La protection des données personnelles dans les usages des outils numériques

Le défi en matière sociale et médico-sociale

DOI : 10.52497/revue-cmh.103

Plan

Texte intégral

La protection des données à caractère personnel1 est progressivement devenue une préoccupation normative majeure dans le secteur social et médico-social2 au fur et à mesure du développement des traitements automatisés3 dans le cadre des prises en charge4 et de la construction depuis 19785 d’un cadre normatif rigoureux récemment renforcé par le règlement général sur la protection des données (RGPD)6. Cette protection au bénéfice des usagers accompagnés constitue un droit « fondamental » à l’instar de la dignité humaine, du droit à l’intégrité et à la vie privée. Elle renvoie à la délicate préservation de l’intimité et de l’autonomie d’usagers dépendants, à des degrés divers, des agents et structures qui les accompagnent. Dans les faits, cette protection constitue une problématique souvent sous-estimée et mal appréhendée par les acteurs sociaux et médico-sociaux7, comme en témoignent le fréquent retard dans la mise en conformité avec le RGPD et le choix par les collectivités et établissements sociaux et médico-sociaux (ESSMS) de démarches trop descendantes, le caractère peu prégnant de la protection juridique des données et de la sécurité informatique dans les formations proposées aux agents.

La dématérialisation des procédures, l’omniprésence des outils numériques et des nouvelles technologies8 dans les prises en charge élargissent autant les perspectives que les questionnements. Une prise en charge sociale et médico-sociale numérisée qui garantit au mieux la protection des données personnelles implique d’affronter des enjeux usuels ainsi amplifiés (I). Le renforcement de cette protection, dans le cadre du déploiement des outils numériques, constitue une formidable occasion d’interroger et améliorer l’organisation des services et les habitudes de prise en charge des personnes (II). En effet, les leviers d’amélioration consistent en un recours rationalisé et éthique aux traitements automatisés et aux outils numériques générant les données personnelles, au moyen de mesures organisationnelles et de bonnes pratiques (III).

I. Des enjeux amplifiés

La dématérialisation des démarches, le téléservice et, de plus en plus, les objets connectés à finalité thérapeutique facilitent la collecte et l’échange de données personnelles. Un champ des possibles est ouvert pour adapter au mieux la prise en charge, accélérer le rythme des démarches. Mais inévitablement apparaissent de nouvelles problématiques, de nature juridique, déontologique et technique, qui peuvent paraître difficilement conciliables : quelles limites se fixer dans le recours au numérique en matière d’accompagnement social (A) ? Comment préserver la vie privée et l’autonomie d’un usager en situation de dépendance administrative et/ou numérique (B) ? Comment intégrer la protection des données personnelles, qui implique une mise à distance sécuritaire, dans la démarche d’accompagnement social fondée sur le relationnel et la réactivité (C) ?

A. Encadrer le champ des possibles technologiques

La tentation peut être grande de multiplier la collecte et la consultation de données « au cas où » elles seraient nécessaires pour de futures démarches ou encore afin de mieux appréhender les différents pans de la situation de la personne prise en charge. Au point, au nom d’un meilleur accompagnement, de fragiliser involontairement l’expression de son consentement et son droit à la vie privée et de violer le principe de minimisation consacré par le RGPD9. De même, le courriel peut apparaître comme un outil providentiel d’efficacité pour un assistant social, afin d’accélérer des démarches ou de transmettre des informations préoccupantes, avec le risque que le courriel soit capté par un destinataire non autorisé qui pourrait être tenté d’usurper l’identité de l’usager ou que, sous le flot de courriels et d’informations, ainsi que la pression d’efficacité, le destinataire tire hâtivement les conclusions d’un signalement.

Il est clair également que l’utilisation des terminaux mobiles dans l’exercice des fonctions facilite la mobilité au sein d’un service ou d’un bâtiment donné, mais aussi, et surtout lors de déplacements sur le terrain, ou encore le télétravail. Mais la perte, le vol, l’indiscrétion des autres passagers des transports en commun, la perméabilité des réseaux et connexions informatiques fragilisent davantage la protection des données personnelles.

B. Préserver l’autonomie administrative des usagers

L’inégale maîtrise des outils numériques, tant par les usagers que par les agents, conduit involontairement et inévitablement à fragiliser l’autonomie des premiers et à placer les seconds dans des situations peu conformes avec les exigences du RGPD voire fragilisant la sécurité informatique.

Il est clair que les agents peu à l’aise avec l’outil informatique ne le seront pas davantage pour mettre en œuvre les bonnes pratiques. En outre, pris dans le flot de leurs missions, ils sont variablement sensibles à la problématique, n’ayant pas toujours conscience du caractère personnel des données.

Par ailleurs, si les situations des personnes vulnérables sont variées et ne préjugent pas nécessairement de leur aptitude à manier les outils numériques et à mobiliser les droits reconnus, nombreuses sont celles qui ne sont pas en mesure ou en capacité d’y procéder10. Un certain nombre d’usagers maîtrisent le langage administratif, mais pas celui numérique et se retrouvent dans une situation de dépendance à l’égard de leurs interlocuteurs au sein de l’administration ou de leur éventuel mandataire judiciaire à la protection des majeurs, pour réaliser des démarches qui sont de plus en plus11, et parfois exclusivement, numériques – même si le choix doit pourtant être maintenu12. La marginalisation se creuse davantage pour ceux ne maîtrisant aucun des deux langages. Pour sa part, le professionnel social doit assurer une charge supplémentaire, chronophage, de saisie informatique, au détriment de l’échange et l’accompagnement. Pour parer au plus pressé et au mieux, nombre de travailleurs sociaux se placent dans des situations déontologiques et juridiques « limites », face à un usager ne possédant pas d’adresse électronique, pourtant à renseigner pour de nombreuses démarches. Soit l’agent indique son adresse électronique professionnelle au risque d’être submergé de mails et de capter involontairement la circulation des informations intéressant l’usager – ce qui est à proscrire –, soit il l’aide à créer sa propre adresse électronique et, bien souvent, se retrouve à conserver les codes d’accès qui constituent pourtant des données personnelles au sens de la LIL – ce qui doit être encadré. Par ailleurs, l’éventuelle intervention du mandataire judiciaire pour la saisie informatique souligne une autre difficulté pratique, puisque la majorité des plateformes de téléservice ne prévoient pas la possibilité d’une double signature, ce qui constitue une perte d’autonomie supplémentaire pour l’intéressé.

Enfin, qu’ils soient ou non à l’aise avec les outils numériques, les usagers pris en charge sont souvent peu en capacité et/ou trop prit par les préoccupations légitimes du quotidien pour exercer les quelques droits sur leurs données dont ils disposent. Or, de manière générale, les droits reconnus aux administrés sur leurs données personnelles sont circonscrits au nom de l’intérêt général fondant l’action publique. C’est le cas du droit de s’opposer à un traitement qui peut être contré par un motif légitime et impérieux13 ou du droit de s’opposer au profilage14 qui n’est pas reconnu aux administrés, qui peuvent au mieux solliciter un second examen du dossier faisant intervenir une personne humaine15. En outre, la marge d’action des administrés du service public social et médico-social est encore plus restreinte, sauf à ce que des proches ou leurs éventuels mandataires judiciaires les exercent pour eux. En effet, quelle effectivité possible du droit au déréférencement16 dès lors que la prise en charge implique le traitement de bon nombre de données personnelles ou encore du droit à la limitation du traitement17, puisque s’abstenir de mentionner certaines informations revient à courir le risque de ne pas remplir toutes les conditions requises pour bénéficier d’une prise en charge ou d’être accusé de fraude ? De même quelle effectivité pour le droit à la portabilité des données18, qui, pour ces usagers, est uniquement vraisemblable en cas de changement d’ESSMS voire de déménagement dans une autre circonscription administrative ? La même interrogation se pose à propos de l’effectivité des droits d’accès19, de rectification20 et d’information sur l’objet du traitement ou l’éventuel transfert hors Union européenne des données21, qui dépassent les préoccupations légitimes de la plupart des personnes prises en charge par les travailleurs sociaux et les ESSMS.

C. Préserver le lien de confiance et le relationnel direct

La mise en œuvre des exigences de protection des données personnelles se complique dans des pans de l’action publique, tels les domaines sociaux et médico-sociaux, fondés sur le relationnel, la confiance et la mise en réseaux des acteurs. Le respect des protocoles de sécurité informatique peut alourdir les démarches et parfois mettre à distance l’usager. Comment lui expliquer sans le blesser qu’il ne soit pas possible d’insérer dans un ordinateur sa clef USB contenant les documents requis ou qu’il faut la scanner avant de l’ouvrir ? De même, le fait de devoir utiliser les postes informatiques ouverts au public et non plus celui du travailleur social sera plus spontanément perçu comme une complication et une méfiance de la part de l’administration que pour ce qu’elle est, à savoir une mesure organisationnelle de sécurité informatique.

Le ressenti de mise à distance peut également survenir entre collègues, y compris au sein d’un même service. La difficile délimitation de ce qu’est une équipe de soins pour justifier un partage d’informations entre professionnels liés par le secret professionnel ou l’obligation de discrétion22 est ici exacerbée par sa traduction en termes d’accès à tout ou partie des données figurant dans un traitement automatisé. Les interrogations liées à la soi-disant notion de secret partagé et aux dérives d’indiscrétions inutiles que peuvent, de manière aussi évidente qu’inconsciente, engendrer certaines manières de « faire équipe »23 se retrouvent nécessairement à propos de l’accès aux traitements automatisés de données qui doit, pourtant être restreint et cloisonné. Par exemple, comment refuser à un collègue ne relevant pas de l’équipe de prise en charge au sein d’un ESSMS, mais présent lors des réunions-bilans où les situations individuelles sont présentées, la communication d’informations éclairantes pour la prise en charge d’un autre membre d’une famille ? Il peut aussi être mal aisé de respecter l’obligation de secret professionnel face à un chef de service, doté de compétences seulement administratives, qui pratiquerait un management centralisateur pour garantir la qualité du service rendu et solliciterait d’être destinataire des informations relatives à la prise en charge des usagers.

Une prise en charge sociale et médico-sociale numérisée respectueuse au mieux des enjeux de protection des données personnelles implique d’affronter ces problématiques dans le cadre d’une véritable démarche de conduite de changement.

II. Une méthodologie à construire

Dans un contexte de numérisation des relations sociales et publiques, la mise en conformité avec le RGPD constitue un intéressant levier de dynamique organisationnelle et managériale dès lors qu’elle n’est pas uniquement appréhendée en tant que contrainte juridique, reléguée à plus tard ou réalisée hâtivement. Une protection réussie des données personnelles implique une démarche de changement (A), systémique (B) et partenariale (C).

A. Une démarche de changement

La mise en conformité avec le RGPD doit s’inscrire dans une démarche de changement, puisqu’elle procède d’une approche renouvelée de responsabilisation du responsable de traitement, de privacy by default et by design24 et de politique générale de sécurité du système informatique25. Elle est à concevoir et à porter comme une politique interne de conduite au changement et de responsabilisation des agents, aux fins de transparence et de protection des administrés. Si la trame doit être globale et cohérente, elle ne peut être monolithique. Un double mouvement d’acculturation doit se faire entre la protection des données – qui plus est personnelles – dans les usages numériques et chaque pan des missions de la collectivité territoriale ou d’un établissement public local.

Dans les ESSMS et directions des collectivités en charge des affaires sociales, la mise en conformité ne peut se faire sans une réflexion d’ensemble sur l’usage des outils numériques dans l’accompagnement social et médico-social et la collecte des données personnelles : l’existant et le souhaitable au regard des valeurs déontologiques sous-tendant ce secteur. Sécuriser techniquement et juridiquement les données personnelles des usagers permet de pointer du doigt des habitudes et pratiques empiriques, nées de la volonté de bien faire et d’agir efficacement avec les moyens disponibles, mais inadaptées sur ces deux plans et aussi, parfois, peu en adéquation avec le maintien de l’autonomie et de la vie privée des usagers. L’acceptation du changement, et notamment de nouvelles procédures de nature informatique ou juridique, implique un dialogue, ascendant et descendant, associant l’instance représentative des personnels en charge des questions collectives et les représentants des usagers, ainsi que du temps.

B. Une démarche systémique

La protection des données personnelles, qui plus est dans un contexte d’e-administration, exige une démarche systémique.

Elle repose sur l’articulation de leviers de trois ordres : nécessairement, pour partie, sur des mesures techniques de sécurité informatique et le respect d’obligations juridiques – obligation de mettre en place un système informatique sécurisé (SIS) à partir du référentiel général de sécurité (RGS)26 et obligation de se mettre en conformité avec le droit de la protection des données enrichi par le RGPD –, mais aussi sur des obligations déontologiques. En matière sociale et médico-sociale, cette dernière dimension est très prégnante en raison de l’importante quantité de données personnelles collectées et de la moindre attention à cette problématique souvent portée par les usagers eux-mêmes.

La protection des données personnelles implique aussi une responsabilisation et vigilance de tous : non seulement de la personne publique en qualité de responsable du traitement et de ses éventuels prestataires, mais aussi des agents et, pour une part, des usagers – sans omettre les élus dans les collectivités. Partant, elle repose non seulement sur des mesures organisationnelles – de mise en conformité avec le RGPD27 et de sécurité du système informatique28 relevant de la responsabilité du responsable du traitement et impliquant principalement le service de sécurité informatique et le DGS –, mais aussi, au quotidien, sur de bonnes pratiques29 que la structure se doit d’imposer et les agents et usagers de respecter, sous peine de fragiliser voire d’annihiler les mesures organisationnelles.

C. Une démarche partenariale

En raison de sa dimension systémique, du changement organisationnel impliqué, mais aussi de sa complexité et de son coût, la protection des données personnelles doit procéder d’une réelle démarche partenariale interne et externe.

En interne, il s’agit de mobiliser les services support, juridique et informatique, mais aussi l’ensemble des services opérationnels, en associant des agents représentatifs des différents cadres d’emplois et « métiers », au-delà de la consultation des instances de participation en partie composées de représentants des agents. En effet, leur rapport aux données personnelles des usagers ne sera pas le même selon qu’ils sont secrétaires administratifs, travailleurs sociaux, personnels soignants ou encore agents d’entretien. La PGSSI ne peut être définie sans remontée préalable des besoins et difficultés de terrain formulées par des groupes de travail émanant des services fonctionnels et opérationnels, et sans sollicitation du comité départemental de déontologie ou encore, dans les ESSMS, des représentants des usagers. La question des habilitations pour chaque traitement ou encore la détermination des bonnes pratiques impliquent une analyse de terrain, fine et par métiers. Il importe, en outre, de délimiter assez clairement la marge de sur-mesure pour la détermination de bonnes pratiques, à laisser à chaque service ou à harmoniser par catégorie de métiers.

Comme en témoignent de nombreux exemples, la rationalisation du recours au courriel dans le cadre de l’accompagnement social ne peut partir que d’une réflexion et des pistes de solutions exprimées par les assistants sociaux eux-mêmes. Procéder ainsi permet d’apporter une réponse la plus ajustée au regard du champ des possibles et des impondérables, mais aussi d’éviter les initiatives individuelles, à la marge, rompant avec l’homogénéité indispensable à un fonctionnement cohérent et égalitaire du service. Concrètement, l’agent qui constaterait que l’indication de certaines données à caractère personnel habituellement transmises à la commission d’attribution des logements n’est pas nécessaire et contrevient au respect de la vie privée des personnes, n’a pas à prendre seul l’initiative de ne plus les mentionner sur les documents qu’il préparera à l’avenir, mais doit faire remonter à son responsable de service cette problématique, qui devra bien sûr être évoquée au sein de l’équipe, mais nécessairement appréhendée en concertation avec le DPD, et éventuellement nécessitera une adaptation des caractéristiques du traitement ou des procédures internes. Face à l’éventuelle inertie de sa hiérarchie, il lui faudrait réitérer sa demande et, le cas échéant, saisir directement ledit délégué.

L’effectivité et l’efficacité d’une politique de protection des données à caractère personnel reposent également sur les appuis externes que le responsable de traitement saura mobiliser. Eu égard à sa lourdeur, aux enjeux ou zones d’incertitude normative, le responsable du traitement a tout intérêt à s’appuyer sur l’expertise et le conseil d’instances expertes sur les questions de sécurité informatique – l’ANSSI30, le groupement d’intérêt public Cybermalveillance.gouv.fr31, des associations telles CLUSIF ou PrimoFrance – ou de protection des données à caractère personnel – la CNIL, qui n’est pas seulement un contrôleur32… Il importe également qu’il engage un dialogue partenarial avec les autres entités publiques et privées intervenant dans le même domaine, afin que puissent être réduites les asymétries en termes de détermination du contenu et des accès à un traitement relevant de la même catégorie33.

En outre, la mutualisation de tout ou partie de la mise en œuvre du SSI ou de la conformité au RGPD s’impose raisonnablement pour bon nombre de collectivités et d’ESSMS. Elle revêt des degrés divers : groupement de commandes pour les logiciels et les plateformes de téléservice, implémentation du bouton FranceConnect sur le site de la structure afin de disposer d’une navigation sans couture34, mutualisation de la fonction de DPD35 ou de la direction SSI, ou encore, au sein d’un service unifié, de la réalisation de prestations de service liées au traitement desdites données36.

Les problématiques spécifiques et les enjeux méthodologiques préalablement soulignés ont déjà permis d’esquisser les leviers d’action juridique et technique auxquels il convient tout particulièrement de veiller pour la protection des données personnelles des usagers des services publics locaux sociaux et médico‑sociaux.

III. Des leviers de modération

La protection des données personnelles des usagers des services publics locaux sociaux et médico-sociaux procède d’un usage raisonné à la fois des traitements automatisés (A) et des outils numériques vecteurs de ces données (B), ce qui implique de ne pas s’en tenir aux prescriptions standards prévues le RGS et le RGPD repris par la LIL.

A. Un usage rationalisé des traitements automatisés

Cette protection passe d’abord par un usage des traitements automatisés qui soit rationalisé, car conforme au cadre législatif modifié par le RGPD, et éthique. Il n’est pas ici question de revenir sur l’ensemble des préconisations à respecter,37 mais d’insister sur deux relatives à la collecte numérique des données personnelles. Conformément au principe de minimisation, il importe de ne solliciter que des informations utiles pour traiter spécifiquement la demande précise de l’usager ou encore de ne pas exiger une identification pour la simple consultation en ligne des horaires d’ouverture d’un service.

De même, la collecte indirecte, qui permet d’éviter la sollicitation redondante des données « usuelles » nécessaires au traitement d’une démarche administrative par un autre service, doit être utilisée avec rigueur et transparence puisqu’elle déroge au principe d’étanchéité entre les traitements automatisés et qu’une autorité administrative ne saurait créer un fichier de population ou un identifiant unique des usagers d’un téléservice38. Les différents aménagements possibles39 – démarche « dites-le-nous une fois »40, échange interadministrations – impliquent l’information et le recueil préalable du consentement exprès et non équivoque de l’usager.

B. Un usage rationalisé des outils numériques vecteurs

Les modalités et habitudes d’utilisation des outils numériques conditionnent largement l’effectivité de la protection des données personnelles des bénéficiaires de prises en charge sociale ou médico-sociale. Est rationalisé un usage des terminaux et supports mobiles, logiciels et applications, qui est, bien entendu, techniquement sécurisé, mais aussi respectueux de l’autonomie des intéressés.

Leur usage sécurisé passe très classiquement par les usuelles mesures organisationnelles techniques et bonnes pratiques (v. supra) – tout en veillant à ce qu’elles n’alourdissent pas excessivement les procédures et démarches habituelles41 – ainsi que par l’accompagnement au changement des agents. Il repose également sur l’éducation au numérique des usagers sur leurs propres outils ou sur les postes publics, charge qui ne doit pas incomber uniquement aux travailleurs sociaux.

Sur un plan plus déontologique, protéger les données personnelles de ces publics implique de préserver autant que faire se peut leur autonomie dans l’usage concret des outils numériques et les données ainsi collectées ou mobilisées. Cela implique a minima de laisser des marges d’autonomie au moins symboliques au profit d’un usager dans l’incapacité de les manier seul, mais aussi de sécuriser juridiquement l’intervention de l’agent. Dès lors qu’il effectue des démarches administratives électroniques pour le compte d’un usager ne maîtrisant pas l’outil informatique, le travailleur social devrait se faire établir un mandat « autorisant à faire à la place de l’usager ». En cas d’impossibilité pour ce dernier de gérer un coffre-fort numérique, l’agent devrait conserver les codes d’accès dans une enveloppe – aux fins de confidentialité et de sécurité –, ne l’ouvrir qu’en présence de l’intéressé et circonscrire aux circonstances les plus urgentes la sollicitation d’une autorisation expresse écrite de procéder à une démarche en dehors de sa présence. De même, les applications donnant accès à une plateforme numérique de bouquets de services et de géolocalisation des lieux de prise en charge doivent veiller à cloisonner certaines navigations et recherches de l’intéressé, de sorte que le partage d’accès au compte avec le travailleur social soit limité à l’objet précis de l’accompagnement42. En revanche, le recours à la reconnaissance faciale pour sécuriser et simplifier la connexion à un téléservice – telle l’expérimentation de l’application mobile Alicem43 en phase de test sur FranceConnect – ne saurait constituer une solution idoine pour des usagers en situation de dépendance administrative et numérique, sans compter les inquiétudes au regard des libertés publiques44. Le dispositif offre une autonomie relative et illusoire à l’usager internaute qui ne sera pas en mesure de naviguer sur le téléservice et risque de contribuer à marginaliser encore davantage tous ceux – nombreux – qui ne disposent pas d’un smartphone.

Au final, il convient de garder à l’esprit qu’en raison de la vulnérabilité de la majorité des usagers accompagnés, l’effectivité de cette protection incombe surtout aux structures et à leurs agents. Or, le turn-over des agents assurant leur prise en charge quotidienne, dû à la pénibilité et au tentant recours massif à des CDD, ne simplifie pas la donne et constitue un sujet à part entière.

1 Ces données correspondent à toute information se rapportant à une personne physique identifiée (données directement nominatives : nom, prénom) ou

2 Loi n° 2002-2 du 2 janvier 2002 rénovant l’action sociale et médico-sociale ; loi n° 2002-303 du 4 mars 2002 relative aux droits des malades et à

3 Selon la CNIL, il s’agit de « toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte

4 Ils innervent l’organisation et l’activité des services publics sociaux et médico-sociaux, non seulement pour la prise en charge des usagers (

5 Loi Informatique et libertés (LIL) n° 78-17 du 6 janvier 1978 modifiée.

6 Règlement général sur la protection des données n° 2016/679 du 27 avril 2016, entré en application le 25 mai 2018.

7 Yves-Marie Davenel, « Le numérique au sein de l’Action sociale dans un contexte de dématérialisation », Les études connexions solidaires, avril 

8 Terminaux mobiles – ordinateur fixe ou portable, téléphone mobile, tablette –, supports mobiles – disques durs externes et clefs USB –

9 Art. 5 c : les données à caractère personnel collectées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des 

10 Défenseur des droits, Rapport Dématérialisation et inégalités d’accès aux services publics, 2019. 

11 Déclaration fiscale, démarches auprès de la CAF, inscription aux prestations de crèche, de centre de loisirs et de cantine, etc.

12 Les articles L. 112-8 du CRPA et 1er du décret n° 2016-685 du 27 mai 2016 consacrent bien une faculté ouverte aux administrés (CE, 27 nov. 2019, n

13 RGPD, art. 21.

14 RGPD, art. 13.

15 CRPA, art. L. 311-3-1 ; LIL, art. 47.

16 RGPD, art. 17.

17 RGPD, art. 18.

18 RGPD, art. 20.

19 RGPD, art. 15.

20 RGPD, art. 16.

21 RGPD, art. 13 et 14.

22 HCTS, fiche « Les informations à caractère personnel concernant les personnes accompagnées : des données à protéger et parfois à partager », avril

23 Laurent Puech, « Faire équipe est-il préjudiciable au secret professionnel ? », RFSS, n° 172, 2019-1, p. 24. Selon Pascal Duret, « faire équipe c’

24 Apport du RGPD, art. 25. La protection des données à caractère personnel doit être assurée par défaut et conçue dès la création du traitement.

25 Le responsable de traitement doit élaborer un référentiel de sécurité complet. La PGSSI comprend une politique de protection de la vie privée, une

26 Version 2.0 publiée par arrêté du Premier ministre du 13 juin 2014 et étendue par un autre du 10 juin 2015.

27 Tenir un registre des activités de traitement (RGPD, art. 30), établir une PGSSI (art. 32) et des certifications (art. 42), adhérer à des codes de

28 Paramétrer les codes d’accès aux postes informatiques fixes, limiter le recours aux identifiants génériques, sécuriser les connexions au serveur

29 Les bonnes pratiques regroupent à la fois l’« hygiène informatique » (à savoir à un usage des outils informatiques respectueux du protocole de

30 L’Agence nationale de la sécurité des systèmes d’information est un service à compétence nationale rattaché au Secrétaire général de la défense et

31 Il produit des contenus de sensibilisation prenant en compte les problématiques des collectivités territoriales et prodigue des conseils en cas de

32 S’il est obligatoire de coopérer avec la CNIL en cas de sollicitation ou de contrôle, il est très utile de s’appuyer spontanément sur les

33 Tout particulièrement avec Pôle emploi.

34 La mise en place d’un système d’identification unique (SSO en anglais), permettant une navigation sans couture dans les différents sites et

35 RGPD, art. 37. Cela permet de limiter les coûts et de bénéficier de professionnels experts, notamment en adhérant au service de DPD mis en place

36 Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, art. 31.

37 Détermination fine des catégories de données et de bénéficiaires des fichiers automatisés, recueil obligatoire et exprès du consentement de l’

38 Art. 2 de l’arrêté du 4 juillet 2013 autorisant la mise en œuvre par des personnes publiques locales de traitements automatisés de données

39 Art. 2, al. 2 de l’arrêté précité du 4 juillet 2013.

40 Case à cocher au moment de l’inscription au bouquet local de téléservices.

41 Ce qui passe notamment par l’organisation de procédures spécifiques de signalement si le protocole n’a pas pu être respecté dans une hypothèse

42 Dans l’application PEPS de la Ville de Paris, le travailleur social a accès à l’interface PEPS+ dédiée à l’accompagnement par un service social

43 Entrant dans le programme Action publique 2022 et développée par le ministère de l’Intérieur et l’ANTS, elle permet, à tout particulier volontaire

44 Recours en annulation exercé contre le décret autorisant la création d’Alicem, instauration fin 2019 d’une mission parlementaire sur l’identité

Notes

1 Ces données correspondent à toute information se rapportant à une personne physique identifiée (données directement nominatives : nom, prénom) ou identifiable (données indirectement nominatives : soit renvoyant à une seule personne – numéro de sécurité sociale, adresse postale, adresse électronique, adresse IP, identifiant en ligne –, soit relatives à la situation d’une personne et permettant, par recoupement, de l’identifier [RGPD, art. 4]. Les données de santé constituent une catégorie de données personnelles « sensibles » largement entendue : données médicales, données de bien-être collectées par des applications et objets connectés mesurant le poids, l’effort, la tension, données de santé par destination.

2 Loi n° 2002-2 du 2 janvier 2002 rénovant l’action sociale et médico-sociale ; loi n° 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé ; loi n° 2005-102 du 11 févr. 2005 pour l’égalité des droits et des chances, la participation et la citoyenneté des personnes handicapées ; loi n° 2015-1776 du 28 décembre 2015 relative à l’adaptation de la société au vieillissement.

3 Selon la CNIL, il s’agit de « toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction…) ». Un traitement informatique de données personnelles est soumis, par principe, à la LIL et au RGPD (cf. infra).

4 Ils innervent l’organisation et l’activité des services publics sociaux et médico-sociaux, non seulement pour la prise en charge des usagers (gestion des aides financières, accompagnement et suivi social par catégorie de public, gestion des informations préoccupantes et, dans les ESSMS, dossier administratif et dossier santé), mais aussi pour le fonctionnement même de la structure (gestion du personnel, financière et comptable, informatique, des contentieux et, dans les ESSMS, tenue de la base de données clients ou encore campagnes de mailing, phoning et de courrier).

5 Loi Informatique et libertés (LIL) n° 78-17 du 6 janvier 1978 modifiée.

6 Règlement général sur la protection des données n° 2016/679 du 27 avril 2016, entré en application le 25 mai 2018.

7 Yves-Marie Davenel, « Le numérique au sein de l’Action sociale dans un contexte de dématérialisation », Les études connexions solidaires, avril 2016.

8 Terminaux mobiles – ordinateur fixe ou portable, téléphone mobile, tablette –, supports mobiles – disques durs externes et clefs USB –, applications, logiciels, plateformes en ligne, clouds, etc.

9 Art. 5 c : les données à caractère personnel collectées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».

10 Défenseur des droits, Rapport Dématérialisation et inégalités d’accès aux services publics, 2019. 

11 Déclaration fiscale, démarches auprès de la CAF, inscription aux prestations de crèche, de centre de loisirs et de cantine, etc.

12 Les articles L. 112-8 du CRPA et 1er du décret n° 2016-685 du 27 mai 2016 consacrent bien une faculté ouverte aux administrés (CE, 27 nov. 2019, n° 422516, Cimade, Lebon T.).

13 RGPD, art. 21.

14 RGPD, art. 13.

15 CRPA, art. L. 311-3-1 ; LIL, art. 47.

16 RGPD, art. 17.

17 RGPD, art. 18.

18 RGPD, art. 20.

19 RGPD, art. 15.

20 RGPD, art. 16.

21 RGPD, art. 13 et 14.

22 HCTS, fiche « Les informations à caractère personnel concernant les personnes accompagnées : des données à protéger et parfois à partager », avril 2017.

23 Laurent Puech, « Faire équipe est-il préjudiciable au secret professionnel ? », RFSS, n° 172, 2019-1, p. 24. Selon Pascal Duret, « faire équipe c’est mobiliser un groupe pour parvenir à un but commun explicite dont l’atteinte suppose l’interdépendance d’activités individuelles nécessitant d’être ajustées entre elles » (Faire équipe, Paris, Armand Colin, 2011, p. 10).

24 Apport du RGPD, art. 25. La protection des données à caractère personnel doit être assurée par défaut et conçue dès la création du traitement.

25 Le responsable de traitement doit élaborer un référentiel de sécurité complet. La PGSSI comprend une politique de protection de la vie privée, une politique de durée de conservation et d’archivage, un plan de continuité d’activité, une politique de gestion des incidents, des chartes informatiques et une politique de gestion des habilitations (RGPD, art. 32).

26 Version 2.0 publiée par arrêté du Premier ministre du 13 juin 2014 et étendue par un autre du 10 juin 2015.

27 Tenir un registre des activités de traitement (RGPD, art. 30), établir une PGSSI (art. 32) et des certifications (art. 42), adhérer à des codes de conduite (art. 40 et 41), procéder à des études d’impact sur la vie privée (art. 35.1 ; liste des types d’opérations de traitement impérativement concernés : CNIL, délib. n° 2018-327 du 11 octobre 2018), harmoniser la sécurité auprès des partenaires et sous-traitants, instaurer la fonction de délégué à la protection des données – DPD – (art. 37 à 39) et des procédures et paramétrages d’habilitation.

28 Paramétrer les codes d’accès aux postes informatiques fixes, limiter le recours aux identifiants génériques, sécuriser les connexions au serveur, développer le cryptage des courriels et des données sur les terminaux mobiles, installer des logiciels de pare-feu, prévoir des sauvegardes automatiques régulières…

29 Les bonnes pratiques regroupent à la fois l’« hygiène informatique » (à savoir à un usage des outils informatiques respectueux du protocole de sécurité informatique : ne pas divulguer ses codes d’accès, crypter les courriels adressés à un destinataire extérieur, scanner préalablement la clef USB avant de l’ouvrir, vérifier l’identité du demandeur en présence d’un courriel suspect ou l’habilitation de l’agent d’un autre service ou organisme à accéder à des données contenues dans un traitement donné), mais aussi le « bon sens déontologique » (ne pas utiliser les codes d’accès de l’usager en dehors de sa présence, modérer l’usage du courriel et consigner les informations sensibles dans un PDF joint et sécurisé…).

30 L’Agence nationale de la sécurité des systèmes d’information est un service à compétence nationale rattaché au Secrétaire général de la défense et de la sécurité nationale, créé par le décret n° 2009-834 du 7 juillet 2009 et remplaçant la DCSSI. Elle produit des guides (dont un sur l’hygiène informatique), rapports annuels, préconisations et labellisations de produits et logiciels (label EBIOS Risk manager, qualification SecNum Cloud…) et des formations.

31 Il produit des contenus de sensibilisation prenant en compte les problématiques des collectivités territoriales et prodigue des conseils en cas de survenance d’une cyberattaque.

32 S’il est obligatoire de coopérer avec la CNIL en cas de sollicitation ou de contrôle, il est très utile de s’appuyer spontanément sur les référentiels RGPD, recommandations et méthodologie qu’elle élabore ainsi que sur ses conseils sur-mesure en cas d’étude d’impact défavorable.

33 Tout particulièrement avec Pôle emploi.

34 La mise en place d’un système d’identification unique (SSO en anglais), permettant une navigation sans couture dans les différents sites et téléservices d’une collectivité et de ses établissements, implique encore des démarches lourdes et onéreuses auprès des éditeurs de logiciel. Il est possible aux collectivités de bénéficier du SSO France Connect mis en place et financé par l’État, en choisissant un éditeur qui l’implémente déjà sur le portail ou qui accepterait de le faire. Mais il ne peut être utilisé que par des personnes détenant un avis d’imposition ou un compte de sécurité sociale ou, depuis peu, par les détenteurs d’un forfait mobile Orange. Déjà près de 400 collectivités y ont souscrit.

35 RGPD, art. 37. Cela permet de limiter les coûts et de bénéficier de professionnels experts, notamment en adhérant au service de DPD mis en place par les centres de gestion de la fonction publique ou, pour leurs membres, par les EPCI et syndicats mixtes.

36 Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, art. 31.

37 Détermination fine des catégories de données et de bénéficiaires des fichiers automatisés, recueil obligatoire et exprès du consentement de l’usager en amont de toute communication en dehors de l’équipe pluridisciplinaire, prohibition des usages des coordonnées à des fins non compatibles de marketing, de création de profils d’utilisateurs, de mise en place d’une action publique distincte…

38 Art. 2 de l’arrêté du 4 juillet 2013 autorisant la mise en œuvre par des personnes publiques locales de traitements automatisés de données personnelles tendant à la mise à disposition des usagers de téléservices de l’administration électronique, JO 13 juillet 2013, p. 11692.

39 Art. 2, al. 2 de l’arrêté précité du 4 juillet 2013.

40 Case à cocher au moment de l’inscription au bouquet local de téléservices.

41 Ce qui passe notamment par l’organisation de procédures spécifiques de signalement si le protocole n’a pas pu être respecté dans une hypothèse exceptionnelle préalablement déterminée.

42 Dans l’application PEPS de la Ville de Paris, le travailleur social a accès à l’interface PEPS+ dédiée à l’accompagnement par un service social, mais pas aux recherches effectuées par l’usager sur les autres interfaces (ex. démarche de désintoxication).

43 Entrant dans le programme Action publique 2022 et développée par le ministère de l’Intérieur et l’ANTS, elle permet, à tout particulier volontaire, de créer une identité numérique à partir de sa pièce d’identité biométrique, afin d’être en mesure de prouver de manière sécurisée son identité sur internet (décret n° 2019-452 du 13 mai 2019).

44 Recours en annulation exercé contre le décret autorisant la création d’Alicem, instauration fin 2019 d’une mission parlementaire sur l’identité numérique, organisation en 2020 par le Conseil national du numérique de consultations citoyennes pour définir un « modèle d’identité numérique ».

Citer cet article

Référence électronique

Aurélie VIROT-LANDAIS, « La protection des données personnelles dans les usages des outils numériques », La Revue du Centre Michel de L'Hospital [En ligne], 20 | 2020, mis en ligne le 25 septembre 2021, consulté le 29 mars 2024. URL : http://revues-msh.uca.fr/revue-cmh/index.php?id=103

Auteur

Aurélie VIROT-LANDAIS

Maître de conférences en droit public, Université de Poitiers, Institut de droit public (IDP, EA 2623)

Droits d'auteur

Attribution 4.0 International (CC BY 4.0)