La CNIL a publié le 23 mars 2021 au Journal officiel un nouveau référentiel concernant la protection des données dans le secteur médico-social. Celui-ci actualise les anciens cadres de référence afin de les adapter au Règlement général de protection des données (RGPD). Il fournit aux ESMS un outil de mise en conformité indispensable. Voici ses principales recommandations.
Un document adapté aux ESMS
La publication de la CNIL arrive à point nommé, alors que la transition numérique du secteur médico-social est en pleine accélération. La protection des données est évidemment un enjeu majeur de cette transformation, et le respect du RGPD une exigence prioritaire. Pour accompagner les ESMS dans cette voie, la CNIL a mené une consultation publique à l’automne 2020, dont le résultat est ce nouveau référentiel.
Le texte s’adresse à l’ensemble des organismes, quelle que soit leur forme juridique, qui accompagnent les personnes âgées, en situation de handicap ou en difficulté. Ne sont pas concernés le domaine de la prévention et de la protection de l’enfance (un texte spécifique est à venir) ainsi que les mandataires judiciaire à la protection des majeurs.
A noter : ce référentiel n’est pas contraignant au regard de la loi, et les organismes qui s’en écarteraient en raison de situations particulières peuvent le faire, sous réserve de justifier de cette particularité. Mais respecter ses recommandations garantit qu’on est dans les clous.
Des définitions plus précises
En réponse aux besoins exprimés durant la consultation publique, la CNIL apporte dans son nouveau document des précisions concernant :
- les bases légales pouvant être retenues dans le secteur social et médico-social ;
- les données susceptibles d’être collectées ;
- les durées de conservation ;
- les destinataires ;
- l’information et les droits des personnes concernées.
Le référentiel dresse en outre un rappel détaillé des grands principes du RGPD :
- les objectifs pouvant justifier des traitements de données dans les ESMS ;
- les données susceptibles d’être collectées ;
- les destinataires des données collectées et traitées ;
- les durées de conservation ;
- l’information et les droits des personnes ;
- les exigences en matière de sécurité, notamment informatique.
Un guide pour la réalisation des analyses d’impact (AIPD)
C’est l’un des points les plus contraignants du RGPD : la nécessité de réaliser une analyse d’impact relative à la protection des données (AIPD), lorsque des traitements de données font peser des risques élevés sur les droits et libertés des personnes. C’est le cas pour les ESMS, qui collectent et traitent des informations personnelles sensibles.
Le référentiel de mars 2021 fournit les principes sur lesquels s’appuyer pour réaliser une étude d’impact conforme. Un conseil : reportez-vous aussi aux outils méthodologiques mis en ligne par la CNIL, sur le sujet : https://www.cnil.fr/fr/RGPD-analyse-impact-protection-des-donnees-aipd
De son côté, Widip vous propose son logiciel QEOPS, conçu pour une mise en conformité au RGPD simple et encadrée, qui vous aidera à réaliser facilement vos AIPD.