La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 8-I-2°.b) ;
Après avoir entendu le rapport de M. Philippe GOSSELIN, commissaire, et les observations de M. Damien MILIC, commissaire adjoint du Gouvernement,
Adopte un référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de la protection de l'enfance et des jeunes majeurs de moins de vingt-et-un-ans et figurant en annexe.
ANNEXE
RÉFÉRENTIEL RELATIF AUX TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL MIS EN ŒUVRE DANS LE CADRE DE LA PROTECTION DE L'ENFANCE ET DES JEUNES MAJEURS DE MOINS DE VINGT-ET-UN ANS
Adopté le 20 janvier 2022
1. A qui s'adresse ce référentiel ?
1/ Ce référentiel s'adresse aux organismes privés ou publics quelle que soit leur forme juridique, ci-après « les organismes », qui accueillent, hébergent et/ou accompagnent sur le plan social, médico-social, éducatif et/ou judiciaire les mineurs et majeurs de moins de vingt et un ans (voire vingt-cinq ans pour les jeunes nécessitant une protection particulière), ci-après « jeune(s) majeur(s) » ainsi que, le cas échéant, leurs familles.
Le présent référentiel est susceptible d'intéresser les organismes suivants (liste non exhaustive) :
- l'aide sociale à l'enfance (ASE) des départements ;
- les cellules de recueil, de traitement et d'évaluation des informations préoccupantes (CRIP) des départements ;
- les missions locales ;
- les maisons d'enfants à caractère social (MECS) ;
- les centres de placement familial socio-éducatif (CPFSE) ;
- les foyers de l'enfance ;
- les crèches ;
- les services de protection maternelle et infantile des conseils départementaux ;
- les pouponnières à caractère social ;
- les centres d'action médico-sociale précoce (CAMSP) ;
- les établissements d'accueil mère-enfant (EAME) ;
- les services d'aide et d'accompagnement à domicile (SAAD) pour les familles en difficulté ;
- les établissements ou services publics ou privés mettant en œuvre les mesures éducatives ordonnées par l'autorité judiciaire ou des articles 375 à 375-8 du code civil ou concernant des majeurs de moins de vingt et un ans ou les mesures d'investigation préalables aux mesures d'assistance éducative prévues au code de procédure civile ;
- les services de la prévention spécialisée ;
- les services délégués aux prestations familiales ;
- les services d'enquêtes sociales (SES) ;
- les services d'investigation et d'orientation éducative (SIOE) ;
- les services d'investigation éducative (SIE) ;
- les foyers de jeunes travailleurs (FJT) ;
- de manière générale, l'ensemble des associations de droit privé créées sous la loi de 1901 ayant pour mission l'accueil, l'hébergement, l'accompagnement et le suivi social, médico-social, éducatif et/ou judiciaire des mineurs et jeunes majeurs de moins de vingt et un ans ainsi que, le cas échéant, de leur famille ;
- les organismes chargés de la gestion d'un régime de base de la sécurité sociale légalement obligatoire ou du service des allocations, prestations et aides mentionnées dans le code de la sécurité sociale ou du code de l'action sociale et des familles.
2/ Dans ce contexte, ces organismes sont amenés à mettre en œuvre des traitements automatisés en tout ou en partie ainsi que des traitements non automatisés de données à caractère personnel en tant que responsable de traitement, ce qui les soumet au respect des règles relatives à la protection des données.
3/ Les organismes mettant en œuvre des traitements dans ce cadre doivent s'assurer de leur conformité :
- aux dispositions du règlement général sur la protection des données (RGPD) ainsi qu'à celles de la loi du 6 janvier 1978 modifiée (LIL) ;
- aux autres règles éventuellement applicables, conformément à la réglementation en vigueur, notamment le code de l'action sociale et des familles (CASF), le code de la santé publique (CSP), le code de procédure pénale (CPP), le code civil et le code des archives publiques.
4/ Sont exclus du champ d'application du référentiel, en raison de leurs spécificités, les traitements mis en œuvre par les départements dans le cadre des procédures d'adoption.
2. Portée du référentiel
5/ Ce référentiel porte sur les traitements de données à caractère personnel mis en œuvre couramment par les organismes dans le cadre de l'accompagnement social, médico-social, éducatif et/ou judiciaire qu'ils fournissent aux mineurs et majeurs de moins de vingt et un ans (voire vingt-cinq ans pour les jeunes nécessitant une protection particulière) ainsi que, le cas échéant, à leurs familles.
6/ Il a pour objectif de fournir aux organismes mettant en œuvre de tels traitements un outil d'aide à la mise en conformité à la réglementation relative à la protection des données à caractère personnel.
7/ Les traitements mis en œuvre par les organismes dans le cadre de l'accompagnement social, médico-social, éducatif et/ou judiciaire doivent être inscrits dans le registre prévu à l'article 30 du RGPD (voir modèle de registre).
8/ Ce référentiel n'a pas de valeur contraignante. Il permet en principe d'assurer la conformité des traitements de données mis en œuvre par les organismes aux principes relatifs à la protection des données, dans un contexte d'évolution des pratiques à l'ère du numérique.
9/ Les organismes qui souhaiteraient s'écarter du référentiel au regard des conditions particulières tenant à leur situation peuvent le faire.
10/ Il leur appartient néanmoins de justifier de l'existence d'un tel besoin et des mesures mises en œuvre afin de garantir la conformité des traitements à la réglementation en matière de protection des données à caractère personnel notamment lors d'un contrôle réalisé par les services de la CNIL.
11/ Il appartient, en tout état de cause, aux acteurs concernés de s'assurer qu'ils respectent les autres réglementations qui peuvent par ailleurs trouver à s'appliquer (p. ex. : CASF, CSP, CPP).
12/ Ce référentiel constitue également une aide à la réalisation d'une analyse d'impact relative à la protection des données (AIPD).
13/ Les organismes peuvent également se reporter aux outils méthodologiques proposés par la CNIL sur son site web en vue de faciliter la mise en conformité des traitements mis en œuvre. Ils seront ainsi à même de définir les mesures permettant d'assurer la nécessité et la proportionnalité de leurs traitements (points 3 à 7), de garantir les droits des personnes (points 8 et 9) et la maîtrise de leurs risques (point 10). L'organisme pourra également s'appuyer sur les lignes directrices de la CNIL sur les AIPD. Si l'organisme en a désigné un, le délégué à la protection des données (DPD/DPO) devra être consulté.
3. Objectifs poursuivis par les traitements (finalités)
14/ Les traitements mis en œuvre doivent répondre à un objectif précis et être justifiés au regard des missions et des activités des organismes.
15/ Les traitements relatifs à l'accueil, l'hébergement et/ou l'accompagnement sur le plan social, médico-social, éducatif et/ou judiciaire des mineurs et jeunes majeurs ainsi que, le cas échéant, de leurs familles peuvent notamment être mis en œuvre afin :
a) De fournir les prestations définies dans le cadre d'un contrat/projet conclu entre l'organisme et le représentant légal du mineur ou entre le jeune majeur et/ou son représentant légal et, le cas échéant, d'assurer la gestion du dossier administratif de la personne concernée (gestion des rendez-vous médicaux et/ou sociaux, gestion des visites familiales, etc.) ;
Exemples (liste non exhaustive) :
- le contrat jeune majeur (CJM) conclu avec les services de l'ASE des départements ;
- le contrat d'occupation conclu entre le mineur ou jeune majeur et le gestionnaire d'un foyer de jeunes travailleurs (FJT) ;
- le projet pour l'enfant établi entre les services départementaux et les titulaires de l'autorité parentale prévu par les dispositions de l'article L. 223-1-1 du CASF ;
- le contrat de séjour ;
- le document individuel de prise en charge (DIPEC).
b) D'offrir un accompagnement social, socio-éducatif, judiciaire et médico-social adapté aux difficultés rencontrées par le mineur ou jeune majeur et, le cas échéant, sa famille, notamment dans le cadre de l'élaboration et la mise en œuvre d'un projet personnalisé (article L. 311-3 du CASF), d'un suivi dans l'accès aux droits (p. ex. : assistance dans les démarches à effectuer) et, le cas échéant, d'une orientation vers des structures compétentes ;
Exemples (liste non exhaustive) :
- assurer la mise en place et le suivi de mesures d'assistance judiciaire ;
- mettre en place les actions de prévention, de protection, de médiation familiale et de soutien à la parentalité ;
- mettre en place les actions et les parcours d'intégration/d'insertion sociale et professionnelle ;
- gérer les demandes de places en établissement/foyer ;
- assurer la mise en place et le suivi des actes ayant pour objet l'éducation des mineurs ou des jeunes majeurs (scolarisation, formation) ;
- accompagner le jeune majeur dans le cadre de la procédure d'accès à un titre de séjour et, le cas échéant, de demande d'asile (traduction, information et accompagnement quant aux recours existants en cas de refus de la demande, etc.).
c) D'échanger et de partager les informations strictement nécessaires, dans le respect des dispositions de l'article L. 1110-4 du CSP et des dispositions du CASF, permettant de garantir la coordination et la continuité de l'accompagnement et du suivi des personnes entre les intervenants sociaux, médicaux et paramédicaux ;
d) D'instruire, de gérer et, le cas échéant, de verser les prestations sociales légales ou facultatives ;
Exemples (liste non exhaustive) :
- l'aide au permis de conduire ;
- la garantie jeunes ;
- le RSA jeune actif ;
- le fonds d'aide aux jeunes (FAJ) ;
- l'aide à domicile ;
- l'allocation de soutien familial (ASF) ;
- la prestation d'accueil du jeune enfant (PAJE) ;
- l'allocation pour les parents isolés (API).
e) D'assurer l'évaluation de la situation de la minorité de la personne concernée par les services de l'ASE des départements conformément aux dispositions des articles L. 112-3 alinéa 5 et R. 221-11 du CASF ;
f) De gérer le recueil, le traitement et l'évaluation des informations préoccupantes relatives à l'enfance en danger par les CRIP des départements conformément aux dispositions des articles L. 226-1 et suivants du CASF, et le cas échéant d'assurer la transmission :
- des informations vers l'Observatoire national de l'enfance en danger (ONPE) ainsi que les observatoires départementaux de la protection de l'enfance (ODPE) conformément aux dispositions des articles L. 226-3-3 du CASF ;
- des informations relatives à un mineur et à sa famille entre départements quand ce mineur a fait l'objet par le passé, au titre de la protection de l'enfance, d'une information préoccupante, d'un signalement ou d'une prise en charge dans un autre département que celui dans lequel il réside, conformément aux dispositions de l'article L. 221-3 du CASF.
g) D'instruire et de gérer les demandes, les renouvellements, les suspensions et, le cas échéant, les retraits d'agrément des assistants familiaux et maternels, conformément aux dispositions de l'article L. 421-3 du CASF ;
h) D'instruire et d'assurer le suivi de l'accueil durable et bénévole par un tiers d'un enfant pris en charge par le service de l'aide sociale à l'enfance conformément aux dispositions du décret n° 2016-1352 du 10 octobre 2016 relatif à l'accueil durable et bénévole d'un enfant par un tiers prévu à l'article L. 221-2-1 du CASF ;
i) D'assurer la surveillance et le contrôle des établissements et services d'accueil de mineurs conformément aux dispositions de l'article L. 227-4 du CASF et L. 2324-1 du CSP, s'agissant des enfants de moins de six ans ;
j) D'assurer la gestion administrative (nombre de places disponibles, capacité d'accueil de l'établissement etc.), financière et comptable de l'établissement, du service ou de l'organisme ;
Attention : s'agissant de la gestion administrative du personnel, les organismes peuvent utilement se référer au référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel disponible sur le site de la Commission.
k) D'établir des statistiques, des études internes et des enquêtes de satisfaction aux fins d'évaluation de la qualité des activités et des prestations et des besoins à couvrir.
Attention : dès lors que ces statistiques, études et évaluations entrent dans le champ des recherches, études et évaluations dans le domaine de la santé, les traitements constitués devront respecter les dispositions des articles 72 et suivants de la loi « Informatique et Libertés ».
16/ Les informations recueillies pour l'une de ces finalités ne peuvent pas en principe être réutilisées pour poursuivre un objectif qui serait incompatible avec la finalité initiale. Tout nouvel usage des données doit en effet respecter les principes de protection des données à caractère personnel, en particulier le principe de finalité des traitements (par exemple, les traitements mis en œuvre pour les finalités énoncées ci-dessus ne doivent pas donner lieu à des interconnexions ou échanges autres que ceux nécessaires à l'accomplissement de celles-ci).
4. Bases légales du traitement
17/ Chaque finalité du traitement doit reposer sur l'une des bases légales fixées par la réglementation (article 6.1 du RGPD). (voir, pour une explicitation de la règle : La licéité du traitement : l'essentiel sur les bases légales prévues par le RGPD).
18/ Il appartient au responsable de traitement de déterminer la ou les bases légales adéquates avant toute opération de traitement, après avoir mené une réflexion, qu'il pourra documenter, au regard de sa situation spécifique et du contexte de mise en œuvre du traitement. Ayant un impact sur l'exercice de certains droits prévus par le RGPD, ces bases légales font partie des informations qui doivent être portées à la connaissance des personnes concernées.
19/ Le tableau reproduit ci-dessous vise à apporter aux responsables de traitement une aide pour identifier les bases légales susceptibles d'être utilisées dans les cas les plus courants.
20/ Ces éléments doivent être adaptés à la situation spécifique de chaque organisme concerné. Ainsi, par exemple, selon que l'organisme en question relève du secteur privé ou public, certains traitements répondant pourtant à une même finalité (par exemple, ceux liés à l'instruction, la gestion et, le cas échéant, au versement des aides facultatives) peuvent être fondés sur des bases légales différentes (par exemple, intérêt légitime dans le secteur privé, exécution d'une mission d'intérêt public dans le secteur public).
Attention : dans le cadre de l'accompagnement social et/ou médico-social, la Commission appelle l'attention des organismes sur la nécessité de faire preuve de la plus grande prudence dans l'usage du consentement comme base légale de leurs traitements de données personnelles au regard notamment du déséquilibre existant entre les organismes et les personnes concernées.
De manière générale, lorsque cette base légale est retenue, le responsable de traitement doit veiller au respect des conditions de recueil du consentement et plus particulièrement au caractère libre, spécifique, éclairé et univoque du consentement.
En outre, il est rappelé que le jeune majeur ou le représentant légal du mineur qui fournit son consentement peut à tout moment le retirer, mettant fin à la possibilité de traiter les données le concernant pour l'avenir.
Finalités
Bases légales envisageables
(sous réserve de choix différents justifiés
par un contexte spécifique qu'il est recommandé de documenter)
Fournir les prestations définies entre l'organisme et le représentant légal du mineur ou le jeune majeur et, le cas échéant, assurer la gestion du dossier administratif de la personne concernée
Organismes publics ou personnes morales de droit privé gérant un service public
Exécution du contrat ou mission d'intérêt public
Autres organismes privés
Exécution du contrat ou intérêts légitimes dès lors que le traitement mis en œuvre excède ce qui est nécessaire au contrat
Offrir un accompagnement social, judiciaire, socio-éducatif et médico-social adapté aux difficultés rencontrées par le mineur ou jeune majeur et, le cas échéant, sa famille, notamment dans le cadre de l'élaboration et la mise en œuvre d'un projet personnalisé, d'un suivi dans l'accès aux droits et, le cas échéant, d'une orientation vers des structures compétentes
Organismes publics ou personnes morales de droit privé gérant un service public
Mission d'intérêt public
Autres organismes privés
Intérêts légitimes
Echanger et partager les informations strictement nécessaires permettant de garantir la coordination et la continuité de l'accompagnement et du suivi des personnes entre les intervenants sociaux, médicaux et paramédicaux
Organismes publics ou personnes morales de droit privé gérant un service public
Mission d'intérêt public
Autres organismes privés
Intérêts légitimes
Instruire, gérer et, le cas échéant, verser les prestations sociales légales ou facultatives
Aides légales
Mission d'intérêt public
Aides facultatives
Organismes publics ou personnes morales de droit privé gérant un service public
Mission d'intérêt public
Autres organismes privés
Intérêts légitimes
Assurer l'évaluation de la situation de la minorité de la personne concernée par les services de l'ASE
Obligation légale conformément aux dispositions de l'arrêté du 17 novembre 2016 pris en application du décret n° 2016-840 du 24 juin 2016 relatif aux modalités de l'évaluation des mineurs privés temporairement ou définitivement de la protection de leur famille
Gérer le recueil, le traitement et l'évaluation des informations préoccupantes relatives à l'enfance en danger sous forme nominative par les CRIP des départements et, le cas échéant, d'assurer la transmission des informations vers l'ONPE et l'ODPE entre départements
Gérer le recueil, le traitement et l'évaluation des informations préoccupantes relatives à l'enfance en danger
Mission d'intérêt public
Assurer la transmission des informations vers l'ONPE, l'ODPE et entre départements
Obligation légale conformément aux dispositions des articles L. 226-3-3 et L. 221-3 du CASF
Instruire et gérer les demandes et renouvellements, retraits et suspensions des agréments des assistants familiaux et maternels
Obligation légale conformément aux dispositions du décret n° 2012-364 du 15 mars 2012 relatif au référentiel fixant les critères d'agrément des assistants maternels et du décret n° 2014-918 du 18 août 2014 relatif au référentiel fixant les critères d'agrément des assistants familiaux.
Instruire et assurer le suivi de l'accueil durable et bénévole par un tiers d'un enfant pris en charge par le service de l'aide sociale à l'enfance
Mission d'intérêt public
Assurer la surveillance et le contrôle des établissements et services d'accueil de mineurs
Mission d'intérêt public
Gestion administrative, financière et comptable de l'établissement, du service ou de l'organisme
Organismes publics ou personnes morales de droit privé gérant un service public
Obligation légale (ex. : le décret n° 2012-1246 du 7 novembre 2012 relatif à la gestion budgétaire et comptable publique)
Autres organismes privés
Obligation légale (ex. : le règlement n° 2018-06 du 5 décembre 2018 relatif aux comptes annuels des personnes morales de droit privé à but non lucratif)
Etablir des statistiques, des études internes et des enquêtes de satisfaction aux fins d'évaluation des activités, de la qualité des prestations et des besoins à couvrir
Organismes publics ou personnes morales de droit privé gérant un service public
Obligation légale ou mission d'intérêt public
Autres organismes privés
Obligation légale ou intérêts légitimes
5. Données à caractère personnel concernées
5.1. Principes de pertinence et de minimisation des données
21/ En vertu du principe de « minimisation » des données, le responsable de traitement doit veiller à ce que seules les données strictement nécessaires à la poursuite des finalités du traitement soient effectivement collectées et traitées. Sont en principe considérées comme pertinentes, pour des finalités rappelées ci-dessus, les catégories de données suivantes relatives :
a) A l'identification des mineurs et jeunes majeurs, le cas échéant, de leurs représentants légaux ;
b) A la vie personnelle ;
c) Au parcours professionnel et de formation dans le cadre de l'aide à l'insertion professionnelle des personnes ;
d) Aux conditions de vie matérielle ;
e) A la couverture sociale ;
f) Aux coordonnées bancaires, dans la mesure où ces informations sont nécessaires au versement d'une prestation ;
g) A l'évaluation sociale et médico-sociale de la personne concernée ;
h) A l'évaluation de la situation de minorité ;
i) A l'enfance en danger et aux informations préoccupantes ;
j) Au type d'accompagnement et aux actions mis en œuvre ;
k) A l'identification des personnes concourant à la prise en charge sociale et médico-sociale et à l'entourage susceptible d'être contacté ;
l) A la gestion des demandes et renouvellements, retraits et suspensions d'agrément des assistants maternels et familiaux ;
m) A l'instruction et au suivi de l'accueil durable et bénévole par un tiers d'un enfant pris en charge par le service de l'aide sociale à l'enfance.
22/ De manière générale, le responsable de traitement ne doit collecter que les données dont il a réellement besoin et ne doit le faire qu'à partir du moment où ce besoin se concrétise (pour une illustration, voir le tableau ci-dessous au point 25).
5.2. Le traitement du numéro de sécurité sociale (NIR), des données sensibles et des données relatives aux condamnations pénales et aux infractions
23/ Certaines catégories de données appellent une vigilance renforcée en raison de leur caractère particulièrement sensible. Bénéficiant d'une protection spécifique, elles ne peuvent être collectées et traitées que dans des conditions strictement définies par les textes. Il s'agit :
- du NIR, qui fait l'objet d'une réglementation spécifique et ne peut, être enregistré dans le traitement que dans le cadre des échanges avec les professionnels de santé ou les organismes de sécurité sociale, de prévoyance. A cet égard, le décret en Conseil d'Etat n° 2019-341 du 19 avril 2019, pris après avis de la CNIL, détermine les catégories de responsables de traitement et les finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre lorsqu'ils portent sur des données comportant le NIR (voir aussi « Tout savoir sur le décret « cadre NIR » dans le champ de la protection sociale ») ;
- de l'identifiant national de santé ou INS (articles L. 1111-8-1 et R. 1111-8-1 et suivants du code de la santé publique) qui ne peut être utilisé que pour répertorier et retrouver les données de santé et les données administratives rattachées à une personne bénéficiant ou appelée à bénéficier d'une prise en charge sanitaire ou médico-sociale. L'INS ne peut être utilisé que par les professionnels, les établissements, services ou organismes participant à la prévention ou aux soins dont les conditions d'exercice ou les activités sont régies par le CSP (professionnels de santé libéraux, établissements de santé, etc.), par les professionnels du secteur social et médico-social, par les établissements ou services sociaux ou médico-sociaux ou par les professionnels constituant une équipe de soins au sens de l'article L. 1110-12 du CSP et intervenant dans la prise en charge sanitaire ou médico-sociale de l'usager ;
- des données relatives aux infractions, condamnations pénales et mesures de sûreté connexes qui ne peuvent être traitées que dans certains cas et dans le respect des dispositions légales relatives aux données d'infractions (art. 46 de la LIL) ;
Par exemple, les organismes suivants sont autorisés à collecter des données relatives aux infractions, condamnations pénales et mesures de sûreté dans le cadre de leur mission de service public (liste non exhaustive) :
- les CRIP des conseils départementaux, dans le cadre des informations préoccupantes relatives à l'enfance en danger ;
- les conseils départementaux dans le cadre des demandes et renouvellements des agréments des assistants maternels et familiaux (casier judiciaire du bulletin n° 2) ;
- les conseils départementaux dans le cadre de l'instruction et du suivi des accueils durables et bénévoles d'un enfant par un tiers ;
- les institutions ou les établissements publics ou privés, d'éducation ou de formation professionnelle, habilités et les internats appropriés aux mineurs délinquants d'âge scolaire mentionnés aux articles 15 et 16 de l'ordonnance n° 45-174 du 2 février 1945 relative à l'enfance délinquante ;
- les établissements médicaux ou médico-pédagogiques habilités mentionnés aux articles 15 et 16 de l'ordonnance susvisée ;
- les établissements ou services mettant en œuvre les mesures éducatives ordonnées par l'autorité judiciaire en application de l'ordonnance n° 45-174 du 2 février 1945 relative à l'enfance délinquante ou des articles 375 à 375-8 du code civil ou concernant des majeurs de moins de vingt-et-un ans ou les mesures d'investigation préalables aux mesures d'assistance éducative prévues au code de procédure civile et par l'ordonnance susvisée.
- des données dites « sensibles », qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, les données génétiques, les données biométriques, les données concernant la santé ou celles concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. Ces données ne peuvent pas être collectées, sauf exception prévue par les textes.
Attention :
En raison de l'extrême sensibilité de ces données, la Commission rappelle que celles-ci doivent être collectées et traitées avec la plus grande précaution. Elles ne peuvent être collectées que si elles sont strictement nécessaires à l'accompagnement social, socio-éducatif, médico-social et judiciaire et entrent dans les missions de l'organisme. En outre leur traitement doit être entouré de garanties : mesures de sécurité renforcées, sensibilisation du personnel au traitement de ces données ; mesures d'habilitations strictes ; impossibilité de faire des recherches spécifiquement à partir de requêtes portant sur ces données, etc.
Exemple n° 1 :
Peuvent être collectées des données relatives à la santé, sous réserve que ces données soient collectées aux fins :
- d'administration de soins, de traitements, de diagnostics médicaux, de médecine préventive ou de gestion des services de santé (article 44 de la loi Informatique et Libertés). Les traitements au sein desquels ces données sont intégrées doivent être mis en œuvre par un membre d'une profession de santé ou par une autre personne à laquelle s'impose, en raison de ses fonctions, l'obligation de secret professionnel dont l'atteinte est réprimée par l'article 226-13 du code pénal ;
- ou de délivrance d'une prestation sociale destinée à l'enfant/jeune majeur/jeune(s) parent(s)/future mère, prévue par un texte législatif ou réglementaire, sous réserve que ces informations soient strictement nécessaires à la délivrance de ladite prestation (article 9.2.h du RGPD) (p. ex. : dans le cadre de la délivrance d'une aide à domicile, les informations relatives à la santé du demandeur peuvent être collectées par le conseil départemental conformément aux dispositions des articles L. 222-1 et suivants du CASF) ;
- ou d'instruction des demandes et renouvellements des agréments des assistants maternels et familiaux, conformément aux dispositions du décret n° 2012-364 du 15 mars 2012 relatif au référentiel fixant les critères d'agrément des assistants maternels et du décret n° 2014-918 du 18 août 2014 relatif au référentiel fixant les critères d'agrément des assistants familiaux.
Lorsque la collecte de données relatives à la santé est nécessaire à l'accompagnement social réalisé mais ne s'inscrit pas au sein de l'une des trois situations susvisées, celle-ci peut être exceptionnellement réalisée après recueil du consentement du jeune majeur ou du représentant légal du mineur (p. ex. : une aide-ménagère ou une technicien/technicienne de l'intervention sociale et familiale peut recevoir communication de l'état de santé d'une personne dès lors que ces informations sont nécessaires à l'accompagnement social réalisé à domicile ; le personnel d'une structure accueillant le mineur ou jeune majeur peut avoir connaissance de toutes informations utiles concernant la santé de l'enfant pendant son séjour tels que les traitements médicaux à suivre, les maladies contractées, les allergies, les éventuelles difficultés de santé, les précautions à prendre, les vaccinations). A cet égard, le responsable de traitement doit veiller au respect des conditions de recueil du consentement et plus particulièrement au caractère libre, spécifique, éclairé et univoque du consentement.
Exemple n° 2 :
Dans le cadre de l'évaluation de la situation de la minorité, les informations qui révèlent la prétendue origine raciale ou l'origine ethnique ou encore les convictions religieuses des personnes concernées peuvent être collectées par les conseils départementaux dès lors que ces informations sont nécessaires à l'évaluation sociale réalisée par les services de l'ASE et, notamment, à l'exposé des motifs de départ du pays d'origine, conformément aux dispositions de l'arrêté du 20 novembre 2019 pris en application de l'article R. 221-11 du CASF relatif aux modalités de l'évaluation des personnes se présentant comme mineures et privées temporairement ou définitivement de la protection de leur famille.
Exemple n° 3 :
Dans le cadre de l'organisation des repas au sein des foyers, peuvent également être collectées les données relatives aux convictions religieuses sous réserve (conditions cumulatives) :
- d'être collectées auprès du jeune majeur ou du représentant légal du mineur, après recueil du consentement exprès. De la même manière, le responsable de traitement doit veiller au respect des conditions de recueil du consentement et plus particulièrement du caractère libre, spécifique, éclairé et univoque du consentement ;
- d'être strictement nécessaires à l'accompagnement social et/ou médico-social réalisé.
24/ Il convient de distinguer le consentement en tant qu'exception prévue par le RGPD autorisant la collecte de données sensibles, du consentement en tant que base légale ou base juridique qui autorise légalement la mise en œuvre du traitement.
Exemple :
Dans le cadre de l'accompagnement social et médico-social des mineurs ou jeunes majeurs, des données sensibles, notamment les convictions religieuses (cf. exemple n° 3), ou encore des données qui révèlent la prétendue origine raciale ou l'origine ethnique sont susceptibles d'être traitées par le responsable de traitement.
Par conséquent, si la base légale du traitement repose sur l'intérêt légitime ou la mission d'intérêt public, le consentement spécifique du représentant légal ou du jeune majeur devra être recueilli pour pouvoir traiter ces informations.
25/ Le tableau reproduit ci-dessous fournit des illustrations des données que la CNIL considère comme étant en principe adaptées selon les finalités du traitement.
Catégories de données
Exemples de données
À l'identification des mineurs et jeunes majeurs et, le cas échéant, de leurs représentants légaux
Nom, prénom, sexe, adresse postale et de courriel, numéro de téléphone, date et lieu de naissance, photographie.
La photographie ne doit être collectée que lorsque cela est strictement nécessaire au regard de l'objectif poursuivi (p. ex. : pour s'assurer de la prise en charge du bon mineur ou encore pour retrouver le pensionnaire d'un foyer qui s'est soustrait à la vigilance du personnel).
Attention : le président du conseil départemental peut solliciter le concours de l'État dans le cadre de la réalisation de la procédure d'évaluation de la minorité et dans ce cadre, les services habilités au sein du conseil départemental en charge de l'évaluation peuvent notamment être destinataires de l'image numérisée de la personne concernée, conformément aux dispositions de l'article R. 221-15-4 du CASF.
Numéro d'identification de rattachement à un organisme : numéro d'adhérent ou d'allocataire.
NIR, dans les conditions fixées par le décret n° 2019-341 du 19 avril 2019.
Nationalité du bénéficiaire sous la forme « Français/UE/hors UE ». La nationalité précise de la personne concernée peut également être collectée dès lors que ces informations sont strictement nécessaires :
- à l'évaluation de la situation de la minorité du MNA par les conseils départementaux ;
- au placement du mineur ou du jeune majeur et notamment afin d'éviter les risques associés à d'éventuelles violences ;
- à l'accompagnement du jeune majeur dans le cadre de sa demande de titre de séjour et/ou demande d'asile.
Les documents prouvant la régularité du séjour en France de la personne concernée dès lors que le bénéfice de l'aide ou de la prestation sociale est soumis à une condition de régularité du séjour.
À la vie personnelle
Situation et composition familiale du foyer, le cas échéant, l'identification d'enfants pris en charge dans le cadre de la protection de l'enfance, centres d'intérêts, langue(s) parlée(s) dans la mesure où cette information est indispensable pour mentionner le besoin d'interprètes.
Dans le cadre de la prestation sociale relative à l'aide à domicile, des informations relatives aux habitudes de vie strictement nécessaires à l'organisation de la vie quotidienne peuvent être collectées par les techniciens de l'intervention sociale et familiale (p. ex. : habitudes alimentaires, activité physique, toilette quotidienne).
Des données dites « sensibles », qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques, les données concernant la santé ou celles concernant la vie sexuelle ou l'orientation sexuelle du mineur ou jeune majeur sont susceptibles d'être collectées dès lors qu'elles sont strictement nécessaires à l'accompagnement social, médico-social, socio-éducatif et judiciaire.
ATTENTION :
En raison de l'extrême sensibilité de ces données, la Commission rappelle que celles-ci doivent être collectées et traitées avec la plus grande précaution. Elles ne peuvent être collectées que si elles sont strictement nécessaires à l'accompagnement social, socio-éducatif, médico-social et judiciaire et entrent dans les missions de l'organisme. En outre leur traitement doit être entouré de garanties : mesures de sécurité renforcées, sensibilisation du personnel au traitement de ces données ; mesures d'habilitations strictes ; impossibilité de faire des recherches spécifiquement à partir de requêtes portant sur ces données ; etc.
Au parcours scolaire, de formation et professionnel dans le cadre de l'aide à l'insertion scolaire et/ou professionnelle des personnes
Scolarité (bulletins scolaires, nom de l'établissement, compte rendu de l'équipe éducative, etc.), situation au regard de l'emploi (organisme employeur, contrat de travail ou d'apprentissage, etc.), de la formation et de la qualification.
Aux conditions de vie matérielles
Situation financière : ressources, charges, crédits, dettes.
Prestations et avantages sociaux perçus : nature, montant, quotient familial, numéro d'allocataire.
Situation face au logement et à l'hébergement : type et caractéristiques du logement ou modalités d'hébergement (domicile personnel, familial, sans abri, hébergement de fortune, hébergement mobile, hébergement d'urgence, hébergement d'insertion).
Moyens de mobilité.
À la couverture sociale et assurantielle
Organismes de rattachement et régimes d'affiliation, droits ouverts, complémentaire santé, assurances (responsabilité civile, logement, véhicule, etc.).
Aux coordonnées bancaires dans la mesure où cette information est nécessaire au versement d'une prestation
Relevé d'identité bancaire (RIB).
À l'évaluation sociale et médico-sociale de la personne concernée
Conditions d'éducation et contexte de vie de l'enfant ou du jeune majeur, à l'évaluation des capacités parentales, aux difficultés personnelles qui peuvent concourir à mettre le mineur ou jeune majeur en difficulté ou en danger, aux évènements familiaux impactant la vie du mineur ou du jeune majeur et permettant de comprendre sa situation, à la synthèse des comptes rendus des entretiens avec les personnes concernées, s'il y a lieu, avec les autres intervenants dans l'accompagnement.
À l'évaluation de la situation de minorité
Les catégories d'informations susceptibles d'être collectées par les agents en charge de l'évaluation des services de l'ASE du conseil départemental sont prévues par l'arrêté du 20 novembre 2019 pris en application de l'article R. 221-11 du CASF relatif aux modalités de l'évaluation des personnes se présentant comme mineures et privées temporairement ou définitivement de la protection de leur famille et, plus particulièrement, les catégories relatives à l'état civil, la composition familiale, la présentation des conditions de vie dans le pays d'origine, l'exposé des motifs de départ du pays d'origine et la présentation du parcours migratoire de la personne jusqu'à l'entrée sur le territoire français, les conditions de vie depuis l'arrivée en France et le projet de la personne.
À l'accompagnement dans le cadre de la procédure de demande d'asile
Dans le cadre de l'accompagnement et du suivi social des jeunes majeurs (anciens mineurs non accompagnés), les informations relatives à la demande de titre de séjour et, le cas échéant, à la procédure de demande d'asile sous la forme « dépôt d'une demande d'asile : oui/non » et/ou à la procédure de demande de titre de séjour sous la forme « dépôt d'une demande de titre de séjour oui/non », la nationalité de la personne concernée ainsi que les informations nécessaires à l'élaboration du récit de vie de la personne concernée.
Informations préoccupantes relatives à l'enfance en danger
Les informations susceptibles d'être collectées et traitées par les conseils départementaux sont fixées par le décret n° 2016-1966 du 28 décembre 2016 organisant la transmission d'informations sous forme anonyme aux observatoires départementaux de la protection de l'enfance et à l'Observatoire national de la protection de l'enfance.
Au type d'accompagnement et aux actions mis en œuvre
Domaines d'intervention, historique des mesures d'accompagnement (mesures d'accompagnement social, médico-social, judiciaire, socio-éducative ou encore administrative. Par exemple : les mesures d'assistance éducative prononcées par le juge des enfants, les mesures relatives à l'accompagnement en économie sociale et budgétaire ou encore les mesures judiciaires d'investigation éducative, les mesures de placement, etc.), objectifs, parcours, actions d'insertion prévues, entretien et suivi.
À l'identification des personnes concourant à la prise en charge sociale et médico-sociale et à l'entourage susceptible d'être contacté
Nom, prénom, qualité, organisme d'appartenance, numéro de téléphone de l'organisme, adresse postale, courriel, numéro de téléphone des aidants professionnels ou familiaux (le cas échéant, le lien familial : grands parents, tante/oncle, frère/sœur, etc.), du médecin traitant, des médecins experts, du travailleur social, etc.
À la gestion des demandes et renouvellements, retraits et suspensions des agréments des assistants maternels et familiaux
Les informations susceptibles d'être collectées et traitées par les départements dans le cadre des demandes et renouvellements des agréments des assistants maternels sont fixées par l'arrêté du 18 octobre 2016 fixant le modèle de formulaire en vue de l'agrément des assistants maternels et la composition du dossier de demande d'agrément.
Celles susceptibles d'être collectées et traitées par les départements dans le cadre des demandes et renouvellements d'agrément des assistants familiaux sont fixées par l'arrêté du 3 février 2017 fixant le modèle de formulaire en vue de l'agrément d'assistant familial et la composition du dossier de demande d'agrément.
Dans le cadre de la suspension et/ou du retrait de l'agrément, toutes les informations susceptibles de justifier ladite suspension ou le dit retrait.
A l'instruction et au suivi de l'accueil durable et bénévole par un tiers d'un enfant pris en charge par le service de l'aide sociale à l'enfance
Les informations susceptibles d'être collectées sont prévues par les dispositions du décret n° 2016-1352 du 10 octobre 2016 relatif à l'accueil durable et bénévole d'un enfant par un tiers prévu à l'article L. 221-2-1 du CASF.
26/ Après s'être assuré de la pertinence et de la proportionnalité des données à caractère personnel qu'il traite, l'organisme doit par ailleurs s'assurer, tout au long de la durée de vie du traitement, de la qualité de ces données qui doivent être exactes, mises à jour et toujours nécessaires à l'objectif poursuivi.
6. Destinataires des données et accès aux informations
27/ Les données à caractère personnel ne peuvent être rendues accessibles qu'aux seules personnes habilitées à en connaitre au regard de leurs attributions.
28/ D'une manière générale, les habilitations d'accès doivent être documentées par les organismes, et les accès aux différents traitements doivent faire l'objet de mesures de traçabilité. Voir point 10 relatif à la sécurité.
Sauf cas particuliers, le partage des informations collectées devrait notamment respecter les principes suivants :
- les informations échangées ne doivent servir qu'à évaluer la situation de la personne ou de la famille concernée afin de déterminer les actions à mettre en œuvre ;
- ces échanges d'informations doivent en outre être strictement limités à l'accomplissement des missions de l'organisme ou du service mettant en œuvre le traitement ;
- ils ne peuvent pas porter sur l'ensemble des informations dont les intervenants sont dépositaires mais doivent être limités à celles nécessaires à l'accompagnement et au suivi des personnes, dans le respect de leur vie privée ;
- les échanges doivent être réalisés dans les conditions fixées par les textes législatifs et réglementaires.
6.1. Les personnes accédant aux données pour le compte du responsable de traitement
29/ Seules les personnes habilitées au titre de leurs missions ou de leurs fonctions peuvent accéder aux données à caractère personnel traitées, et ce dans la stricte limite de leurs attributions respectives et de l'accomplissement de ces missions et fonctions.
30/ Il peut s'agir, par exemple, des professionnels et de tout membre du personnel du même établissement, du même service concourant à une ou plusieurs des finalités susvisées, dans la limite de leurs attributions respectives et des règles encadrant le partage et l'échange d'informations conformément aux dispositions des articles L. 1110-4 du CSP et L. 226-2-2 du CASF (p. ex. : les agents habilités au sein des CRIP des départements peuvent accéder aux informations relatives aux informations préoccupantes dans le cadre de l'enfance en danger ; les agents habilités qui exercent la mission de l'aide sociale à l'enfance au sein des départements ; les services en charge de l'instruction des demandes d'agréments des assistants maternels et familiaux au sein des départements).
6.2. Les destinataires des données
31/ Le RGPD définit les destinataires comme « tout organisme qui reçoit la communication des données ».
32/ Avant toute communication des informations, le responsable de traitement doit, d'une part, s'interroger sur la finalité de la transmission pour s'assurer de sa pertinence et de sa légitimité et, d'autre part, vérifier que les données communiquées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie.
33/ Dans le cadre de ce référentiel, peuvent notamment être destinataires des données (liste non exhaustive) :
- s'agissant de données traitées par une personne soumise au secret professionnel, les professionnels et tout membre du personnel membre de la même équipe de soins ou non et n'exerçant pas au sein du même établissement, sous réserve dans ce dernier cas du recueil du consentement de la personne concernée, conformément aux dispositions de l'article L. 1110-4 du CSP, qui participent à une ou plusieurs des finalités susvisées ;
- les professionnels et tout membre du personnel d'un établissement externe soumis au secret professionnel et qui mettent en œuvre la politique de la protection de l'enfance définie à l'article L. 112-3 du CASF ou qui lui apportent leur concours, conformément aux dispositions de l'article L. 226-2-2 du CASF ;
- les structures partenaires qui accompagnent les jeunes adultes dans leur projet de logement et/ou de réinsertion sociale (l'Union nationale des comités locaux pour le logement autonome des jeunes, les centres d'hébergement et de réinsertion sociale, etc.) ;
- l'observatoire départemental de la protection de l'enfance (ODPE) et l'Observatoire national de la protection de l'enfance (ONPE), dans les conditions fixées par le décret n° 2016-1966 du 28 décembre 2016 organisant la transmission d'informations sous forme anonyme aux ODPE et à l'ONPE ;
- les services de la préfecture dès lors que le président du conseil départemental sollicite le concours de l'Etat dans la réalisation de la procédure d'évaluation de la minorité, conformément aux dispositions de l'article R. 211-11 du CASF ;
- le ministère de la justice, s'agissant notamment de la transmission du nombre total de mineurs privés temporairement ou définitivement de la protection de leur famille, qui ont été confiés au président du conseil départemental sur décision judiciaire et sont présents au sein de l'ASE au 31 décembre de l'année précédente ou qui feront l'objet d'un accueil provisoire d'urgence, conformément aux dispositions de l'article R. 221-14 du CASF ;
- les autorités judiciaires (ex. : les services de la protection judiciaire de la jeunesse, etc.) ;
- les organismes instructeurs et payeurs de prestations sociales ;
- les organismes financeurs et gestionnaires, s'agissant exclusivement de données préalablement anonymisées, à l'exception de ceux autorisés par une disposition légale ou réglementaire à obtenir la communication de données à caractère personnel des personnes accompagnées.
6.3. Les sous-traitants
34/ Le RGPD définit le sous-traitant comme « La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».
35/ Il peut s'agir, par exemple, des prestataires de services informatiques (hébergement, maintenance, etc.) ou encore de tout organisme offrant un service ou une prestation impliquant un traitement de données à caractère personnel pour le compte d'un autre organisme (p. ex. : la gestion de la paie des salariés ou des agents).
36/ A cet égard, le responsable de traitement qui souhaite avoir recours à un sous-traitant doit veiller à ne faire appel qu'à des organismes présentant des garanties suffisantes. Un contrat définissant les caractéristiques du traitement ainsi que les différentes obligations des parties en matière de protection des données doit être établi entre elles (article 28 du RGPD).
37/ Pour en savoir plus, un guide du « sous-traitant », édité par la CNIL, rappelle ces obligations et donne des exemples de clauses à intégrer dans les contrats.
6.4. Les tiers autorisés
38/ Les autorités légalement habilitées sont susceptibles, dans le cadre d'une mission particulière ou de l'exercice d'un droit de communication, de demander au responsable de traitement la communication de données à caractère personnel (p. ex. : les organismes de sécurité sociale dans le cadre de la lutte contre la fraude, les administrations de la justice, de la police, de la gendarmerie).
39/ Dans ce cas, le responsable du traitement doit s'assurer du caractère contraignant de la disposition sur laquelle se fonde l'autorité et ne transmettre que les données prévues par le texte ou, si ce dernier ne les liste pas, les seules données indispensables au regard de la finalité du droit de communication en question.
40/ Pour en savoir plus, l'organisme a la possibilité de consulter le guide pratique « tiers autorisés » sur le site de la CNIL.
6.5. Les transferts de données à caractère personnel en dehors de l'Union européenne
41/ Pour assurer la continuité de la protection des données à caractère personnel, leur transfert en dehors de l'Union européenne (UE) est soumis à des règles particulières. Ainsi, conformément aux dispositions des articles 44 et suivants du RGPD, toute transmission de données hors de l'UE doit :
- être fondée sur une décision d'adéquation ;
- ou être encadrée par des règles internes d'entreprise (« BCR »), des clauses types de protection des données, un code de conduite ou un mécanisme de certification approuvés par la CNIL ;
- ou être encadrée par des clauses contractuelles ad hoc préalablement autorisées par la CNIL ;
- ou répondre à une des dérogations prévues à l'article 49 du RGPD.
42/ Pour en savoir plus, l'organisme a la possibilité de consulter la rubrique « Transférer des données hors de l'UE » sur le site de la CNIL.
7. Conservation des données
43/ Une durée de conservation précise des données doit être fixée en fonction de chaque finalité ; ces données ne peuvent en effet pas être conservées pour une durée indéfinie.
44/ La durée de conservation de données ou, lorsqu'il est impossible de la fixer, les critères utilisés pour déterminer cette durée, font partie des informations qui doivent être communiquées aux personnes concernées.
45/ Dans ces conditions, il incombe au responsable du traitement de déterminer cette durée en amont de la réalisation du traitement.
7.1 Les durées de conservation
46/ En principe, il est recommandé que les données collectées et traitées pour les besoins de l'accompagnement social et médico-social des mineurs et jeunes majeurs ne soient pas conservées dans la base active au-delà de deux ans à compter du dernier contact émanant de la personne ayant fait l'objet de cet accompagnement (p. ex. : dernier courriel ou courrier envoyé par la personne concernée/son représentant légal), sauf dispositions législatives ou réglementaires contraires ou cas particulier. Cette durée de conservation est celle préconisée par la Commission s'agissant de l'ensemble des finalités visées par le référentiel à l'exception des traitements ayant pour objet :
- d'assurer l'évaluation de la situation de la minorité de la personne concernée ;
- de gérer le recueil, le traitement et l'évaluation des informations préoccupantes relatives à l'enfance en danger ;
- d'instruire et gérer les demandes et renouvellements d'agrément des assistants maternels et familiaux.
47/ Les données peuvent en outre être conservées plus longtemps que les durées mentionnées ci-dessus, en archivage intermédiaire, dans certains cas particuliers, notamment si le responsable du traitement en a l'obligation légale (par exemple, pour répondre à des obligations comptables, sociales ou fiscales) ou s'il a besoin de se constituer une preuve en cas de contentieux et dans la limite du délai de prescription/forclusion applicable, en matière de discrimination par exemple. La durée de l'archivage intermédiaire doit cependant répondre à une réelle nécessité, dûment justifiée par le responsable de traitement après une analyse préalable de différents facteurs, notamment le contexte, la nature des données traitées et le niveau de risque d'un éventuel contentieux.
48/ Lorsque les données passent de la « base active » à la « base d'archivage intermédiaire », elles ne doivent plus être consultables par tous les opérationnels initialement prévus mais seulement par des personnes spécialement habilitées, ayant un intérêt à en connaître en raison de leurs fonctions (par exemple, le service en charge du contentieux).
49/ A l'expiration de ces périodes, les données sont détruites de manière sécurisée ou archivées dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public pour les organismes soumis à ces dispositions d'une part, ou conformément aux dispositions de la délibération de la CNIL portant adoption d'une recommandation concernant les modalités d'archivage électronique de données à caractère personnel pour les organismes relevant du secteur privé, d'autre part.
50/ Dans le secteur public (pour les structures publiques et pour les organismes privés chargés d'une mission de service public), la CNIL recommande de prendre attache avec le service des archives départementales territorialement compétent (pour les services déconcentrés et les collectivités territoriales et leurs groupements) ou la mission des archives du ministère de tutelle (pour les services de l'administration centrale) qui pourront renseigner sur les obligations qui sont applicables au responsable de traitement et le guider dans leur mise en œuvre (détermination de la durée d'utilité administrative et du sort final).
51/ Le tableau suivant contient des exemples pour lesquels la durée de conservation est en principe adéquate au regard des textes ou considérée comme telle pour la Commission (liste non exhaustive) :
Activités de traitements
Base active
Archivage intermédiaire
Textes de référence
Instruction et gestion de l'évaluation de la situation de minorité
Le temps de l'évaluation de la situation de minorité
Une fois la personne concernée reconnue comme MNA, les données nécessaires à sa prise en charge et à son accompagnement social seront conservées pendant une durée maximale de deux ans en base active par les services de l'ASE (réf. durée de conservation recommandée par la CNIL dans le cadre de l'accompagnement social et médico-social des mineurs et jeunes majeurs).
Les données utilisées pour l'évaluation des jeunes qui n'ont pas été considérés comme MNA seront conservées jusqu'à l'extinction des voies de recours ordinaires et extraordinaires
Aucune disposition législative/réglementaire n'encadre ces durées de conservation. Aussi, il s'agit d'une recommandation de la Commission (à ne pas confondre avec les dispositions de l'article R. 221-15-6 du CASF qui encadre les durées de conservation concernant le traitement de données à caractère personnel intitulé « appui à l'évaluation de la minorité » mis en œuvre par le ministère de l'intérieur).
Gestion du recueil, du traitement et de l'évaluation des informations préoccupantes relatives à l'enfance en danger
L'ensemble des données saisies, y compris les aides financières : deux ans à compter de la dernière opération enregistrée ou de la dernière mesure sociale décidée, pour l'ensemble des données saisies y compris les aides financières
En vue de transmission à l'ONPE et aux ODPE : quinze mois de plus que la durée précédemment indiquée (transmission au plus tard le 30 avril de l'année qui suit l'année civile durant laquelle les mesures ou prestations ont été mises en œuvre, renouvelées ou terminées.)
Lorsqu'il existe un recours contre un tiers ou un contentieux, les données sont conservées jusqu'à l'intervention de la décision définitive.
À l'expiration de ces périodes, les données sont détruites de manière sécurisée ou archivées dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public pour les organismes soumis à ces dispositions, d'une part, ou conformément aux dispositions de la délibération de la CNIL portant adoption d'une recommandation concernant les modalités d'archivage électronique de données à caractère personnel pour les organismes relevant du secteur privé, d'autre part.
Dispositions de la circulaire AD 98-6 du 6 juillet 1998 relative au traitement des archives produites dans le cadre de l'aide sociale en faveur des mineurs et décret n° 2016-1966 du 28 décembre 2016 organisant la transmission d'informations sous forme anonyme aux ODPE et à l'ONPE.
Informations relatives aux enfants bénéficiant d'actions éducatives en milieu ouvert : cinq ans à compter de la dernière opération enregistrée ou de la dernière mesure sociale décidée
En vue de transmission à l'ONPE et aux ODPE : quinze mois de plus que la durée précédemment indiquée (transmission au plus tard le 30 avril de l'année qui suit l'année civile durant laquelle les mesures ou prestations ont été mises en œuvre, renouvelées ou terminées).
Informations relatives aux enfants placés : dix ans à compter de la dernière opération enregistrée ou de la dernière mesure sociale décidée
En vue de transmission à l'ONPE et aux ODPE : quinze mois de plus que la durée précédemment indiquée (transmission au plus tard le 30 avril de l'année qui suit l'année civile durant laquelle les mesures ou prestations ont été mises en œuvre, renouvelées ou terminées).
Instruction et gestion des demandes et renouvellements des agréments des assistants maternels et familiaux
Les données sont conservées en base active le temps de la gestion des demandes et des renouvellements d'agrément des assistants maternels et familiaux, à l'exception des données relatives aux infractions (extrait du bulletin n° 2 du casier judiciaire) qui ne devraient être conservées en base active que pour une durée maximale de trois mois et être ensuite supprimées de manière sécurisée.
Les données sont ensuite conservées en archivage intermédiaire dix ans (le temps de la durée de l'agrément soit cinq ans et cinq ans de plus à compter de la date de la cessation d'activité de l'assistant maternel ou familial).
S'agissant des agréments refusés : cinq ans à compter de la clôture du dossier.
Dispositions de la circulaire AD 98-6 du 6 juillet 1998 relative au traitement des archives produites dans le cadre de l'aide sociale en faveur des mineurs.
7.2 La conservation de données anonymisées
52/ La réglementation relative à la protection des données à caractère personnel ne s'applique pas, notamment en ce qui concerne les durées de conservation, aux données anonymisées. Il s'agit des données qui ne peuvent plus, par quiconque, être mises en relation avec la personne physique à laquelle elles se rapportent.
53/ L'anonymisation doit être distinguée de la pseudonymisation pour laquelle il est techniquement possible de retrouver l'identité de la personne concernée grâce à des données tierces. En effet, l'opération de pseudonymisation est réversible, contrairement à l'anonymisation, qui repose sur un processus irréversible.
54/ Ainsi, le responsable du traitement peut conserver sans limitation de durée les données anonymisées. Dans ce cas, l'organisme concerné doit garantir le caractère anonymisé des données de façon pérenne.
55/ Pour en savoir plus, l'organisme a la possibilité de consulter les guides de la CNIL suivants :
- « Sécurité : Archiver de manière sécurisée » ;
- « Limiter la conservation des données » ;
- « Guide pratique : les durées de conservation ».
L'anonymisation est un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification ou réidentification de la personne par quelque moyen que ce soit et ce de manière irréversible. Aussi, une fois anonymisées, les données ne peuvent plus être reliées à une personne (Pour en savoir plus, vous pouvez vous référer aux lignes directrices sur l'anonymisation).
8. Information des personnes
56/ Un traitement de données à caractère personnel doit être mis en œuvre en toute transparence vis-à-vis des personnes concernées.
8.1. Contenu de l'information à délivrer
57/ L'information communiquée aux personnes doit se faire dans les conditions prévues par les articles 12, 13 et 14 du RGPD.
58/ Dès le stade de la collecte des données à caractère personnel, les personnes concernées doivent notamment être informées de l'existence du traitement, de ses caractéristiques essentielles (parmi lesquelles l'identité du responsable du traitement et l'objectif poursuivi) et des droits dont elles disposent.
59/ Des exemples de mentions d'information sont disponibles sur le site de la CNIL et peuvent être consultés dans la rubrique « RGPD : exemples de mentions d'information ».
8.2. Les modalités de l'information
60/ Afin de respecter pleinement les principes de loyauté et de transparence et conformément aux dispositions des articles 13 et 14 du RGPD, les personnes doivent en principe être directement informées au moment où les données sont collectées.
61/ Si le RGPD n'impose aucune forme spécifique, une information écrite doit être privilégiée, de manière à pouvoir justifier de son contenu, ainsi que du moment où elle a été délivrée.
62/Dans le cadre de l'accompagnement social et médico-social des personnes, le responsable de traitement procède à l'information des mineurs et jeunes majeurs et, le cas échéant, de leurs représentants légaux par tout moyen approprié (p. ex. : mentions d'informations insérées au sein du livret d'accueil de l'établissement/foyer, du CJM, du contrat d'occupation, du projet pour enfant, des formulaires de demandes de prestations sociales, des courriers adressés aux usagers), dans un langage compréhensible et selon des modalités appropriées et adaptées à l'âge des mineurs ou jeunes majeurs (p. ex. : pictogramme, à l'oral, images ludiques, dessins, textes simplifiés, traduction dans la langue du pays d'origine pour les MNA) conformément aux dispositions de l'article 12 du RGPD. De manière générale, la Commission recommande une information orale en plus d'une information écrite afin de s'assurer de la bonne compréhension par la personne concernée des informations communiquées.
63/ Les enfants devront être informés en des termes clairs et simples qu'ils peuvent aisément comprendre.
Attention :
S'agissant de l'information des parents ou titulaires de l'autorité parentale dans le cadre du recueil des informations préoccupantes, la Commission rappelle qu'il est de l'intérêt supérieur de l'enfant de ne pas prévoir une information systématique des parents ou des personnes exerçant l'autorité parentale ou de toute personne concernée, conformément aux dispositions de l'article L. 226-2-1 du CASF. Concrètement, la CRIP décidera de communiquer des informations aux représentants légaux d'un enfant après un délai permettant de prendre l'attache du service social concerné afin de s'assurer que cette communication ne nuira pas à l'enfant.
Par ailleurs, le professionnel de santé peut se dispenser d'obtenir le consentement du ou des titulaires de l'autorité parentale sur les décisions médicales à prendre lorsque l'action de prévention, le dépistage, le diagnostic, le traitement ou l'intervention s'impose pour sauvegarder la santé d'une personne mineure, dans le cas où cette dernière s'oppose expressément à la consultation du ou des titulaires de l'autorité parentale afin de garder le secret sur son état de santé. Toutefois, le professionnel de santé doit dans un premier temps s'efforcer d'obtenir le consentement du mineur à cette consultation. Dans le cas où le mineur maintient son opposition, le médecin ou la sage-femme peut mettre en œuvre l'action de prévention, le dépistage, le diagnostic, le traitement ou l'intervention. Dans ce cas, le mineur se fait accompagner d'une personne majeure de son choix (article L. 1111-5 du CSP).
9. Droits des personnes
64/ Les personnes concernées disposent des droits suivants, qu'elles exercent dans les conditions prévues par le RGPD (pour aller plus loin, voir la rubrique qui s'intitule « Comprendre mes droits » sur le site de la CNIL) :
- le droit d'accès permet à la personne concernée de savoir si des données la concernant sont traitées par le responsable de traitement et, dans cette hypothèse, d'obtenir des précisions sur les conditions de ce traitement et, à sa demande, d'obtenir une copie des données la concernant détenues par ce responsable ;
- le droit de rectification permet à la personne concernée de demander la rectification des informations inexactes ou incomplètes la concernant ;
- le droit à l'effacement permet à la personne concernée de demander l'effacement de données la concernant sous réserve des conditions d'exercice de ce droit en application des dispositions de l'article 17 du RGPD (p. ex. : les données sont effacées par le responsable de traitement pour respecter les délais de conservation fixés par les textes législatifs ou réglementaires ; la personne a retiré le consentement sur lequel est fondé le traitement) ;
- le droit à la limitation du traitement (par exemple, lorsque la personne conteste l'exactitude de ses données, celle-ci peut demander à l'organisme le gel temporaire du traitement de ses données, le temps que celui-ci procède aux vérifications nécessaires) ;
- le droit à la portabilité, dans les conditions prévues par le RGPD, offre à la personne concernée la possibilité de récupérer directement une partie des données la concernant dans un format ouvert et lisible par machine afin de les réutiliser à des fins personnelles ou de les transmettre à un autre professionnel. Ce droit ne s'applique que si les trois conditions suivantes sont réunies : limitation aux seules données à caractère personnel fournies par la personne concernée ; application que si les données sont traitées de manière automatisée (exclusion des fichiers par voie papier) et sur la base du consentement préalable de la personne concernée ou de l'exécution d'un contrat conclu avec la personne concernée ; respect des droits et libertés de tiers éventuels ;
- le droit de s'opposer au traitement des données les concernant, sous réserve des conditions d'exercice de ce droit prévues à l'article 21 du RGPD (si le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis, la personne ne pourra pas s'opposer au traitement de ses données à caractère personnel).
En ce qui concerne les traitements relatifs à l'accompagnement social et/ou médico-social, la personne concernée pourra s'opposer au traitement de ses données, à condition d'invoquer des raisons tenant à sa situation particulière, et uniquement lorsque le traitement est mis en œuvre sur la base légale de l'intérêt légitime du responsable de traitement ou pour l'exécution d'une mission d'intérêt public ou d'une mission relevant de l'exercice de l'autorité publique (p. ex. : le responsable de traitement peut refuser à la personne concernée l'exercice de son droit d'opposition dès lors que le traitement des informations la concernant s'inscrit dans le cadre de l'instruction et la gestion des demandes et des renouvellements d'agrément des assistants maternels et familiaux).
Le responsable du traitement pourra refuser de donner suite à cette demande d'opposition s'il démontre qu'il dispose d'intérêts légitimes et impérieux qui prévalent sur les droits et libertés du demandeur.
Attention :
Lorsque le mineur souhaite garder le silence sur son état de santé, le médecin peut se dispenser d'obtenir le consentement des parents ou des titulaires de l'autorité parentale si le mineur s'oppose expressément à cette consultation afin de garder le secret sur son état de santé. Le médecin doit alors s'efforcer d'obtenir le consentement du mineur à cette consultation. En cas de persistance du refus, le médecin peut mettre en œuvre l'action de prévention, le dépistage, le diagnostic, le traitement ou l'intervention, à la condition que le mineur soit accompagné d'une personne majeure de son choix, conformément aux dispositions de l'article L. 1111-5 du CSP.
65/ Le responsable du traitement doit répondre aux demandes reçues dans les meilleurs délais et dans un délai d'un mois maximum. Si un délai supplémentaire est nécessaire pour traiter la demande (par exemple, en raison de sa complexité), la personne concernée doit en être informée dans ce même délai d'un mois. Dans tous les cas, une réponse doit être apportée dans un délai qui ne peut pas dépasser trois mois.
66/ L'exercice des droits par les personnes doit être facilité par le responsable de traitement et être gratuit. Les personnes concernées doivent être informées de leur possibilité d'adresser une réclamation à la Commission nationale de l'informatique et des libertés si elles ne sont pas satisfaites du traitement de leurs données à caractère personnel.
10. Sécurité
67/ L'organisme doit prendre toutes les précautions utiles au regard des risques présentés par son traitement pour préserver la sécurité des données à caractère personnel et, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.
68/ En particulier, dans le contexte spécifique de ce référentiel, l'organisme est invité à mettre en œuvre les mesures suivantes, ou à être en mesure de justifier de la mise en place de mesures équivalentes ou de leur absence de nécessité ou de possibilité (les particuliers traitant un volume faible de données prennent, par exemple, les mesures élémentaires de sécurité pour assurer la sécurité et la confidentialité des données qu'ils traitent) :
Catégories
Mesures
Sensibiliser les utilisateurs
Informer et sensibiliser les personnes manipulant les données
Rédiger une charte informatique et lui donner une force contraignante
Authentifier les utilisateurs
Définir un identifiant (« login ») unique à chaque utilisateur
Adopter une politique de mots de passe utilisateur conforme aux recommandations de la CNIL
Obliger l'utilisateur à changer son mot de passe après réinitialisation
Limiter le nombre de tentatives d'accès à un compte
Gérer les habilitations
Définir des profils d'habilitation
Supprimer les permissions d'accès obsolètes
Réaliser une revue annuelle des habilitations
Tracer les accès et gérer les incidents
Prévoir un système de journalisation
Informer les utilisateurs de la mise en place du système de journalisation
Protéger les équipements de journalisation et les informations journalisées
Prévoir les procédures pour les notifications de violation de données à caractère personnel
Sécuriser les postes de travail
Prévoir une procédure de verrouillage automatique de session
Utiliser des antivirus régulièrement mis à jour
Installer un « pare-feu » (« firewall ») logiciel
Recueillir l'accord de l'utilisateur avant toute intervention sur son poste
Sécuriser l'informatique mobile
Prévoir des moyens de chiffrement des équipements mobiles
Faire des sauvegardes ou des synchronisations régulières des données
Exiger un secret pour le déverrouillage des ordiphones
Protéger le réseau informatique interne
Limiter les flux réseau au strict nécessaire
Sécuriser les accès distants des appareils informatiques nomades par VPN
Mettre en œuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi
Sécuriser les serveurs
Limiter l'accès aux outils et interfaces d'administration aux seules personnes habilitées
Installer sans délai les mises à jour critiques
Assurer une disponibilité des données
Sécuriser les sites web
Utiliser le protocole TLS et vérifier sa mise en œuvre
Vérifier qu'aucun mot de passe ou identifiant ne passe dans les URL
Contrôler que les entrées des utilisateurs correspondent à ce qui est attendu
Mettre un bandeau de consentement pour les cookies et autres traceurs non nécessaires au service
Sauvegarder et prévoir la continuité d'activité
Effectuer des sauvegardes régulières
Stocker les supports de sauvegarde dans un endroit sûr
Prévoir des moyens de sécurité pour le convoyage des sauvegardes
Prévoir et tester régulièrement la continuité d'activité
Archiver de manière sécurisée
Mettre en œuvre des modalités d'accès spécifiques aux données archivées
Détruire les archives obsolètes de manière sécurisée ou verser, le cas échéant, les documents présentant un intérêt historique, scientifique ou statistique aux archives publiques dans les conditions fixées par le code du patrimoine
Encadrer la maintenance et la destruction des données
Enregistrer les interventions de maintenance dans une main courante
Encadrer par un responsable de l'organisme les interventions par des tiers
Effacer les données de tout matériel avant sa mise au rebut
Gérer la sous-traitance
Les relations avec les prestataires qui traitent des données au nom et pour le compte du responsable de traitement (l'organisme employeur) doivent faire l'objet d'un accord écrit.
Cet accord doit contenir une ou des clauses spécifiques relatives aux obligations respectives des parties résultant du traitement des données à caractère personnel.
L'accord doit notamment prévoir les conditions de restitution et de destruction des données. Il incombe au responsable de traitement de s'assurer de l'effectivité des garanties prévues (audits de sécurité, visites, etc.).
Pour plus de précisions, vous pouvez vous reporter au guide de la sous-traitance et aux exemples des clauses de sous-traitance.
Sécuriser les échanges avec d'autres organismes
Ne pas transmettre des fichiers contenant les données à caractère personnel des usagers en clair via des messageries grand public.
Privilégier des moyens de communication autres que les messageries grand public pour communiquer des informations relatives aux personnes accompagnées à d'autres travailleurs sociaux ou organismes (p. ex. : plateformes d'échanges sécurisées, messagerie interne)
Chiffrer les données avant leur envoi
S'assurer qu'il s'agit du bon destinataire
Transmettre le secret lors d'un envoi distinct et via un canal différent
Protéger les locaux et les bureaux physiques
Restreindre les accès aux locaux au moyen de portes verrouillées
Installer des alarmes anti-intrusion et les vérifier périodiquement
Ranger tous les documents papiers relatifs aux usagers dans des armoires fermées à clé
Verrouiller la porte d'accès au bureau en cas d'absence prolongée
Encadrer les développements informatiques
Proposer des paramètres respectueux de la vie privée aux utilisateurs finaux
Encadrer de manière stricte les zones de commentaires libres
Tester sur des données fictives ou anonymisées
Utiliser des fonctions cryptographiques
Utiliser des algorithmes, des logiciels et des bibliothèques reconnus
Conserver les secrets et les clés cryptographiques de manière sécurisée
69/ Pour ce faire, le responsable de traitement pourra utilement se référer au Guide de la sécurité des données personnelles. A noter que la mise en place d'un dispositif de gestion des habilitations des utilisateurs du logiciel permet de limiter les accès aux seules données qui leur sont strictement nécessaires. Ainsi, des niveaux d'habilitation différenciés doivent être créés en fonction des besoins des utilisateurs pour remplir leurs missions. De plus, un dispositif de gestion des traces et des incidents permet d'identifier un accès frauduleux ou une utilisation abusive des données personnelles ou de déterminer l'origine d'un accident. Le responsable de traitement sera ainsi mieux à même de pouvoir réagir face à une violation des données.
Attention :
En cas d'hébergement des données de santé à caractère personnel réalisé pour le compte des organismes assurant le suivi social ou médico-social par un prestataire informatique, celui-ci doit être agréé ou certifié pour l'hébergement, le stockage, la conservation de données de santé, conformément aux dispositions de l'article L. 1111-8 du code de la santé publique.
11. Analyse d'impact relative à la protection des données (AIPD)
70/ Les traitements ayant pour finalité l'accompagnement social et médico-social des personnes figurent dans la liste des types d'opérations de traitement pour lesquelles une AIPD est requise : ils doivent par conséquent systématiquement donner lieu à la réalisation préalable d'une AIPD.
71/ Ce référentiel constitue une aide à la réalisation d'une AIPD. Celle-ci repose, à cet égard, sur deux piliers :
- les principes et droits fondamentaux fixés notamment par le RGPD et la loi « Informatique et Libertés » et devant être respectés quels que soient la nature, la gravité et la vraisemblance des risques encourus ;
- la gestion des risques sur la vie privée qui permet de déterminer les mesures techniques et d'organisation appropriées pour protéger les données.
Pour réaliser une étude d'impact, le responsable de traitement pourra également s'appuyer sur :
- les principes contenus dans ce référentiel ;
- ainsi que sur les outils méthodologiques proposés par la CNIL sur son site web.
Si l'organisme en a désigné un, le DPD/DPO devra être consulté.
72/ Conformément à l'article 36 du RGPD, le responsable de traitement doit consulter la CNIL préalablement à la mise en œuvre du traitement si l'analyse d'impact indique qu'il ne parvient pas à identifier des mesures suffisantes pour réduire les risques à un niveau acceptable.Liens relatifs
La présidente,
M.-L. Denis