Élaborés en concertation avec les acteurs d'un secteur, les packs de conformité de la CNIL, mis en place depuis plusieurs années déjà, regroupent les bonnes pratiques permettant de décliner les droits et obligations de la loi "informatique et libertés" pour les acteurs du secteur en question avec des instruments de simplification des formalités administratives (normes simplifiées, autorisations uniques, dispenses de déclarations, etc.). Très attendue, la première brique d'un "pack de conformité social" est désormais disponible pour certains professionnels du champ social et médico-social.

Les secteurs concernés

La CNIL a en effet adopté trois délibérations portant autorisation unique de traitements de données à caractère personnel, publiées au Journal officiel du 12 mai, concernant :

• l'accueil, l'hébergement, l'accompagnement et le suivi des personnes handicapées et des personnes âgées (Ehpad, Fam, IME, Mas... ; délibération n° 2016-094) ;
• l'accueil, l'orientation, l'accompagnement et le suivi social des personnes (étant notamment visés les centres d'hébergement et de réinsertion sociale, les SIAO, les Samu sociaux ou encore les structures pour personnes confrontées à des difficultés spécifiques dont les CSAPA ; délibération n° 2016-095) ;
• la prévention et la protection de l'enfance (foyers de l'enfance, Mecs... ; délibération n° 2016-096).

Étendue des données collectées

Cadre de référence pour les acteurs de la sphère sociale et médico-sociale, ces documents doivent permettre de créer des traitements des données sensibles relatives à la santé, à la religion, aux infractions, aux mesures judiciaires, à l'éducation, aux appréciations sur les difficultés sociales, etc. Ils contribuent à assurer un suivi personnalisé et efficace des personnes accompagnées, sans porter atteinte au respect de leur vie privée.

L'étendue des données collectées est précisée par chaque délibération. Parmi leurs points communs :

• la durée de conservation de ces données dans la base active est limitée à 2 ans à compter du dernier contact avec la personne ayant fait l'objet de ce suivi, sauf dispositions législatives ou réglementaires contraires ;
• ces données doivent être supprimées sans délai en cas de décès de la personne concernée.

À suivre

Dans un communiqué du 12 mai, la CNIL annonce que ce travail de simplification des formalités se poursuivra avec l’adoption :

• d’une norme simplifiée relative aux traitements mis en œuvre pour la gestion des services d’aide à domicile (soutien scolaire, aide ménagère, etc.) ;
• et d'une autorisation unique relative aux traitements mis en œuvre pour la gestion des signalements de maltraitance des personnes vulnérables.

Sources : délibérations n° 2016-094 (personnes âgées ou handicapées), n° 2016-095 (accompagnement social) et n° 2016-096 (protection de l'enfance), JO du 12 mai