Une nouvelle autorisation unique pour déclarer les fichiers de données à caractère personnel

Le traitement des données à caractère personnel des individus, qu’il soit informatisé ou réalisé dans le cadre de fichiers « papier », relève de la loi n° 78-17 du 6 janvier 1978 « Informatique et libertés ». 

Les organismes publics ou privés, les établissements ou services qui mettent en place des fichiers contenant des informations personnelles dans le cadre de l’accompagnement des personnes et de leur suivi social, doivent faire une déclaration, voire une demande d’autorisation auprès de la CNIL.

En effet, certaines données font l’objet d’un contrôle particulier de la CNIL. Cela est notamment le cas des données « sensibles » (ex. : la santé) ou des données comportant des appréciations sur les difficultés sociales des personnes. 

Pour simplifier les démarches, la CNIL a adopté le 14 avril 2016 une « autorisation unique » visant le traitement des données dans le cadre de l’accompagnement et du suivi social des personnes en difficulté :

Accompagnement et suivi social des personnes en difficultés (AU-048)

      

DEFINITIONS

Le traitement de données à caractère personnel

Il se définit par toutes les opérations suivantes : collecte, enregistrement, conservation, interconnexion, effacement, destruction de données personnelles…

Les données à caractère personnel

Il s’agit de toute information relative à une personne physique, identifiée ou susceptible de l’être, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Ex. : le nom/ n° de téléphone/ adresse IP/ NIR/ adresse/ numéro d’identification

 

Deux autres autorisations uniques ont également été publiées le même jour concernant l’accompagnement des personnes âgées et des personnes handicapées ainsi que celui réalisé dans le cadre de la prévention et la protection des mineurs et jeunes majeurs :

Ces autorisations uniques ont été élaborées à partir des cinq principes clés de la loi « Informatique et Libertés » :

  1. La finalité du traitement doit être déterminée, explicite et légitime.
  2. Des données recueillies doivent être adéquates, pertinentes, non excessives et mises à jour.
  3. La durée de conservation des données doit être limitée.
  4. Les personnes doivent être informées de l’existence du traitement des données à caractère personnel (finalité du traitement, caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse, identité du responsable du traitement, des destinataires des données) ainsi que de leurs droits d'accès, de rectification et le cas échéant d'opposition.
  5. Les mesures de sécurité doivent être adaptées pour garantir la confidentialité, l’intégrité et la pérennité des données.

L’autorisation unique reprend ainsi en détails, pour chaque principe clé, ce qui est autorisé par ce cadre de référence.

Les organismes, services et établissements (CHRS, CHU, accueil de jour, SIAO, SAO, services d’accompagnement, ACT, LHSS, etc.) devront désormais procéder en ligne sur le site de la CNIL à cet engagement de conformité à l’une ou plusieurs autorisations uniques correspondant au(x) traitement(s) dont ils ont besoin dans le cadre de leur activité.

Les organismes s’engagent ainsi à respecter ce qui est mentionné dans l’autorisation unique, notamment les finalités prévues pour la collecte des données, les données personnelles pouvant être traitées, les droits des personnes, et les mesures de sécurité nécessaires à la protection de données à caractère personnel.

Si des données collectées ne sont pas prévues dans l’autorisation unique, il sera alors nécessaire pour l’organisme de faire une demande d’autorisation à la CNIL. Exemple : lorsque les traitements comportent le numéro de sécurité sociale des personnes.

La CNIL rappelle que les autorisations uniques n’ont pas vocation à donner un mandat aux organismes pour collecter, de manière systématique, l’ensemble des données figurant dans les autorisations uniques, mais à répondre aux besoins des acteurs du secteur social et médico-social.

Ces autorisations uniques, qui constituent le cadre de référence pour les acteurs de la sphère sociale et médico-sociale, seront prochainement suivies d’un guide sous forme de fiches pratiques pour expliquer de façon pédagogique les règles relatives à la protection des données personnelles.

Afin d’être en conformité avec la loi informatique et libertés, nous vous invitons à faire vos déclarations. La procédure en ligne vous prendra à peine cinq minutes.

Pour plus de détails, vous pouvez consulter l'intranet dans les rubriques :

Les associations adhérentes peuvent demander leur code d’accès en envoyant une demande d'inscription (précisant le nom de la structure, son adresse postale et adresse mail utilisée) à :

 

ImprimerE-mail

Connectez-vous à votre compte