvre ;
- Informations relatives à certaines aides sociales légales.
Information des personnes concernées (exemples)
Mentions d’informations insérées au sein du livret d’accueil, du contrat de séjour, du DIPEC, du contrat d’hébergement, des formulaires de demandes de prestations sociales… dans un langage compréhensible et selon des modalités appropriées et adaptées à leur situation (pictogramme, à l’oral, images ludiques…).
De manière générale, la CNIL recommande une information orale en plus d’une information écrite afin de s’assurer de la bonne compréhension par la personne concernée des informations communiquées.
Données sensibles ?
- NIR : ne peut être enregistré que dans le cadre du traitement des échanges avec les professionnels de santé ou les organismes de sécurité sociale, de prévoyance et les MDPH (cf. Décret cadre NIR).
- Identifiant national de santé (INS) : ne peut être utilisé que pour répertorier et retrouver les données de santé et les données administratives rattachées à une personne bénéficiant ou appelée à bénéficier d’une prise en charge sanitaire ou médico-sociale.
- Données de santé, sous réserve que ces données soient collectés à des fins :
- d’administration de soins, de traitements, de diagnostics médicaux, de médecine préventive ou de gestion des services de santé.
- de délivrance d’une prestation sociale destinée aux personnes en situation de perte d’autonomie ou de handicap prévue par un texte législatif ou réglementaire sous réserve que ces informations soient strictement nécessaires à la délivrance de ladite prestation.
Lorsque la collecte de données de santé est nécessaire à l’accompagnement social réalisé mais ne s’inscrit pas au sein de l’une des 2 situations susvisées, celle-ci peut être réalisée après recueil du consentement de la personne concernée ou de son représentant légal (ex : une aide à domicile peut recevoir la communication de l’état de santé d’une personne dès lors que ces informations sont nécessaires à l’accompagnement social et médico-social réalisé à domicile).
- Données relatives aux convictions religieuses et/ou philosophiques sous réserve (conditions cumulatives) :
- d’être collectées auprès de la personne concernée ou de son représentant légal après recueil exprès du consentement ;
être strictement nécessaires à l’accompagnement social et/ou médico-social (ex : organisation des repas, des funérailles, accompagnement des personnes victimes ou susceptibles d’être victimes de mouvements extrémistes).
Durée de conservation des données
La CNIL recommande que les données collectées et traitées, pour les besoins de l’accueil, l’hébergement et l’accompagnement social et médico-social des personnes ne soient pas conservées dans la base active au-delà de deux ans à compter du dernier contact émanant de la personne ayant fait l’objet de cet accompagnement.
Pour le dossier médical, on se réfère au Code de la santé publique : 20 ans à compter de la date du dernier séjour de son titulaire au sein de l’établissement de sa prise en charge. Si la personne titulaire du dossier décède moins de 10 ans après son dernier passage dans l’établissement, le dossier est conservé pendant une durée de 10 ans à compter de la date du décès.
Précisions
En cas d’hébergement des données de santé réalisé pour le compte des organismes assurant le suivi social ou médico-social par un prestataire informatique, celui-ci doit être agréé ou certifié pour l’hébergement, le stockage, la conservation de données de santé, conformément aux dispositions de l’article L. 1111-8 du code de la santé publique.