/

La CNIL rend une délibération autour du traitement des données personnelles dans les services, organismes et établissement spécialisés dans le soin des personnes âgées et handicapées

Une délibération rendue publique le 14 avril.

Publié le : 17 Mai 2016

Extrait du préambule de la Délibération de la CNIL sur l'autorisation unique de traitements de données à caractère personnel mis en œuvre dans le cadre de l'accueil, l'hébergement, l'accompagnement et le suivi des personnes handicapées et des personnes âgées :

Délibération complète
Dans la sphère sociale et médico-sociale, les établissements, services ou organismes intervenant auprès des personnes âgées ou des personnes handicapées assurent l'accueil, médicalisé ou non, des personnes, à titre permanent, temporaire ou selon un mode séquentiel, avec ou sans hébergement, ainsi que leur accompagnement et suivi en milieu de vie ordinaire, en accueil familial ou dans une structure de prise en charge.
Une prise en charge coordonnée et adaptée des personnes nécessite une évaluation continue de leurs besoins et de leurs difficultés, afin d'établir un accompagnement et un suivi personnalisé tout au long de leur parcours, et un partage sécurisé des données entre les acteurs sociaux, médicaux et paramédicaux.
Dans le cadre de leurs missions, les structures prenant en charge les personnes âgées ou les personnes handicapées sont amenées à mettre en œuvre des traitements comportant des données sensibles telles que des données de santé ou des appréciations sur les difficultés sociales des personnes. Par ailleurs, des échanges avec des organismes de sécurité sociale peuvent être nécessaires et, à ce titre, impliquent l'utilisation du numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (numéro de sécurité sociale ou NIR).
Dès lors, de tels traitements relèvent des articles 8 (IV), 25 (I, 1°), 25 (I, 6°) et 25 (I, 7°) de la loi du 6 janvier 1978 susvisée et doivent, à ce titre, être autorisés par la CNIL. Toutefois, afin d'alléger les formalités que doivent accomplir les professionnels, la commission a souhaité faire application des dispositions de l'article 25 (II) de la loi du 6 janvier 1978 modifiée, en vertu desquelles elle peut autoriser par une décision unique une catégorie de traitements qui répondent aux mêmes finalités, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires.
Les traitements, qu'ils soient automatisés ou non, portant sur des données à caractère personnel ainsi que les seuls traitements automatisés comportant des données relatives aux appréciations sur les difficultés sociales mis en œuvre par les établissements, services ou organismes, aux fins d'accompagnement et de suivi social et médico-social des personnes âgées ou des personnes handicapées, sont de ceux qui peuvent relever de cette définition.
Les responsables de traitement qui adressent à la commission une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à les mettre en œuvre.
Tout traitement de données à caractère personnel qui excède le cadre ou les exigences définis par la présente autorisation unique doit en revanche faire l'objet d'une formalité spécifique auprès de la commission.

Délibération complète