Le résident a en permanence sont droit d’accès, de rectification et d’opposition concernant ses données à caractère personnel.

La Cnil veille au grain

La gestion des fichiers informatiques nominatifs des résidents mais aussi des salariés des établissements est extrêmement encadrée. Les directeurs d’établissements doivent notamment respecter une procédure déclarative très précise auprès de la Cnil.

Le principe général

À partir du moment où l’on automatise en l’informatisant le traitement de données à caractère personnel au sein d’un établissement, qu’il s’agisse des résidents mais aussi des salariés (voir encadré ci-après), le responsable de ce traitement – en règle générale, le directeur de l’établissement – doit en avertir la Commission nationale informatique et libertés (Cnil) par le biais de déclarations.

Ces déclarations doivent être effectuées avant l’activation du traitement, autrement dit, avant le déploiement du projet informatique dédié. Et ce, en remplissant les formulaires correspondants téléchargeables sur le site Internet de la Cnil (www.cnil.fr) ou via la télédéclaration Cnil.

Sont considérées comme des données à caractère personnel toutes celles qui permettent d’identifier directement ou indirectement une personne (numéro de Sécurité sociale, de contrat etc.).

Déclaration, mode d’emploi

Il s’agit d’un document extrêmement complet dans lequel le responsable du traitement précise la raison d’être du traitement automatisé des données personnelles, en somme, à quelle nécessité il obéit et sa finalité. En l’occurrence, la gestion des demandes d’admission ainsi que le suivi administratif et bien sûr médical des résidents. Autant de motifs qui justifient, dans le cadre de ses activités médicales et socio-médicales, la création d’un Système d’information (SI) recensant l’ensemble de ces traitements des données à caractère personnel. En fonction de la finalité retenue par le responsable du traitement, l’établissement procédera aux déclarations à la Cnil relevant soit d’une déclaration normale, simplifiée, soumise à autorisation ou encore soumise à avis de la Cnil.

Outre les finalités de ce SI, d’autres données doivent

figurer dans la déclaration : quelles catégories de personnes sont concernées, le type de données collectées, leur durée de conservation, leurs utilisateurs au sein de l’Ehpad mais aussi les destinataires de ces informations, les échanges et les transferts envisagés (par exemple, lorsqu’un Ehpad est rattaché à un hôpital ou a noué une convention avec lui), les règles de sécurité informatique mises en place etc.

Après cette déclaration initiale, il revient au responsable du traitement de veiller à l’application de la loi Informatique et libertés au sein de son établissement et d’assurer le suivi de ces traitements, par exemple en cas de modification de la durée de conservation des données ou de changement de leurs destinataires. Ces addendum successifs constituent le suivi et l’historique du traitement des données personnelles au sein de l’établissement.

L’ensemble de ces procédures engage juridiquement le déclarant qui doit s’en tenir scrupuleusement à ce qui est mentionné dans la/les déclaration(s). Outre l’obligation déclarative à la Cnil, s’ajoutent des obligations de conformité en matière de respect des droits des personnes concernées (résidents et personnels de l’Ehpad) et de sécurité informatique. Leur respect est assimilé à un droit des usagers, en l’occurrence des résidents. La sécurité informatique des SI est également un critère pris en compte lors de la délivrance de certifications aux Ehpad et de la mise en place d’une démarche qualité.

Le non-respect de ces obligations Cnil peut entraîner les sanctions suivantes :

– Jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.

– Des sanctions administratives (fermeture de l’établissement, suspension du directeur d’établissement).

– Des sanctions pécuniaires.

– Retrait des certifications…

Le traitement des données en interne

Pour chaque résident, ces données sont réparties d’une part, dans son dossier de gestion administrative (nom, adresse, état civil…) et d’autre part, dans son dossier médico-social (état de dépendance, pathologies chroniques…).

Première règle, elles doivent dans tous les cas être collectées dans un but précis (la gestion administrative, le suivi médical…). La notion de finalité est essentielle. Toute utilisation autre que celle figurant dans la déclaration à la Cnil, a fortiori si elle est illégale, est évidemment prohibée. Il est ainsi interdit de communiquer des données personnelles à des laboratoires à des fins commerciales. En cas de contrôle Cnil, le non-respect de cette finalité constitue un délit de détournement de finalité.

L’architecture du Système d’information de l’Ehpad découle directement de cet impératif. La loi impose en effet de distinguer le traitement des dossiers administratifs de celui des dossiers médicaux car la finalité est différente. Elle instaure un cloisonnement informatique afin d’empêcher le mélange des données et leur gestion regroupée, lesquels favorisent justement leur utilisation détournée.

Avant l’ouverture du dossier d’un nouveau résident et donc du traitement automatisé des données le concernant, celui-ci doit être dûment et précisément informé (en particulier dans le livret d’accueil remis lors de l’admission) de l’existence de ces fichiers personnalisés et informatisés ainsi que de l’utilisation dont ils seront l’objet (principe du consentement). À cette fin, l’Ehpad doit lui faire signer un formulaire dans lequel il est précisé que pour assurer son suivi administratif et médical, l’établissement doit collecter certaines données. À noter que le résident a en permanence un Droit d’accès, de rectification et d’opposition (Daro), autrement dit, de refuser pour des motifs légitimes que certaines données sensibles soient  l’objet d’un traitement ou d’une exploitation) portant sur l’ensemble de ses données personnelles.

Enfin, en ce qui concerne le contenu des fichiers, il est interdit d’y faire figurer des informations ayant trait aux orientations sexuelles de la personne, à sa religion ou encore à ses origines sauf les cas prévus par la loi.

Thet Sock, Directrice associée et juriste Cnil du GIE Data Santé.

Les données de santé particulièrement protégées

Tout comme leur collecte et leur traitement, la transmission des données de santé portant sur l’état physique et mental de la personne doit faire l’objet d’une déclaration expresse auprès de la Cnil et, dans certains cas, d’une demande d’autorisation, laquelle est le plus souvent délivrée de manière indirecte : l’absence de réponse négative de la Cnil dans les deux mois qui suivent la demande permet au responsable du traitement de mettre en place le traitement à condition que les critères de conformité et de sécurité informatique soient remplis.

Reste que la transmission entre professionnels de santé des données de santé informatisées n’est pas pour autant libre. Pour qu’elle soit possible, l’Ehpad doit préalablement recueillir le consentement de la personne concernée.

Il existe néanmoins des dérogations ou aménagements de ce principe :

– En cas de perte des facultés intellectuelles et de discernement du résident, les professionnels de santé peuvent, dans le cadre du parcours de soins, échanger certaines données.

– En cas d’urgence, le droit médical prévaut, autrement dit, si le personnel médical estime que la vie de la personne est en danger, il peut s’affranchir de la nécessité du consentement obligatoire du résident.

L’échange des données de santé doit systématiquement répondre à des critères de sécurité informatique stricts notamment pour satisfaire aux obligations de protection et de confidentialité des données de santé et médico-sociales.

Qui fait quoi ?

Le plus souvent, c’est le directeur de l’Ehpad qui est considéré comme le responsable du traitement informatisé des données personnelles. Il peut déléguer ses missions de conformité Cnil au Correspondant informatique et libertés (Cil) qu’il nommera expressément, comme la loi du 6 août 2004 le permet. En interne, le Cil sera chargé de veiller à la légalité dudit traitement.

Dans ce cas, il n’y a plus de déclaration à effecteur auprès de la Cnil sauf en cas de demande d’autorisation ou avis de la Cnil pour certains traitements. Seules les déclaration normales et simplifiées sont simplement consignées dans un registre au sein de l’établissement au nom d’une présomption de bonne foi et de compétence du Correspondant informatique et libertés. En effet, pour être habilité à occuper cette fonction, ce dernier doit avoir suivi une formation juridique mais aussi en informatique, en théorie de niveau Bac +4. Il sera l’interlocuteur de la Cnil au quotidien. Dans sa lettre de mission, le Cil est chargé de veiller à l’application de la loi Informatique et libertés. Le responsable du traitement reste cependant responsable en cas de dérive ou de manquement en la matière.

Le Cil peut être le DRH ou encore un chef de service. Il est également possible de mutualiser ce poste, ce qui est parfois le cas au sein de groupements d’Ehpad. Dès lors, une même personne est le Correspondant informatique et libertés de plusieurs voire de la totalité des établissements du groupe. 

La Cnil, une instance aux pouvoirs élargis

La Cnil a des pouvoirs de contrôle et de police. C’est également une juridiction indépendante dans la mesure où elle peut prononcer des sanctions administratives et pécuniaires. Elle veille en effet à la bonne application de la législation au sein des établissements, c’est-à-dire à la conformité entre ce qu’ils ont déclaré et leurs pratiques effectives en matière de traitement des données personnelles.

La Cnil peut être amenée à contrôler un Ehpad :

– Suite à une plainte d’un salarié ou d’un résident qui s’estime lésé parce que des données qui le concernent ont été utilisées de manière illégale ou à d’autres fins que celles prévues. La Cnil diligente alors une enquête en demandant à la direction de l’établissement de lui fournir des pièces justificatives voire en envoyant un représentant sur place.

– Suite à une délation d’un tiers accusant l’établissement de ne pas répondre aux obligations de la loi en matière de sécurité informatique, d’information des résidents etc.

– Dans le cadre normal de ses programmes de contrôle d’autant que chaque année, la Cnil s’intéresse plus particulièrement à un ou plusieurs secteurs (banque, assurance, santé etc.). Elle diligente des vérifications aléatoires et des contrôles inopinés dans les établissements, notamment en vérifiant l’historique de leurs déclarations.

Alexandre Terrini avec Thet Sok (Directrice associée et juriste Cnil du GIE Data Santé – www.giedatasante.fr)

 

Un arsenal législatif complet La collecte, le traitement informatisé et la protection des données personnelles sont l’objet de plusieurs textes. En ce qui concerne plus particulièrement les Ehpad, on recense essentiellement : – La loi fondatrice du 6 janvier 1978, dite Informatique et libertés, laquelle a été modifiée par la loi du 6 août 2004 qui évoque notamment les données de santé. – La loi du janvier 2002 portant réforme de l’action sociale et médico-sociale. – La loi du 4 mars 2002 relative aux droits des patients et à la qualité du système de santé. La législation s’applique à tous les Ehpad quels que soient leur statut (public, privé  lucratif, associatif), leur taille et leur mode de fonctionnement (rattaché à un groupe ou pas).

 

Les personnels aussi Toutes les entreprises publiques et privées quels que soient leur secteur d’activité et leur taille sont soumises à une déclaration à la Cnil à partir du moment où la gestion des personnels (contrat d’embauche, fiches de paie, suivi formation et des carrières etc.) font l’objet d’un traitement automatisé et informatisé. En effet, il s’agit là de données à caractère personnel qui tombent sous le coup de la loi Informatique et libertés.