Protection des données : 6 recommandations de l’Association Nationale des Assistant(e)s de Service Social

[current_page_url]

L’association nationale des assistant(e)s de service social vient de mettre en ligne un communiqué intitulé: « Vie privée, confidentialité, RGPD : quand prendre soin de l’autre passe aussi par la protection des données« . Il fait suite à une consultation engagée par la Commission Nationale Informatique et Libertés (CNIL) sur un projet de référentiel dans le secteur social dans le cadre du respect du RGPD (règlement général de protection des données). L’ANAS, qui a été auditionnée sur le contenu de ce projet a formulé 5 remarques et 6 préconisations. Quelles sont-elles ?

  • 1. Les bases légales autorisant le traitement et la collecte des données ne sont pas suffisamment précises.

    Il faudrait expliciter les termes utilisés dans ce projet de référentiel. En effet, certains termes peuvent être interprétés de façons différentes. L’ANAS donne un exemple : Comment définir ce qu’est un intérêt légitime ? Ce concept est sujet à discussions, voire à des désaccords dès lors qu’il est utilisé par une personne accompagnée ou par un service qui recueille des données. La légitimité de l’un n’est pas forcément reconnue par l’autre. Certes la CNIL a défini ce concept inscrit dans le RGPD mais il est quand même polysémique. Il est nécessaire de les détailler plus finement car les termes peuvent être détournés de leur sens.

    • proposition de l’ANAS : Il faudrait détailler plus finement les termes pouvant être détournés de leur sens. 
  • 2. La collecte des données : une vigilance à maintenir à chaque instant.

    Il est rappelé à juste titre que la collecte des données doit être réalisée selon le principe de minimisation et de leur utilisation en adéquation avec la finalité poursuivie. Là aussi l’association prend un exemple avec les demandes d’allocation personnalisée d’autonomie (APA) : le support pour l’évaluation multidimensionnelle APA intègre un item demandant de préciser la « situation budgétaire actuelle ». Cet élément n’est pas utilisé pour l’attribution de l’APA., En toute logique l’ANAS s’interroge  sur la nécessité de recueillir ce type d’informations. De plus, 12 pages de collecte de données paraissent conséquentes pour répondre à l’objectif d’accéder à une aide au maintien à domicile. Ou est la minimisation du recueil d’informations ? Autre question : est-il possible de parler de proportionnalité dans le recueil de données lorsque la saisie est obligatoire dans le cadre de l’instruction d’un dossier de demande d’aide ? 3ème aspect et non des moindres, l’interconnexion des données entre différentes institutions.  Le RGPD appelle l’attention de chacun·e quant à l’impérieuse nécessité de vigilance vis-à-vis des données personnelles des personnes accompagnées. Or ces données circulent entre différents partenaires. par exemple avec les plateformes SI-SIAO, Via Trajectoire, TERR-eSANTÉ, etc.

    • Proposition de l’ANAS : La CNIL est invitée à se pencher sur les risques  de dérives avec l’interconnexion des données et de destinataires. Il faudrait ajouter dans le projet de référentiel un point spécifique sur « les tiers associés » à la saisie du traitement de données non employés par les institutions responsables de traitements
  • 3. L’articulation entre RGPD et secret professionnel : une clarification est nécessaire.

    L’ANAS rappelle que l’article 226.13 régissant le secret professionnel reste toujours en vigueur. Ce n’est pas parce qu’une possibilité de partage d’information existe qu’il est légal de partager toute information au sein d’un traitement de données à caractère personnel. De même, le seul fait d’être soumis au secret professionnel n’ouvre pas de droits spécifiques à l’accès à des informations à caractère secret recueillies par un autre professionnel.

    • Proposition de l’ANAS : Ce référentiel devrait être l’occasion de rappeler que chaque profession relevant de l’article 226-13 du code pénal se réfère à la même notion de secret professionnel. Il faudrait dans le document clarifier l’articulation entre Règlement Général sur la Protection des Données et le secret professionnel régit par la loi.
  • 4. « Céder n’est pas consentir ». 

    Le consentement des personnes, interroge l’ANAS. « Celui-ci est-il libre et éclairé lorsqu’il est attendu un possible secours financier en échange de la collecte de données personnelles ? Qu’en est-il alors du droit de s’opposer au traitement comme précisé dans le RGPD ?«  demande l’association

    • Proposition de l’ANAS : Il faudrait préciser ce qu’est la notion de consentement quand la saisie de données est obligatoire.
  • 5. S’approprier le RGPD :  un enjeu central pour chacun.

    Le règlement européen  invite à réinterroger les pratiques professionnelles et institutionnelles. Et c’est une bonne chose. Dans ce cadre, l’association formule 2 propositions :

    • Les assistant·e·s de service social devraient pouvoir demander l’accès à l’analyse d’impact concernant les logiciels institutionnels et professionnels qu’ils utilisent afin de comprendre les enjeux relatifs à son utilisation.
    • Les professionnel·le·s et les usager·e·s devraient être associé·e·s et donner leur avis dans la conception et la mise en place d’un traitement de données à caractère personnel.

En Conclusion l’ANAS regrette les manques de ce référentiel CNIL qui reste incomplet

Certains aspects auraient pu être beaucoup plus précis.  Il aurait fallu  un document qui apporte des éclairages sur chaque champ d’activité impliquant des éléments de clarification contextuelle  : un pour les personnes âgées, un autre pour les personnes en situation de handicap, un autre pour les personnes en insertion professionnelle, etc.

Le travailleur social ne doit pas devenir « un agent de saisie ».  Si le RGPD permet la collecte et le traitement des données au sein de services sociaux, cela ne doit pas conduire à ce que l’assistant·e de service social (et plus largement le travailleur social) devienne un·e agent·e de saisie de données sans pouvoir questionner la pertinence des données légitimes à collecter, conserver et utiliser pour l’accompagnement des personnes.

La collecte des données est un sujet important. Il interroge la relation de confiance qui s’établit entre la personne accompagnée et le professionnel. C’est pourquoi il est nécessaire que tous se saisissent de ce sujet et en débattent au sein de leurs institutions en lien avec leurs responsables en charge de la protection des données qui doivent au sein de leurs institutions réaliser une analyse d’impact de l’usage des logiciels.

 

 

Note : cet article reprend des éléments du communiqué de l’ANAS et il est accompagné de points qui relèvent de ma propre analyse.

 

 

Photo créée par Racool_studio – fr.freepik.com

Articles liés :

2 réponses

  1. C’est très intéressant et très significatif ! Des suggestions importantes pour le travail social. Merci !

    Un avocat a également formulé des propositions sur la manière dont les droits des enfants sur leurs données en particulier devraient être pris en compte et protégés de manière encore plus concrète dans le GDPR :
    https://www.forum-privatheit.de/wp-content/uploads/Ro%C3%9Fnagel_Juristischer-Blick-auf-die-DSGVO.pdf

    Il propose des ajouts :

    Compatibilité d’une nouvelle finalité de traitement
    Le principe de limitation de la finalité de la protection des données ne s’applique qu’aux finalités qui ne sont pas compatibles avec l’ancien objectif. Dans l’évaluation de la compatibilité (art. 6 IV) une attention particulière doit être accordée aux intérêts des enfants.

    Pas de données relatives aux enfants à des fins publicitaires et de profils de personnalité
    Mise en œuvre de l’objectif de l’article 8 de la directive CE 38 (consentement des enfants)

    Pas de consentement pour les données de catégorie spéciale
    Interdiction du traitement de ces données à l’article 9 I et possibilité de consentement à l’article 9 II.
    Le consentement prévu à l’article 9 II a – devrait être exclu pour les enfants.
    Considération particulière en cas d’objection
    Droit d’opposition (art. 21 I) en cas de traitement des données fondé sur
    des intérêts légitimes prépondérants, s’il existe une situation particulière.
    – doit être supposée, en particulier pour les données relatives aux enfants.

    Pas de consentement aux décisions automatisées dans des cas individuels
    Droit « de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé ».
    décision fondée uniquement sur un traitement automatisé » (art. 22 I). L’exception
    du consentement (art. 22 II c) doit être exclu pour les enfants.

    Conception du système
    Obligation de mettre en œuvre la protection des données par une conception appropriée du système (art. 25 I),
    doivent accorder une attention particulière aux intérêts des enfants.

    Préférences
    Obligation de mettre en place des paramètres par défaut respectueux de la protection des données (art. 25 II), doivent accorder une attention particulière aux intérêts des enfants.

    Analyse d’impact sur la protection des données
    Lors de l’évaluation du besoin, de l’analyse des risques et de la détermination de la
    Les sauvegardes (article 35) accordent une attention particulière aux intérêts des enfants.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.