Scroll Top
Les recommandations de la CNIL du mois
Partager l'article



*




Médico-social : combien de temps conserver les données ?

Article rédigé le 9 décembre 2023 par Me Laurence Huin

La CNIL vient d’adopter un nouveau référentiel sur les durées de conservation pour les traitements de données à caractère personnel les plus courants menés dans le secteur social et médico-social. Ehpad, SAAD et SIAD et futurs SAD, services de la protection de la petite enfance, SAMSAH, GCSMS par exemple vont pouvoir se référer à ce référentiel pour limiter la conservation des données personnelles qu’ils traitent dans le cadre de leur activité.
Mais qu’apporte de nouveau ce référentiel en comparaison des autres référentiels, guides et lignes directrices déjà publiés par la CNIL, spécifiques au médico-social ou non ?
Comme promis, nous vous apportons des explications illustrées par un schéma selon notre nouveau credo : tout ce qui se conçoit bien, se schématise aisément !

 

À quoi sert le nouveau référentiel sur les durées de conservation pour les données à caractère personnel ?

La Délibération n°2023-095 du 14 septembre 2023 de la Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL ») paru au Journal officiel de la République du 15 novembre dernier a permis l’adoption d’un référentiel « durées de conservation » pour les traitements de données à caractère personnel les plus courants menés dans le secteur social et médico-social.

Ce nouveau référentiel, sous forme de tableau, va guider les différents établissements intervenant dans ces secteurs, responsables de traitement au sens de la réglementation sur les données personnelles, pour déterminer une durée de conservation opérationnelle et adaptée en distinguant la conservation en base active (les données sont conservées car nécessaires à la réalisation de l’objectif de leur collecte) et en base intermédiaire (les données personnelles ne sont plus utilisées pour atteindre l’objectif fixé (« dossiers clos ») mais présentent encore un intérêt administratif pour l’organisme).

Ce référentiel constitue une véritable aide pour déterminer quand supprimer ou archiver les données. En effet, l’objectif de ce référentiel est de pouvoir accompagner les responsables de traitement des organismes privés ou publics œuvrant dans le secteur social et médico-social dans leur mise en conformité aux règles posées par la réglementation sur les données personnelles et ses grands principes en matière de gestion des données à caractère personnel prévus par l’article 5 de la réglementation, et en particulier celui de la limitation de la conservation des données.

En effet, la question de la détermination d’une durée de conservation des données à caractère personnel est un sujet épineux et complexe au cœur de la mise en conformité aux règles du RGPD, qui peut rapidement devenir un sacerdoce pour les responsables de traitement qui peinent à justifier leurs durées de conservation retenues lorsqu’aucune durée n’est posée par un texte légal ou réglementaire.

Ce référentiel est-il vraiment obligatoire ?

Au sein du référentiel, le tableau distingue :

  • les durées prévues par des textes légaux qui sont donc des durées obligatoires imposées par la réglementation
  • les durées prévues par des textes cités sont des durées recommandées par la CNIL, qui ne revêtent pas un caractère obligatoire.

 

En effet, pour rappel, les référentiels adoptés par la CNIL n’ont pas de valeur contraignante et ne sont pas opposables aux responsables de traitement dans le cadre de leurs activités. Ces derniers peuvent donc s’écarter des préconisations de ces référentiels, à condition toutefois de pouvoir justifier et documenter leur choix sous leur responsabilité, et ce conformément au principe de responsabilité du RGPD (« accountability ») imposant aux responsables de traitements une logique de documentation de leur conformité au RGPD.

Si ce référentiel n’est pas obligatoire, quelle différence avec le référentiel entrepôt de données de santé qui lui est obligatoire sauf à obtenir une autorisation de la CNIL ?

C’est vrai, on peut parfois se perdre entre les différents référentiels, recommandations, lignes et avis de la CNIL. Pour vous y retrouver, nous vous avons concocté un schéma récapitulatif.

Schéma CEPD CNIL

Ce référentiel est-il exhaustif ?

La CNIL souligne pour autant le caractère non-exhaustif de ce référentiel qui a pour objectif de couvrir les traitements les plus courants, tels que l’instruction, la gestion et le versement des prestations sociales légales.

Une fiche pratique dédiée à la détermination d’une durée de conservation pertinente complète ce référentiel afin d’accompagner étape par étape le responsable de traitement dans la gestion des durées de conservation des données qu’il collecte pour les besoins de son activité et des services proposés par son établissement.

La fiche pratique propose une mise en conformité sur les durées de conservation en 5 étapes :

  • identifier les interlocuteurs en interne ;
  • comprendre les phases successives d’utilisation des données ;
  • déterminer la réglementation applicable à la structure ;
  • définir et appliquer la durée adéquate en lien avec les opérationnels ;
  • assurer la continuité des procédures en interne.

 

Parmi les interlocuteurs on trouve, outre les directeurs chefs de service, bénévoles responsables, le délégué à la protection des données (DPO/DPD).

 

De précédents référentiels spécifiques au médico-social

Pour toutes les questions qui resteraient en suspens sur la détermination des durées de conservation, les établissements du médico-social pourront également se référer aux autres référentiels publiés par la CNIL.

A ce titre, la CNIL n’est pas à son premier référentiel « sectoriel » visant le secteur social et médico-social, et avait déjà produit en mars 2021 un référentiel pour le suivi médico-social des personnes âgées, en situation de handicap, ou en difficultés, ainsi qu’un autre référentiel en février 2022 sur la protection de l’enfance et des majeurs de moins de 21 ans, ou encore en mai 2021 un guide pédagogique élaboré en lien avec l’Unaf (« Union nationale des associations familiales ») destiné à accompagner les professionnels du secteur social et médico-social dans leurs premières démarches de mise en conformité avec le RGPD.

Les deux référentiels précités comportaient déjà des durées de conservation, pour la plupart reprises dans ce nouveau référentiel qui lui est entièrement consacré à la détermination de ces durées.

Dès lors, ce nouveau référentiel a une vocation plus large que ceux préexistants dans la mesure où celui-ci abandonne la logique d’un référentiel visant une catégorie de personnes concernées par les traitements de données à caractère personnel (personnes âgées, personnes mineurs, …) pour adopter une vision plus structurelle et générale en visant les traitements les plus fréquents dans le secteur social et médico-social.

Enfin, on pourra également citer d’autres référentiel de la CNIL qui pourraient aider nos établissements du secteur social et médico-social pour déterminer des durées de conservation :

 

La tendance à la concertation

Enfin, on note également que ce référentiel a été réalisé dans le cadre d’un groupe de travail social et médico-social en concertation avec différents acteurs institutionnels œuvrant quotidiennement auprès des professionnels des secteurs concernés. Nous retrouvons au sein de ce groupe l’Unaf, NEXEM, la Fédération des acteurs de la solidarité, et enfin le groupe social et médico-social social de l’association française des correspondants à la protection des données (AFCDP) auquel notre cabinet est membre.

La CNIL précise par ailleurs que l’objectif de ce groupe de travail est de « co-produire des outils (fiches pratiques, élaboration de mentions d’information, etc.) sur des thèmes précis (durées de conservation, information des personnes, registre des traitements, etc.) afin de faciliter la mise en œuvre de la réglementation en matière de protection des données personnelles pour l’ensemble des professionnels des secteurs ».

Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.