Les abonnements La librairie

Directions.fr : Le site des directeurs et cadres du secteur social et médico social

Accueil / ... / Fonctionnement de la structure / Dossiers / Tous connectés / Priorité à la protection des informations sensibles

Informatique

Tous connectés

26/11/2019 - Outils de gestion des dossiers des usagers, des projets personnalisés, de facturation, de reporting budgétaire et comptable… Peu de tâches ou fonctions, supports comme cœur de métier, échappent à l’informatique. En particulier lorsqu’il s’agit du pilotage de l’activité des établissements et services sociaux et médico-sociaux (ESSMS). Que vous soyez technophile de longue date, manager connecté ou non, ce supplément est fait pour vous. Son ambition ? Vous accompagner dans votre réflexion autour de la définition d’un système d’information (SI) adapté à vos besoins et aux enjeux du secteur. Et vous présenter les prérequis indispensables à tout investissement informatique, que ce soit en termes de matériels, de solutions, de réseaux ou de services. Objectif ? Vous permettre de faire des choix éclairés. Et surtout sécurisés, notamment concernant la protection des données personnelles des usagers et des professionnels, dans le respect du règlement européen en vigueur depuis mai 2018 qui accroît les obligations des responsables de traitement. À l’heure de la révolution numérique et des technologies de l’information et de la communication (TIC), au-delà des simples outils techniques, ce sont leurs bonnes appropriation et utilisation par tous qui doivent être pensées et accompagnées.

SOMMAIRE DU DOSSIER :

Système d'information, un chantier stratégique
La comptabilité, centre névralgique de l’informatisation
Un outil ad hoc pour faciliter le travail des professionnels
Un logiciel RH personnalisable
Priorité à la protection des informations sensibles
Choisir le meilleur support pour conserver ses données
La GED pour dématérialiser ses documents
Les tablettes vont partout

Ce dossier est réservé aux abonnés du magazine Direction[s]

Vous êtes abonné(e) et vous avez créé votre compte : S'identifier
Vous êtes abonné(e) et vous n'avez pas encore créé de compte : Créer votre compte

Priorité à la protection des informations sensibles

30/10/2019

Parce qu’elles collectent de nombreuses données à caractère personnel concernant tant les usagers que les salariés, les structures sociales et médico-sociales sont soumises à la loi Informatique et libertés. Dernièrement, leurs obligations ont été renforcées avec l’application en mai 2018 du nouveau règlement européen.

Gestion de la paie, des dossiers des usagers, des personnels… Chaque jour, les établissements et services sociaux et médico-sociaux (ESSMS) manipulent des données à caractère personnel.En mésestimant les dispositions de la loi Informatique et libertés, au risque de se voir infliger des sanctions de la Commission nationale de l’informatique et des libertés (Cnil) préalablement à sa mise en œuvre, voire d'encourir des poursuites pénales.

1 Un nouveau cadre

Le règlement général sur la protection des données personnelles (RGPD) est applicable depuis le 25 mai 2018. Il redonne le pouvoir aux citoyens sur leurs données et fait de la protection des personnes physiques à l’égard du traitement des données à caractère personnel un droit fondamental. S’il reprend les grands principes préexistants, il renforce les droits des personnes, accroît les obligations du responsable de traitement en matière de sécurité ainsi que celles des sous-traitants. Les éditeurs de solutions sont donc aussi concernés. Enfin, les sanctions administratives pouvant être prononcées par l’autorité de contrôle se trouvent renforcées.

2 La notion phare « l’accountability »

Ce mécanisme d’autorégulation doit conduire les responsables de traitement et les sous-traitants à démontrer qu’ils respectent bien les principes posés par le RGPD et se mettent en conformité. En ce sens, ils documentent cette démarche continue, laquelle permet d’accompagner les collaborateurs au quotidien et constitue un socle d’analyse en cas de contrôle. Il met fin au système des formalités préalables, même si les États membres demeurent libres de maintenir un régime d’autorisation pour les traitements les plus attentatoires aux droits et libertés fondamentaux.
Les packs de conformité récemment élaborés par la Cnil pour les structures œuvrant dans les champs des personnes âgées et handicapées (AU-047), de la protection de l’enfance (AU-049), de l’exclusion et de l’insertion (AU-048), ainsi que dans celui de la protection juridique des majeurs (AU-050) demeurent des références solides pouvant accompagner la conformité.

3 Des principes à observer scrupuleusement

En plus de s’assurer que les traitements mis en œuvre sont bien licites (permis par le RGPD) et qu’ils poursuivent tous une finalité déterminée, explicite et légitime, les responsables de traitement sont tenus d’observer scrupuleusement des principes qui participent de la mise en conformité. Ces traitements sont recensés et exposés au sein d’un registre consultable par toutes personnes physiques concernées par les traitements mis en œuvre. Les données ne doivent jamais être traitées ultérieurement d’une manière incompatible avec les finalités énoncées lors de leurs collectes.

En vertu du principe de transparence, les données sont collectées et traitées par les professionnels de manière licite, loyale et transparente. Le livret d’accueil qui est remis aux usagers et les professionnels expliquent pourquoi l’établissement a besoin de telle ou telle information.
En vertu du principe de minimisation des données, le responsable de traitement doit veiller à ce que les données soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
En vertu du principe d’exactitude, les données doivent être exactes et si nécessaire, tenues à jour.
En vertu du principe de conservation limitée, les données sont conservées sous une forme qui permet l’identification des personnes pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

Le respect de l’ensemble de ces principes participe de la mise en conformité au RGPD.

4 Le délégué à la protection des données

Les responsables des traitements pouvaient déjà désigner un correspondant Informatique et liberté (CIL) (lire l’encadré p. 14). Ils doivent nommer depuis mai dernier un délégué à la protection des données (DPD) si leurs activités de base ou celles de leurs sous-traitants consistent en un traitement à grande échelle de données sensibles (révélant les origines raciales ou ethniques, de santé, concernant la vie ou l’orientation sexuelle, les opinions personnelles) dont la collecte est interdite, sauf lorsque le traitement est nécessaire aux fins de prise en charge sanitaire, sociale ou médico-sociale (art 9.2.h) du RGPD.
Souvent juriste, qualiticien ou informaticien, le DPD peut être mutualisé. Il est positionné comme chef d’orchestre de la conformité. Ses missions consistent à contrôler le respect du RGPD ; coopérer avec l’autorité de contrôle et à faire office de point de contact pour les personnes concernées sur toute question en lien avec les traitements ; s’assurer de la bonne tenue de la documentation relative à la conformité ; dispenser des conseils en ce qui concerne les analyses d’impact relatives à la protection des données et vérifier leur réalisation.

5 Mise en conformité

Mots de passe à la sécurité faible, données nominatives affichées sur les murs, sessions d’ordinateurs non protégées, dossiers sortant de l’établissement ou du service, envois par e-mails non sécurisés… Les principes de la loi sont souvent mis à mal par des lacunes en matière de sécurité, alors que les éléments sont massivement collectés, stockés sur des bases de données ou au sein d’archives papier et peu détruites. Celles-ci sont également souvent partagées sans information et consentement préalables des premiers concernés. Certaines démarches doivent être menées sans délai.

Du fait de l’entrée en vigueur du RGPD, les formalités préalables ne sont plus une priorité. Pour autant, l’existence des autorisations uniques du secteur permet rapidement de s’engager à respecter un cadre clair et sécurisant.

Élaborer et tenir à jour le registre de l'ensemble des traitements mis en œuvre par l'ESSMS. Cela nécessite de se rendre dans l'ensemble des établissements de l'organisation, d'examiner l'ensemble des fichiers, d'en dresser la liste et de construire le registre.
Informer les personnes de leurs droits à une information intelligible et adaptée, à la portabilité de ses données, à leur effacement, à la limitation du traitement. Ce via des modalités appropriées (documents faciles à lire et à comprendre, échanges avec le conseil de la vie sociale – CVS, affichage…)
Sécuriser les données. Le responsable de traitement doit garantir la confidentialité, la disponibilité et l’intégrité des données personnelles collectées. En ce sens, il doit mettre en œuvre une politique de sécurité déterminant des mesures organisationnelles et techniques permettant de tendre vers une sécurité maximale. Et les risques ne sont pas que théoriques : en témoigne le cas de ce père divorcé, demandant des informations sur le suivi de son enfant placé, autorisé à consulter son dossier… et en profitant pour noter discrètement la nouvelle adresse de son ex-épouse, pourtant protégée par une mesure d’éloignement. Le droit des tiers n’est dans cet exemple pas respecté. La sécurisation du système d’information doit être érigée au rang des priorités du délégué à la protection des données.

Le responsable de traitement doit mener des analyses d’impact relatives à la protection des données qu’il traite de manière à penser des axes d’amélioration et de résolution devant chaque faille repérée. Cette analyse doit pouvoir être produite à l’autorité de contrôle. De la même manière, les violations du système d’information et les atteintes aux données doivent être systématiquement notifiées à la Cnil.

Détruire les données de manière sécurisée en prenant soin de respecter les durées d’utilité administrative de chaque document et les obligations d’archivage en fonction des temps de prescription et des règles spécifiques à chaque secteur.
Bien plus qu’une stricte méthode de mise en conformité, la démarche globale de protection des données, et les principes qui l’accompagnent, participent à améliorer la qualité du service rendu à la personne, en réinterrogeant les croyances et les pratiques professionnelles.
À noter que la loi Informatique et libertés a successivement été complétée et modifiée par la loi du 20 juin 2018, l’ordonnance du 12 décembre 2018 et très récemment par le décret du 29 mai 2019, afin d’être en cohérence et congruence avec le RGPD.

Élodie Frago, directrice du service juridique et des systèmes d’information, déléguée à la protection des données à l’ACSEA (Hérouville-Saint-Clair), avec Flavie Dufour et Pascal Nguyên

Faire face à un contrôle de la Cnil

La décision de procéder à une mission de contrôle est prise par le président de la Commission nationale de l’informatique et des libertés (Cnil), qui choisit de prévenir ou non le responsable de traitement. Le procureur de la République est informé. Le jour J, impossible d’y échapper : l’entrave est punie d’un an d’emprisonnement et de 15 000 euros d’amende. Les inspecteurs doivent pouvoir accéder aux programmes informatiques, à tous les documents demandés et obtenir des copies. À l’issue de la visite, les constatations sont examinées. Un courrier, adressé à l’établissement, précise les recommandations à observer pour se conformer à la loi. Au responsable de traitement de justifier qu’il les a suivies dans le délai imparti. Lorsque les manquements relevés sont sérieux, le dossier est transmis à la formation contentieuse de la Cnil, qui peut prononcer des peines allant de l’avertissement au retrait de l’autorisation, en passant par la sanction pécuniaire, et dénonciation au Parquet. Une procédure longue et plutôt inquiétante, estimait André Morin, ancien directeur général de l’association Espoir-CFDJ, à Paris, qui l'a vécu en 2010. « Entre le contrôle et le courrier final, il s’était écoulé presque un an, calcule-t-il. Et la Cnil prévient que la clôture du dossier ne préjuge pas des vérifications ultérieures qui pourraient survenir. »

Point de vue

Karine Pouillen, responsable juridique de l'Arseaa, à Toulouse

« L’association a choisi d’élargir la mise en conformité avec la loi Informatique et libertés à une démarche de protection des données personnelles liée aux exigences de la loi 2002-2. Car il s’agit de sécuriser et de garantir les droits des personnes. Un comité de pilotage impulse l’opération, et des groupes de travail thématiques réinterrogent outils et pratiques
au prisme de la loi : processus d’accueil, modalités de partage des informations, informatisation des structures, sécurisation des transmissions… Dans l’ensemble, les professionnels acceptent bien cet exercice. D’autant qu’il a été préparé durant plus d’un an, via des articles dans notre revue interne, des discussions en réunions de cadres… Ce qui nous a permis d’anticiper une grande partie des obligations liées à la nouvelle règlementation européenne (RGPD). Je m’appuie sur une vingtaine de référents, tous formés. Leur rôle ? Sensibiliser leurs collègues, conseiller les responsables de traitement et être mes relais pour les formalités. Une telle démarche prend du temps, mais l’Arseaa a choisi de s’investir. Il en va de la qualité des prestations. »

Références

Loi Informatique et libertés n° 78-17 du 6 janvier 1978

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

Délibérations Cnil n° 2016-094, n° 2016-095 et n° 2016-096 du 14 avril 2016 et n° 2016-175 du 9 juin 2016
« Gestion des risques vie privée », partie 1 : méthode, partie 2 : catalogue de mesures », Cnil, 2012, à consulter sur www.cnil.fr
Code pénal, articles 131-13 et 226-16

Publié dans le magazine Direction[s] N° 180 - avril 2015

Haut de page

Plus d'articles sur :