Les structures d’action sociale sans hébergement ont pour mission d’accompagner des publics en difficulté : enfants, familles, adultes, personnes en situation de précarité ou de handicap.
À ce titre, elles traitent des données personnelles parfois très sensibles, que ce soit à caractère administratif, social ou médical.
Le RGPD impose un cadre clair pour garantir la confidentialité, la sécurité et la dignité des personnes accompagnées.
Quelles données sont concernées par le RGPD ?
Des informations personnelles et sociales
Les structures collectent régulièrement :
- nom, prénom, adresse, date de naissance
- informations sur la situation familiale et professionnelle
- historique des accompagnements et dispositifs sociaux sollicités
Des données sensibles dans certains cas
Certains dossiers peuvent contenir :
- des informations médicales ou psychologiques,
- des documents liés à la justice ou à des procédures sociales,
- des éléments sur la vulnérabilité économique ou sociale.
Les obligations RGPD pour les structures sociales
Informer les personnes accompagnées
Toute personne suivie doit être informée (suivant les articles 13 et 14 du RGPD) :
- de l’identité du responsable de traitement
- de la finalité et de la base légale du traitement
- de la durée de conservation de ses données
- des destinataires de ses données et l’existence d’un transfert hors-UE
- l’existence d’une prise de décision automatisée ou profilage
- de ses droits : accès, rectification, suppression, opposition, limitation, portabilité, introduction d’une réclamation à la CNIL
- des modalités d’exercice de ses droits
L’information doit être compréhensible, disponible et accessible, y compris aux personnes peu à l’aise avec l’écrit.
Assurer la sécurité et la confidentialité des données
Les structures doivent mettre en place des mesures techniques et organisationnelles pour éviter :
- l’accès non autorisé aux dossiers
- la perte ou la divulgation accidentelle d’informations sensibles
- l’envoi d’informations à des tiers sans base légale
Encadrer les accès et les partages
- Accès limité aux professionnels habilités
- Partage des données encadré par des conventions ou autorisations
- Journalisation des accès dans certains cas
Bonnes pratiques de mise en conformité
Évaluer les traitements et les risques
Un registre des traitements doit être tenu à jour.
Une analyse d’impact (AIPD) est recommandée pour les traitements à risque.
Mettre en place un responsable RGPD ou DPO
Même si la désignation d’un DPO n’est pas toujours obligatoire, avoir un référent interne formé est un atout. Il est obligatoire pour les organismes publics, les traitements de suivi systématique et régulier des personnes, ou encore en cas de traitement de données sensibles à large échelle.
Former les équipes
Le personnel doit être sensibilisé régulièrement aux enjeux de la confidentialité et aux bons réflexes numériques.
Risques en cas de non-conformité
> Sanctions financières (jusqu’à 4 % du CA annuel)
> Atteinte à la vie privée des personnes suivies
> Perte de confiance des usagers, des familles et des partenaires publics
Conclusion
Le respect du RGPD est un gage de respect, de professionnalisme et de protection pour les structures d’action sociale.
💡 Mettre en place des procédures simples, former les équipes et documenter les pratiques permet de garantir la dignité des bénéficiaires tout en sécurisant les missions sociales.
