top of page
Rechercher

Traitement des données en ESSMS: destinataires des données et accès

  • Photo du rédacteur: CC Avec tact
    CC Avec tact
  • 16 déc. 2024
  • 4 min de lecture

Les données personnelles ne peuvent être rendues accessibles qu’aux seules personnes habilitées.

D’une manière générale, les habilitations d’accès doivent être documentées par les organismes, et les accès aux différents traitements doivent faire l’objet de mesures de traçabilité (Voir le point relatif à la sécurité).


Sauf cas particuliers, Le partage des informations collectées devrait notamment respecter les principes suivants :

  • les informations échangées ne doivent servir qu’à évaluer la situation de la personne accompagnée ou des proches concernés afin de déterminer les actions à mettre en œuvre ;

  • ces échanges d’informations doivent être strictement limités à l’accomplissement des missions de l'ESSMS mettant en œuvre le traitement ;

  • ils ne peuvent pas porter sur l’ensemble des informations dont les intervenants sont

    dépositaires mais doivent être limités à celles nécessaires à l’accompagnement et au suivi des personnes, dans le respect de leur vie privée ;

  • les échanges doivent être réalisés dans les conditions fixées par les textes législatifs et

    réglementaires.


Les personnes accédant aux données pour le compte du responsable de traitement

Seules les personnes habilitées au titre de leurs missions ou de leurs fonctions peuvent accéder aux données à caractère personnel traitées, et ce dans la stricte limite de leurs attributions respectives et de l’accomplissement de ces missions et fonctions.

Il peut s’agir, par exemple, des professionnels et de tout membre du personnel de l’établissement, du service concourant à une ou plusieurs des finalités susvisées, dans la limite de leurs attributions respectives et des règles encadrant le partage et l’échange d’informations (p. ex. : l’équipe pluridisciplinaire des MDPH visée par les dispositions de l’article L. 146-8 du CASF, les professionnels et tout membre du personnel membre de la même équipe de soins exerçant au sein du même établissement, etc.).


Les destinataires des données

Le RGPD définit les destinataires comme « tout organisme qui reçoit la communication des données ».

Avant toute communication des informations, le responsable de traitement doit d’une part, s’interroger sur la finalité de la transmission pour s’assurer de sa pertinence et de sa légitimité et, d’autre part, vérifier que les données communiquées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie.

Dans le cadre de ce référentiel, peuvent notamment être destinataires des données (liste non exhaustive) :

  • s’agissant de données traitées par une personne soumise au secret médical/professionnel, les professionnels et tout membre du personnel membre de la même équipe de soins ou non et n’exerçant pas au sein du même établissement, sous réserve dans ce dernier cas du recueil du consentement de la personne concernée conformément aux dispositions de l’article L. 1110-4 du CSP, qui participent à une ou plusieurs des finalités susvisées ;

  • les personnes appelées à intervenir dans la gestion financière et successorale du patrimoine de la personne ayant fait l’objet d’un accompagnement et d’un suivi ;

  • les organismes instructeurs et payeurs de prestations sociales ;

  • les organismes financeurs et gestionnaires, s’agissant exclusivement de données

  • préalablement anonymisées, à l’exception de ceux autorisés par une disposition légale ou réglementaire à obtenir la communication de données à caractère personnel des personnes accompagnées ;

  • les autorités administratives compétentes mentionnées par les dispositions des articles

    R. 331-8 et suivants du CASF, s’agissant exclusivement de données préalablement

    anonymisées, dans le cadre des signalements de dysfonctionnement grave ou évènement ayant pour effet de menacer ou de compromettre la santé, la sécurité ou le bien-être des personnes prises en charge.


Les sous-traitants

Le RGPD définit les sous-traitants comme « La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Il peut s’agir, par exemple, des prestataires de services informatiques (hébergement, maintenance, etc.) ou encore de tout organisme offrant un service ou une prestation impliquant un traitement de données à caractère personnel pour le compte d’un autre organisme (p. ex. : la gestion de la paie des salariés ou des agents, etc.).

Le responsable de traitement qui souhaite avoir recours à un sous-traitant doit veiller à ne faire appel qu’à des organismes présentant des garanties suffisantes. Un contrat définissant les caractéristiques du traitement ainsi que les différentes obligations des parties en matière de protection des données doit être établi entre elles (article 28 du RGPD).

Pour en savoir plus, un guide du « sous-traitant », édité par la CNIL, rappelle ces obligations et donne des exemples de clauses à intégrer dans les contrats.


Les tiers autorisés

Les autorités légalement habilitées sont susceptibles, dans le cadre d’une mission particulière ou de l’exercice d’un droit de communication, de demander au responsable de traitement la communication de données à caractère personnel (p. ex. : Pôle emploi ou les organismes de sécurité sociale dans le cadre de la lutte contre la fraude, les administrations de la justice, de la police, de la gendarmerie, etc.).


Dans ce cas, le responsable du traitement doit s’assurer du caractère contraignant de la disposition avancée et ne transmettre que les données prévues par le texte, ou, si ce dernier ne les liste pas, les seules données indispensables au regard de la finalité du droit de communication en question.


Pour en savoir plus, l’organisme a la possibilité de consulter le guide pratique « tiers autorisés » sur le site web de la CNIL


Les transferts de données à caractère personnel en dehors de l'Union Européenne

Pour assurer la continuité de la protection des données à caractère personnel, leur transfert en dehors de l’Union européenne est soumis à des règles particulières.

Ainsi, conformément aux dispositions des articles 44 et suivants du RGPD, toute transmission de données hors de l’UE doit :

  • être fondée sur une décision d'adéquation ;

  • ou être encadrée par des règles internes d'entreprise (« BCR »), des clauses types de protection des données, un code de conduite ou un mécanisme de certification approuvé par la CNIL ;

  • ou être encadrée par des clauses contractuelles ad hoc préalablement autorisées par la CNIL ;

  • ou répondre à une des dérogations prévues à l'article 49 du RGPD.


Pour en savoir plus, l’organisme a la possibilité de consulter la rubrique « Transférer des données hors de l’UE » sur le site web de la CNIL.

 
 
 

Comments

bottom of page