Il y a du contrôle dans l’air. La Commission Nationale Informatique et Libertés vient de publier 2 informations qui intéresseront les services sociaux et éducatifs.
La première en date du 26 aout s’intitule « Les données personnelles dans le secteur social : les grandes notions« . Elles concernent principalement les gestionnaires de systèmes informatiques (SI) qui recueillent des données à caractère social. C’est un rappel qui porte sur des aspects essentiels en répondant à 5 questions
- Qu’est-ce qu’une donnée personnelle ? C’est toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement. (suivent des exemples dans le champ du travail social)
- Qu’est-ce qu’un traitement de données personnelles ? : C’est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé.
- Qu’est-ce qu’une finalité ? C’est le but poursuivi par le fichier créé : à quoi va-t-il servir ? Attention, cet objectif doit être défini précisément avant de mettre en place le traitement. (des exemples sont donnés sur l’accompagnement et le suivi social et médico-social des personnes âgées, handicapées ou en difficulté afin de saisir les problématiques identifiées et offrir un accompagnement adapté)
- Que sont les données sensibles ? Ce sont celles qui concernent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale ; elles comprennent également les données génétiques, les données biométriques, les données concernant la santé et les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. (Le traitement de ces données est par principe interdit sauf dans des cas limitatifs)
- Qu’est-ce qu’un responsable de traitement données personnelles et quelles sont ses obligations ? : c’est la personne, l’autorité publique, la société ou l’organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement et qui décide de sa création. ( Il doit être en mesure de garantir et de démontrer, à tout moment, la conformité du traitement aux exigences du RGPD en traçant toutes les démarches entreprises)
Des contrôles à venir ?
Ce petit rappel notamment sur le Règlement Général de Protection des Données alors que l’on sait que de nombreux services sociaux ne le respectent pas laisse présager des contrôles inopinés. Pourquoi ? C’est la deuxième information publiée par la CNIL qui nous l’indique.
L’autorité indépendante a publié le 1er septembre soit quelques jours ce rappel une autre information intitulée « Contrôles de la CNIL : une charte pour tout comprendre« . La CNIL rappelle à cette occasion qu’elle peut effectuer des contrôles auprès de l’ensemble des organismes qui traitent des données personnelles. Et pour ne prendre personne de court, elle présente une charte qui précise ses modalités d’intervention.
« Les vérifications sont particulièrement encadrées. Elles peuvent s’effectuer sur place, sur convocation dans ses locaux, en ligne ou sur pièces. 300 contrôles ont ainsi été réalisés en 2019, dont 53 contrôles en ligne et 45 contrôles sur pièces. Si les plaintes et réclamations sont une source importante de contrôles (43 % en 2019), la CNIL peut également effectuer des investigations de sa propre initiative, par exemple en réponse à l’actualité. En outre, elle établit chaque année un programme des thématiques prioritaires pour les contrôles à venir ».
Pour être encore plus clair de gendarme des pratiques informatiques précise qu’en raison des enjeux particulièrement forts de ces contrôles, il est essentiel que les organismes concernés comprennent le déroulement de ces investigations et sachent comment la CNIL peut intervenir.
Bref, attention si vous n’avez pas engagé un travail de mise en conformité avec les règles générales de protection des données, et que vous êtes contrôlé, vous ne pourrez pas dire que vous n’aurez pas été prévenu !
photo : freepik user18526052