Délibération n° 2016-175 du 9 juin 2016 portant autorisation unique relative aux traitements de données à caractère personnel mis en œuvre par les mandataires judiciaires à la protection des majeurs, ayant pour finalités la gestion et le suivi de la représentation juridique, de l'assistance et du contrôle des personnes placées par l'autorité judiciaire sous sauvegarde de justice, curatelle, tutelle ou mesure d'accompagnement judiciaire (AU-050)

JORF n°0149 du 28 juin 2016
texte n° 64



Délibération n° 2016-175 du 9 juin 2016 portant autorisation unique relative aux traitements de données à caractère personnel mis en œuvre par les mandataires judiciaires à la protection des majeurs, ayant pour finalités la gestion et le suivi de la représentation juridique, de l'assistance et du contrôle des personnes placées par l'autorité judiciaire sous sauvegarde de justice, curatelle, tutelle ou mesure d'accompagnement judiciaire (AU-050)

NOR: CNIL1617432X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu le code de l'action sociale et des familles, notamment ses articles L. 361-1, L. 471-1 à L. 473-4 et R. 472-1 à R. 472-26 ;
Vu le code civil ;
Vu le code de procédure pénale, notamment ses articles 706-112 et suivants ;
Vu le code de la santé publique, notamment son article L. 1111-4 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment les I-1°, I-3°, I-6° et II de son article 25 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2012-663 du 4 mai 2012 modifié relatif aux modalités de gestion des biens des personnes protégées dont la protection est confiée à un mandataire judiciaire, personne ou service préposé d'une personne morale de droit public ;


Après avoir entendu Mme Laurence DUMONT, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Aux termes de l'article L. 471-1 du code de l'action sociale et des familles (CASF), « les mandataires judiciaires à la protection des majeurs exercent à titre habituel les mesures de protection des majeurs que le juge des tutelles leur confie au titre du mandat spécial auquel il peut être recouru dans le cadre de la sauvegarde de justice ou au titre de la curatelle, de la tutelle ou de la mesure d'accompagnement judiciaire ».
En application des articles L. 471-2 et L. 472-1 du même code, ces mandataires sont inscrits sur une liste dressée et tenue à jour par le représentant de l'Etat dans le département, après avoir fait l'objet d'un agrément en qualité de mandataire judiciaire à la protection des majeurs. Cet agrément est délivré par le représentant de l'Etat dans le département, après vérification que la personne satisfait aux conditions prévues par les articles L. 471-4 et L. 472-2 du CASF et avis conforme du procureur de la République.
Les traitements de données à caractère personnel mis en œuvre dans le cadre des différentes missions confiées à ces mandataires sont susceptibles de porter sur des « données sensibles » au sens de l'article 8 de la loi du 6 janvier 1978 modifiée, sur des données relatives à des infractions, condamnations ou mesures de sûreté, sur des données comportant des appréciations sur les difficultés sociales des personnes ainsi que sur le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques.
Dès lors, de tels traitements, justifiés par l'intérêt public, relèvent des articles 25-I-1°, 25-I-3° et 25-I-6° de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la CNIL.
En vertu de l'article 25-II de la loi du 6 janvier 1978 modifiée, la commission peut autoriser par une décision unique une catégorie de traitements qui répondent aux mêmes finalités, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires.
Les traitements mis en œuvre par les mandataires judiciaires à la protection des majeurs aux fins d'exercice de leurs missions sont de ceux qui peuvent, sous certaines conditions, relever de cette définition.
Dans ces conditions, la commission décide que les responsables de traitement qui lui adressent une déclaration comportant un engagement de conformité à la présente décision unique sont autorisés à les mettre en œuvre.
Tout traitement de données à caractère personnel qui excède le cadre ou méconnaît les exigences définies par la présente autorisation unique doit en revanche faire l'objet d'une formalité spécifique.

Article 1


Sur les finalités des traitements :
La fonction de mandataire judiciaire à la protection des majeurs peut être exercée par des services mandataires à la protection des majeurs, par le préposé d'un établissement hospitalier, social ou médico-social, dans les conditions prévues à l'article L. 472-6 du CASF, ou encore par un mandataire individuel.
Seuls peuvent faire l'objet d'un engagement de conformité en référence à la présente autorisation unique les traitements mis en œuvre par les mandataires judiciaires à la protection des majeurs. Ces mandataires sont ceux qui exercent les mesures de protection des majeurs que le juge des tutelles leur confie au titre du mandat spécial auquel il peut être recouru dans le cadre des mesures de sauvegarde de justice, de tutelle, de curatelle, ou d'accompagnement judiciaire.
Ces traitements ne peuvent poursuivre que les finalités suivantes :


- la gestion et le suivi de la représentation juridique, de l'assistance et du contrôle des personnes placées par l'autorité judiciaire sous sauvegarde de justice, sous tutelle, sous curatelle ou sous mesure d'accompagnement judiciaire ;
- la gestion administrative et comptable du service de sauvegarde juridique, de tutelle, de curatelle ou de la mesure d'accompagnement judiciaire.


En particulier, sont notamment exclus du champ de la présente autorisation unique :


- les traitements mis en œuvre par les mandataires familiaux, lesquels sont néanmoins tenus de rendre compte de l'exécution de leur mandat à la personne protégée et à l'autorité judiciaire ;
- les traitements mis en œuvre dans le cadre des mandats de protection future ;
- les traitements mis en œuvre aux fins de gestion et de suivi des personnes mineures, notamment dans le cadre de la prévention et la protection de l'enfance ;
- les traitements mis en œuvre pour le compte de l'Etat, d'une personne morale de droit public ou d'une personne morale de droit privé gérant un service public, dès lors que ceux-ci portent sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques.

Article 2


Sur la nature des données traitées :
La commission rappelle que des données à caractère personnel ne peuvent être collectées et traitées que si elles sont strictement nécessaires aux finalités poursuivies par les traitements mis en œuvre. En particulier, il incombe au responsable de traitement de ne collecter que des données adéquates, pertinentes et non excessives au regard du type de mesure de protection prononcée par le juge (sauvegarde de justice, curatelle, tutelle, accompagnement judiciaire), de son contenu précis et de la nature des actes à accomplir.
En tout état de cause, la commission rappelle que les données définies dans le cadre de la présente autorisation ne doivent en aucun cas être systématiquement collectées et que le responsable de traitement doit notamment être en mesure de justifier du caractère nécessaire et proportionné de chacune de ces données dans le cadre de l'accompagnement induit par le type de mesure exercée, en tenant compte notamment de la durée prévisible de la mesure exercée et de la présence au sein du mandat d'une mission de protection de la personne.
Dans ces conditions, peuvent être traitées, y compris sous la forme de pièces justificatives, les données suivantes relatives aux personnes représentées ou assistées :


- les données d'identification et, le cas échéant, celles relatives à leurs conjoints et enfants : noms, prénoms, adresses, date et lieu de naissance, photographie, extraits d'acte d'état civil ;
- les données relatives à leur vie personnelle : situation familiale, adresse de résidence et fiscale, type d'hébergement, habitudes de vie et alimentaires, relations avec les tiers, compte rendu de visite à domicile, lieu de vie, correspondances, régime matrimonial ;
- les données relatives à leur vie professionnelle : curriculum vitae, situation professionnelle, scolarité, formation, distinctions, bulletins de salaires et de retraite, contrat de travail ;
- les données liées aux démarches effectuées pour l'ouverture des droits pour le compte des personnes protégées et, le cas échéant, les données de connexion associées aux services en question ;
- les données relatives à des informations d'ordre économique et financier : coordonnées bancaires du bénéficiaire, revenus, situation financière, dépenses, recettes, contrôle du budget, taux d'endettement, patrimoine immobilier, agence bancaire, épargne, biens mobiliers.


Au regard des missions confiées par le juge des tutelles, les mandataires judiciaires à la protection des majeurs peuvent être amenés à collecter d'autres données à caractère personnel dès lors qu'elles s'avèrent strictement nécessaires à l'exercice du mandat confié.
La commission rappelle néanmoins que, en application de l'article 8 de la loi du 6 janvier 1978 modifiée, la collecte de données « sensibles » est par principe interdite. Ainsi, ce n'est que dans la mesure où la finalité du traitement mis en œuvre l'exige, au regard du mandat confié par l'autorité judiciaire, qu'une telle collecte peut être réalisée.
En outre, lorsque l'état de la personne concernée le permet, le responsable de traitement doit s'assurer du consentement exprès de la personne s'agissant de la collecte de ces catégories de données. Dès lors que cette dernière refuse ou n'est pas en mesure de donner son consentement exprès, la collecte de ces données ne pourra intervenir que lorsque le mandat confié par le juge l'autorise ou que cette collecte s'inscrit dans les conditions prévues aux articles 8-II-2° et 8-II-6° de la loi du 6 janvier 1978 modifiée.
En particulier, peuvent être collectées, dans les conditions précitées, des données relatives aux opinions politiques, philosophiques ou religieuses, à l'appartenance syndicale ou encore à la vie sexuelle, dans la mesure où elles sont nécessaires à la prise en charge de la personne faisant l'objet d'une mesure de protection judiciaire.
Des données relatives à la santé peuvent en outre être collectées, dans les mêmes conditions, aux fins de permettre une participation aux décisions médicales lorsque la mesure prononcée par le juge l'implique, ainsi que dans le but d'assurer un suivi en matière de santé et d'hygiène de la personne protégée.
Des données relatives aux infractions, condamnations ou mesures de sûreté, au sens de l'article 9 de la loi du 6 janvier 1978 modifiée, peuvent être traitées dans le strict respect des attributions légales confiées aux mandataires judiciaires à la protection des majeurs et dans les limites prévues par les dispositions légales en vigueur.
Le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (numéro de sécurité sociale) peut également être traité aux seules fins d'assurer la représentation ou l'assistance juridique inhérente à la mesure de protection juridique exercée dans le cadre des échanges avec les professionnels de santé, les organismes de sécurité sociale, de prévoyance ou de retraite ainsi que les financeurs de prestations sociales ou médico-sociales.
Des données relatives aux difficultés sociales des personnes concernées par la mesure judiciaire peuvent enfin être enregistrées dans les traitements concernés, aux seules fins de faciliter la prise en charge et l'accompagnement de la personne protégée.


Sur la durée de conservation des données :
La commission rappelle que, conformément à l'article 6-5° de la loi du 6 janvier 1978 modifiée, des données à caractère personnel ne peuvent être conservées que pendant la durée strictement nécessaire à l'accomplissement de la finalité pour laquelle elles ont été collectées.
En tout état de cause, les données enregistrées dans les traitements concernés, y compris lorsqu'elles prennent la forme de pièces justificatives, ne peuvent être conservées au-delà de la prescription de l'action en reddition des comptes, en revendication ou en paiement diligentée par la personne protégée ou ses héritiers, à savoir, en application de l'article 515 du code civil, cinq ans à compter de la fin de la mesure de protection, sauf interruption ou suspension de la prescription.
A l'expiration de cette période, les données sont détruites de manière sécurisée ou archivées, dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public.

Article 4


Sur les destinataires des données :
Les données collectées ne peuvent être traitées ultérieurement de manière incompatible avec les finalités des traitements couverts par la présente autorisation, en application de l'article 6-2° de la loi du 6 janvier 1978 modifiée.
Le responsable de traitement doit donc veiller à ce que les destinataires habilités accèdent aux seules données adéquates, pertinentes et non excessives au regard des finalités nécessitant la communication de ces données.
A cet égard, seul le responsable de traitement et, le cas échéant, les membres habilités de son personnel soumis à une obligation de confidentialité peuvent accéder directement aux traitements régis par la présente autorisation.
Seuls ces utilisateurs sont habilités à transmettre tout ou partie des données contenues dans les traitements mis en œuvre. Le responsable de traitement doit ainsi, avant chaque transmission des données, opérer un tri parmi ces dernières. Il lui revient en effet de veiller à ce que seuls les destinataires dûment habilités se voient transmettre des données et que seules les données strictement nécessaires à l'exercice de leur mission, au regard de la nature de la mesure de protection judiciaire, leur soient transmises.
Peuvent ainsi, dans la limite de leurs attributions respectives, être destinataires des données traitées :


- la direction départementale de la cohésion sociale (DDCS) territorialement compétente ;
- les organismes de sécurité sociale et de financement des mandataires judiciaires à la protection des majeurs ;
- les organismes bancaires ;
- de manière ponctuelle, les organismes externes en relation avec les personnes représentées ou assistées s'agissant des données strictement nécessaires aux fins de permettre la poursuite des relations contractuelles, le versement des prestations dues, ainsi que l'accompagnement médico-social des personnes suivies ;
- le juge des tutelles compétent.

Article 5


Sur l'information et les droits des personnes :
Une information claire et complète des personnes concernées par une mesure de sauvegarde de justice, de curatelle, de tutelle ou d'accompagnement judiciaire doit être réalisée, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée.
L'information délivrée peut intervenir par le biais de mentions légales sur les notices d'information remises par le responsable de traitement aux personnes concernées lors de l'ouverture de ladite mesure ou par voie d'affichage. Elle doit être délivrée selon des modalités adaptées à l'état de la personne faisant l'objet d'une mesure de protection et peut, à cet égard, notamment s'accompagner de pictogrammes spécifiques.
Par ailleurs, la commission estime que les personnes concernées doivent être informées de la possibilité de refuser la transmission de certaines données et informations à des tiers dès lors qu'elles n'apparaissent pas strictement nécessaires à l'exercice du mandat confié.
Sauf décision contraire du juge, les droits d'opposition pour motifs légitimes, d'accès et de rectification des données, prévus par les articles 38 et 40 de la loi du 6 janvier 1978 modifiée, s'exercent directement auprès du responsable de traitement.

Article 6


Sur la sécurité des données et la traçabilité des actions :
Le responsable d'un traitement de données à caractère personnel est tenu, en application de l'article 34 de la loi du 6 janvier 1978 modifiée, de prendre toutes les garanties utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher que des tiers non autorisés y aient accès.
Des mesures de protection physique et logique doivent être prises pour préserver la sécurité des informations enregistrées dans les traitements mis en œuvre et empêcher toute utilisation détournée ou frauduleuse de celles-ci, notamment par des tiers non autorisés.
Les accès aux traitements de données mis en œuvre nécessitent une authentification des personnes accédant aux données, au moyen d'un identifiant et d'un mot de passe individuels, suffisamment robustes et régulièrement renouvelés, ou par tout autre moyen d'authentification de même fiabilité, conformément aux recommandations de la commission en la matière.
Des profils d'habilitation définissent les données et les fonctionnalités accessibles en fonction des utilisateurs. Le responsable de traitement doit s'assurer qu'un mécanisme de gestion des habilitations est mis en œuvre et régulièrement mis à jour pour garantir que les personnes habilitées n'ont accès qu'aux seules données effectivement nécessaires à la réalisation de leurs missions. Il doit définir et formaliser une procédure permettant de garantir la bonne mise à jour des habilitations.
Les échanges de données à caractère personnel qui s'effectuent via un canal de communication non sécurisé, par exemple Internet, doivent s'accompagner de mesures adéquates permettant de garantir la confidentialité des données échangées, telles qu'un chiffrement des données. En tout état de cause, ces échanges ne peuvent intervenir que dans le cadre des finalités prévues à l'article 1er de la présente autorisation.
Une journalisation des connexions et l'exploitation de ces journaux sont mises en place. Sauf à justifier de particularités ou de dispositions légales expresses, la durée de conservation des traces doit être de six mois.
Les interventions de maintenance doivent être enregistrées dans une main courante et les opérations de télémaintenance doivent reposer sur l'utilisation d'un moyen d'authentification de fiabilité suffisante.
Le responsable de traitement s'engage à respecter ces mesures de sécurité afin de répondre à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Article 7


Sur les modalités de publication :
La présente délibération sera publiée au Journal officiel de la République française.


La présidente,

I. Falque-Pierrotin