Partage des données Secteur Handicap ETRE EN CONFORMITE AVEC LA CNIL LA LOI INFORMATIQUE ET LIBERTES 1
La Loi Informatique et Libertés 2004 Etablissements médico-sociaux Données de l usager dans les Systèmes d Information Déploiement d un dossier électronique de l usager Superposition des textes législatifs et réglementaires : Lois Santé (Kouchner, HPST, 26 janvier 2016) CSP Décrets d application Loi Informatique et Libertés (LIL) Règlement Européen relatif à la protection des données à caractère personnel 2
Principes fondamentaux Article 1 LIL «L informatique doit être au service de chaque citoyen. ( ) Elle ne doit porter atteinte ni à l identité humaine, ni aux droits de l homme, ni à la vie privée, ni aux libertés individuelles ou publiques». - Données à caractère personnel et données sensibles - Finalité - Responsable de Traitement - Mesures d Information Consentement Droits des personnes (Accès, Rectification et Opposition) - Sécurité - Durée de conservation - Désignation facultative du CIL 3
Cadre règlementaire et législatif La loi n 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (plus connue sous le nom de loi Informatique et Libertés de 1978) : à la suite de l'affaire SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus) Loi du 6 Août 2004 transposant la Directive Européenne de 1995 afin d adapter la loi française aux évolutions technologiques et à l économie numérique Réformée par le Règlement Européen (GDPR) d avril 2016 relatif à la Protection des données à caractère personnel Décret n 2016-994 du 20 juillet 2016 relatif aux conditions d'échange et de partage d'informations entre professionnels de santé et autres professionnels des champs social et médico-social et à l'accès aux informations de santé à caractère personnel 4
Donnée à caractère personnel Art 2 LIL : «Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d identification, ou à un ou plusieurs éléments qui lui sont propres» Données sensibles : «les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l appartenance syndicale ainsi que les données relatives à la santé ou à la vie sexuelle». Par principe collecte interdite sauf exceptions prévues par la loi : intérêt public, établissement de santé ou médico-social, associations politiques ou religieuses ASIP SANTE : «Donnée susceptible de révéler l état pathologique de la personne» Le Règlement Européen introduit 2 nouvelles notions Art 4.15) : Données de santé : «les données relatives à la santé physique ou mentale d une personne physique, y compris la prestation de service de soins de santé, qui révèlent des informations sur l état de santé des personnes». Données des enfants mineurs 5
Principes fondamentaux 1. Le principe de finalité : usage déterminé et légitime 2. Le principe de pertinence des données : adéquation des variables recueillies avec les objectifs poursuivis 3. Le principe du respect des droits des personnes: Information des personnes Droits d accès, rectification et d opposition (DARO) 4. Le principe d une durée limitée de conservation des informations et le droit à l oubli 5. Le principe de sécurité et de confidentialité des données : adoption de mesures nécessaires 6
Principes fondamentaux La finalité : «déterminée, explicite et légitime» - vérifie que les données sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie - interdit la collecte des données sensibles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l appartenance syndicale ainsi que les données relatives à la santé ou à la vie sexuelle (sauf exceptions : consentement, intérêt public, établissement de santé ou médico-social ) - interdit le traitement des infractions, condamnations, mesures de sûreté (sauf exceptions, juridictions, auxiliaires de justice ) Secteur social et médico-social: Principe de ne collecter que les informations strictement nécessaires à l accompagnement et au suivi social et médico-social des personnes. 7
Principes fondamentaux Le Responsable de Traitement Art 3 LIL : «Le responsable d un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l autorité publique, le service ou l organisme qui détermine ses finalités et ses moyens» Le droit à l oubli et durée de conservation Art 6 al 5 LIL : «les données sont conservées sous une forme permettant l identification des personnes concernées pendant une durée qui n excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées». 8
Mesures d information La loi impose que les personnes soient informées, lors du recueil, de l enregistrement ou de la première communication des données : de la finalité du traitement du caractère obligatoire ou facultatif des réponses et des conséquences d un défaut de réponse de l identité du responsable du traitement des destinataires des données de leurs droits (droit d accès et de rectification, droit d opposition) le cas échéant, des transferts de données vers des pays hors UE. 9
Rôles et missions de la CNIL La Commission Nationale Informatique et Libertés a été créée par la loi n 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004. La CNIL accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits. Pouvoirs: Contrôle sur place, sur audition, sur pièces et en ligne Sanction en cas de non-respect de la loi Normatif: émet des Autorisations Uniques ou Préalables, avis ou consultations Le contrôle CNIL en 2016 : lié aux thématiques du programme annuel (25%) lié aux plaintes reçues par la CNIL (20%) lié aux vérifications effectuées à la suite de courriers d observations, de mises en demeure ou de sanctions, ainsi que celles réalisées à l initiative de la CNIL ou en lien avec des sujets d actualité (35%) réservé à la vérification des dispositifs de vidéosurveillance et de vidéo protection (20%) 10
Sanctions A l'issue des contrôles, la formation restreinte (5 membres + 1 Président distinct du Président de la CNIL), peut prononcer diverses sanctions : une mise en demeure: si le responsable de traitement ne s'y est pas conformé, la formation restreinte peut prononcer, à l'issue d'une procédure contradictoire : une sanction pécuniaire (sauf pour les traitements de l État) d un montant maximal de 150.000, et, en cas de récidive, jusqu à 300.000. Cette sanction peut être rendue publique ; la formation contentieuse peut également ordonner l'insertion de sa décision dans la presse, aux frais de l'organisme sanctionné. Le montant des amendes est perçu par le Trésor Public une injonction de cesser le traitement un retrait de l autorisation accordée par la CNIL En cas d atteinte grave et immédiate aux droits et libertés, le président de la CNIL peut demander, par référé, à la juridiction compétente, d ordonner toute mesure de sécurité nécessaire. Il peut également dénoncer au Procureur de la République les infractions à la législation dont il a connaissance. 11
Déclarations CNIL Déclaration normale : articles 22 et 23 LIL Pour les traitements qui ne relèvent pas d une procédure spécifique. Ex: gestion des RDV, enquête de satisfaction Déclaration simplifiée : article 24 LIL Pour les traitements les plus courants dont la mise en œuvre n est pas susceptible de porter atteinte à la vie privée ou aux libertés. Ex: gestion de cabinets médicaux et paramédicaux (n 50), gestion des pharmacies (n 52), gestions des LABM (n 53) 12
Régime de l Autorisation CNIL Régime de l autorisation : article 25 LIL Certains traitements du fait de la nature des données traitées ou de la finalité poursuivie relèvent du régime de l Autorisation soit Préalable soit Unique : AU-047: Accompagnement et suivi social et médico-social des personnes handicapées et des personnes âgées AU-048: Accompagnement et suivi social des personnes en difficulté AU-049: Accompagnement et suivi social dans le cadre de la prévention et de la protection des mineurs et des jeunes majeurs Exemple de traitements relevant de l Autorisation: gestion administrative des personnes concernées, saisie des problématiques identifiées dans le cadre de l évaluation sociale et médico-sociale des personnes en vue de leur garantir un accompagnement adapté et, le cas échéant, les orienter vers les structures compétentes susceptibles de les prendre en charge, élaboration et suivi du projet personnalisé d accompagnement des personnes, échange et partage d informations entre les intervenants sociaux, médicaux et paramédicaux des informations strictement nécessaires permettant de garantir la coordination et la continuité de l accompagnement et du suivi des personnes. 13
Le CIL dans le secteur médico-social La LIL 2004 introduit le Correspondant à la Protection des Données (CPD) ou CIL. Sa désignation permet au Responsable de Traitement: - de ne plus déclarer ses traitements à la CNIL - il est chargé d inscrire les traitements sur le registre (mise à la disposition de la CNIL en cas de contrôle / à toute personne qui en fait la demande) Seuls les traitements relevant du régime d autorisation ou comportant des transferts de données hors UE continuent à faire l objet de formalités préalables CNIL Ses MISSIONS: - Veille au respect des obligations prévues par la LIL - Est consulté préalablement à la mise en œuvre de nouveaux traitements - Reçoit les réclamations relatives aux traitements du registre - Saisit la CNIL si difficulté dans l exercice de ses missions - Établit le bilan annuel de ses activités La désignation est facultative et ouverte à tout responsable de traitement Possibilité de CIL Externe pour les établissements (moins de 50 salariés). 14
Sécurité Informatique (Art 34 LIL) «Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès» 15
Règlement Européen relatif à la Protection des personnes physiques à l égard du TDCP et à la libre circulation de ces données (27 avril 2016) Entrée en vigueur le 25 mai 2018 Remplace largement la loi Informatique et Libertés Réaffirme la primauté de la Protection de la Personne Responsabilité autonome de l'entreprise Fin des déclarations et du pouvoir normatif de la CNIL Obligations renforcées Sanctions renforcées 4% CA ou plafonné 20M SP Nomination obligatoire du DPO (Délégué à la Protection des données): secteur Santé, médico-social et public 16
Merci de votre attention! thet.sok@cabinet-cilex.com 17