La présente fiche technique a pour objet d’apporter quelques compléments à la note d’information du 27 février 2018 relative à la réalisation d’une enquête d’activité auprès des établissements et services accueillant des personnes atteintes de maladies neuro-dégénératives. Cette note ayant été publiée avant l’entrée en vigueur en France du RGPD intervenue le 25 mai dernier, elle ne précisait pas quelles dispositions spécifiques devaient être appliquées pour assurer la conformité du dispositif prévu au cadre réglementaire.
Deux étapes doivent être distinguées :
L’enquête elle-même :
Cette enquête ne prévoit pas le recueil de données personnelles. Les données attendues dans le cadre de l’enquête sont des données consolidées. Une convention entre la CNSA (financement de l’enquête) et la DREES est signée pour la mise en œuvre de la remontée des données.
L’enquête est informatisée. Un site en ligne dédié et sécurisé a été développé par la DREES. Il sert d’interface avec les établissements retenus et permet de recueillir les résultats. La DREES s’appuie sur trois prestataires extérieurs (hébergement, tierce maintenance applicative et assistance à la collecte) et est responsable des relations avec ces prestataires, notamment du respect de la sécurité des données.
Les fondements législatifs et réglementaires :
Lors de l’admission dans un ESMS relevant du 6° du I de l’article L. 312-1, y compris ceux énumérés à l’article L. 342-1, un contrat de séjour en application de l’article L. 311-4 du CASF est élaboré par le directeur de l’établissement avec la participation de la personne accueillie. Lors de la conclusion de ce contrat de séjour, le directeur de l’établissement ou tout autre personne désignée par lui recherche, chaque fois que nécessaire avec la participation du médecin coordinateur de l’établissement, le consentement de la personne à être accueillie, l’informe de ses droits et s’assure de leur compréhension par la personne accueillie. Cette dernière a la possibilité de désigner une personne de confiance définie à l’article L. 311-5-1 du CASF pour être accompagnée dans ses entretiens et démarches. Ce contrat de séjour peut également comporter une annexe prévue par l’article L. 311-4-1 du CASF qui définit les mesures particulières à prendre pour assurer l’intégrité physique et la sécurité de la personne et pour soutenir l’exercice de sa liberté d’aller et venir.
Ainsi le contrat de séjour signé entre la personne accueillie et le directeur de l’établissement a été largement amélioré par la loi ASV du 28 décembre 2015 pour davantage de personnalisation dans la prise en charge, renforcer les modalités d’informations et organiser les conditions de rétractation voire de résiliation. Ce contrat de séjour assorti de mesures appropriées et spécifiques est de nature à protéger les droits et libertés des personnes physiques.
L’organisation interne des établissements participant à l’enquête :
Il appartient à chaque structure de délivrer une information : transparente, concise, compréhensible et aisément accessible.
Outre l’obligation d’information, chaque structure doit prendre toutes les mesures idoines pour assurer tant d’un point de vue organisationnel que technique la sécurité des données à caractères personnel collectées, stockées et transmises dans le cadre de cette enquête. Ces mesures d’anonymisation et plus largement de sécurisation dans le cadre de cette enquête visent à éviter 3 risques :
- Le risque d’individualisation : possibilité d’identifier un individu malgré la suppression d’information le concernant ;
- Le risque de corrélation : possibilité de faire des rapprochements entre des ensembles de données distinctes concernant un même individu ;
- Le risque d’inférence : possibilité de déduire des informations d’un même individu.
Afin de faciliter la réponse à l’enquête, des formulaires Excel de recueil des données ont été mis à disposition des établissements. Leur utilisation est facultative.
Pour ceux des établissements qui choisissent de préparer l’enquête en s’appuyant sur ces documents, les précautions suivantes doivent être rappelées :
- Les fiches ne doivent contenir ni le nom, ni le prénom des personnes incluses dans l’enquête. Elles seront identifiées par un numéro d’identifiant non signifiant propre à la présente enquête ;
- Dans l’hypothèse d’une conservation physique des fiches pendant l’enquête, il convient d’en assurer la conservation dans un lieu sécurisé (coffre-fort). Dans l’hypothèse d’une conservation sur un autre support, il convient de s’assurer qu’ils répondent aux exigences de sécurité requises pour la conservation de données personnelles dont certaines peuvent être considérées comme des données de santé (ex : MMSE)
- Les fiches seront détruites après la saisie des données et au plus tard à la clôture de l’enquête. Une information a minima doit être délivrée à la personne dans le cadre du contrat de séjour prévu par les article L. 311-4 et L. 311-4-1 du code de l’action sociale et des familles.
Proposition : à l’avenir, le contrat de séjour pourrait inclure une annexe couvrant à la fois le recueil du consentement, droit à l’information et les modalités d’exercice des droits.
|
(Nom de la structure) ……………………… procède à un traitement de vos données personnelles pour [finalités du traitement, de l’enquête] …………………………, sur le fondement du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données, ou RGPD). Les données suivantes : …………………………………………… sont enregistrées et conservées [durée de conservation] et ne peuvent être communiquées qu’aux destinataires suivants : ……………… Les données collectées via le fichier Excel facultatif et mis à dispositif à titre gracieux par l’administration ne contiennent pas l’identification directe de la personne. Les données sont conservées dans un lieu sécurisé. Les fichiers sont immédiatement détruits après la saisie dans la plateforme mise à disposition par la DREES. Conformément au RGPD et à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (loi informatique et libertés), vous disposez d’un droit d’accès, de rectification, de portabilité et d’effacement de vos données. Vous pouvez également demander la limitation du traitement de vos données ou retirer votre consentement au traitement de vos données à tout moment. Vous pouvez exercer ces droits, en vous adressant par mail à ……………………… [boite fonctionnelle de l’entité] ou par courrier à ……………………… Vous disposez d’un droit d'introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés, si vous considérez que le traitement de données à caractère personnel vous concernant constitue une violation du règlement général sur la protection des données et de la loi informatique et libertés. Pour procéder au traitement de vos données, votre consentement est nécessaire. ☐J’accepte que l’entité………, procède au traitement de mes données aux fins et selon les modalités qui m’ont étés communiquées. Date et signature :
|