L'obligation d'autorisation de la CNIL pour le traitement des données des majeurs protégés

Publié le 05/10/2015 Vu 3 100 fois 0
Légavox

9 rue Léopold Sédar Senghor

14460 Colombelles

02.61.53.08.01

Dans le cadre de la professionnalisation voulue par la loi du 5 mars 2007 réformant le régime des mesures de protection judiciaires, les Mandataires judiciaires indépendants et les Associations tutélaires, se sont dotés de logiciels performants de gestion et traitement des données qu'ils détiennent sur les majeurs protégés dont ils ont la charge. Le traitement de ces données, qui sont souvent sensibles (données bancaires données médicales...) doit obligatoirement faire l'objet d'une demande d'autorisation auprès de la CNIL. Après étude du dossier complet et vérification des garanties mises en place pour notamment sécuriser les données, la CNIL rendra une autorisation par la voie d'une délibération.

Dans le cadre de la professionnalisation voulue par la loi du 5 mars 2007 réformant le régime des mesures de

L'obligation d'autorisation de la CNIL pour le traitement des données des majeurs protégés

Tout fichier de données personnelles doit faire l'objet soit d'une simple déclaration soit d'une demande d'autorisation auprès de la CNIL.

C'est la nature des données stockées dans le fichier qui va déterminer le rôle de la CNIL.

S'agissant du traitement des données des majeurs protégés, de nombreuses données dites "sensibles" sont stockées et doivent obligatoirement faire l'objet d'une autorisation de la CNIL : les données médicales, éthniques, bancaires, etc...

La CNIL doit veiller à ce que la finalité de la collecte de ces données corresponde bien aux besoins de l'activité du mandataire judiciaire à la protection des majeurs.

Or, toutes les données sensibles (médicales et bancaires notamment) sont essentielles pour permettre l'exercice d'une mesure de protection de type curatelle renforcée ou tutelle.

1) les textes applicables en la matière

2) les 7 piliers indispensables à l'obtention d'une autorisation de traitement de fichiers de données de majeurs protégés

Tout dossier visant à présenter une demande d'autorisation doit préciser de façon très clair les 7 rubriques suivantes :

Responsable du traitement des données collectées

Etat civil de l'association ou du mandataire exerçant individuellement. Le responsable de traitement exerce la mission de mandataire judiciaire à la protection des majeurs que le juge des tutelles lui confie conformément aux dispositions de l’article L. 471-1 du CASF .

Il convient également de fournir une copie de l'arrêté préfectoral désignant le MJPM ou autorisation l'association à exercer.

Sur la finalité des données collectées

Finalité principale : la gestion et le suivi de la représentation juridique des personnes placées par l’autorité judiciaire sous sauvegarde de justice, sous tutelle ou sous curatelle relevant d'un mandat.

Ce traitement, justifié par l’intérêt public, peut faire apparaître directement ou indirectement les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale ou des données relatives à la santé des personnes, d'où la nécessité d'une autorisation préalable de la CNIL avant de procéder à toute collecte de ces données.

Le recours à la formalité de l’autorisation se justifie également pour ce qui concerne les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes.

Sur les données collectées et traitées Les données collectées dans le cadre du présent traitement peuvent être, en fonction du type de la mesure de protection (sauvegarde de justice, curatelle ou tutelle), du contenu précis de la mesure prononcée par le juge et de la nature des actes à accomplir, relatives :
  • à l’identification des personnes et, le cas échéant, à celle de leurs conjoints et enfants (nom, prénom, adresse, date et lieu de naissance) ;
  • à leur vie personnelle (habitudes de vie, situation familiale, correspondances, lieu de vie) ;
  • à leur vie professionnelle (situation professionnelle) ;
  • à des informations d’ordre économique et financier (revenus, situation financière) ;
  • à l’appartenance religieuse, politique ou syndicale,
  • à la santé ;
  • aux infractions, condamnations ou mesures de sûreté, dans les limites prévues par les dispositions législatives en vigueur ;
  • au numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (numéro de sécurité sociale), uniquement dans le cadre d’échanges avec des professionnels de santé, des organismes de sécurité sociale, de prévoyance ou de retraite, ainsi que des financeurs de prestations sociales ou médico-sociales ;
  • à des appréciations sur les difficultés sociales des personnes.
Pour que la Commission autorise ce traitement, il faut prouver que le traitement de ces données est adéquat, pertinent et non excessif au regard de la finalité poursuivie, dès lors qu’elles s’avèrent nécessaires à l’exercice d’un mandat de représentation.
Sur les destinataires des données

Seul le responsable de traitement et, le cas échéant, les membres habilités de son personnel soumis à une obligation de confidentialité peuvent accéder au fichier.

Le juge des tutelles compétent peut également être destinataire de l’intégralité des données du traitement.

La direction départementale de la cohésion sociale et les organismes financeurs, au nombre desquels figurent notamment les caisses d’allocations familiales ou de mutualité sociale agricole, la caisse des dépôts et des consignations ou encore les caisses primaires d’assurance maladie, peuvent être destinataires des données d’identification, des données relatives à la vie personnelle et des numéros de sécurité sociale.

La Commission considère que ces destinataires présentent un intérêt légitime à connaître de ces données. Elle estime, par ailleurs, que le responsable du traitement peut également communiquer des données aux organismes en relation avec les personnes représentées, sous réserve que ces transmissions soient indispensables à ces relations, d’une part, et que les données concernées soient limitées au strict nécessaire, d’autre part.

Sur les durées de conservation

Les données à caractère personnel enregistrées dans le fichier traitement sont conservées jusqu’à la prescription de l’action en reddition des comptes, en revendication ou en paiement diligentée par la personne protégée ou ses héritiers à savoir, en application de l’article 515 du code civil , soit cinq ans à compter de la fin de la mesure de protection sauf interruption ou suspension de la prescription.

La Commission considère que cette durée de conservation n’excède pas celle qui est nécessaire à l’accomplissement de la finalité poursuivie.

Sur l’information et les droits des personnes

Les personnes concernées par le présent traitement sont informées, par des mentions légales sur des notices d’information et sur les chartes des droits et libertés remises par le responsable de traitement aux personnes concernées lors de l’ouverture de la mesure.

Ces informations doivent être fournies selon des modalités adaptées à l'état de santé de ces personnes.

Sauf décision contraire du juge des tutelles, les droits d’accès, de rectification et d’opposition pour motif légitime s’exercent auprès du MJPM ou de l'association concernée par courrier, fax ou courriel. 

Sur les mesures de sécurité

Des mesures de protection physique et logique doivent être mises en œuvre pour préserver la sécurité du traitement et des informations, empêcher toute utilisation détournée ou frauduleuse, notamment par des tiers non autorisés, et préserver l’intégrité des données traitées.

L’authentification des utilisateurs est assurée par des mots de passe régulièrement renouvelés.

Les habilitations d’accès au système d’information sont définies en fonction des attributions des utilisateurs.

Les échanges de données effectués sur internet sont sécurisés par des procédés de chiffrement du transport des données.

Les accès à l’application font l’objet d’une journalisation. La conservation des traces ne peut excéder une durée de six mois, au-delà de laquelle celles-ci doivent être supprimées.

Les mesures de sécurité décrites par le responsable de traitement doivent être conformes à l’exigence de sécurité prévues par l’article 34 de la loi du 6 janvier 1978 modifiée.

La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Vous avez une question ?
Blog de La Tutelle et Vous

Thierry ROUZIÈS

240 € TTC

26 évaluations positives

Note : (5/5)

Posez gratuitement toutes vos questions sur notre forum juridique. Nos bénévoles vous répondent directement en ligne.

Publier un commentaire
Votre commentaire :
Inscription express :

Le présent formulaire d’inscription vous permet de vous inscrire sur le site. La base légale de ce traitement est l’exécution d’une relation contractuelle (article 6.1.b du RGPD). Les destinataires des données sont le responsable de traitement, le service client et le service technique en charge de l’administration du service, le sous-traitant Scalingo gérant le serveur web, ainsi que toute personne légalement autorisée. Le formulaire d’inscription est hébergé sur un serveur hébergé par Scalingo, basé en France et offrant des clauses de protection conformes au RGPD. Les données collectées sont conservées jusqu’à ce que l’Internaute en sollicite la suppression, étant entendu que vous pouvez demander la suppression de vos données et retirer votre consentement à tout moment. Vous disposez également d’un droit d’accès, de rectification ou de limitation du traitement relatif à vos données à caractère personnel, ainsi que d’un droit à la portabilité de vos données. Vous pouvez exercer ces droits auprès du délégué à la protection des données de LÉGAVOX qui exerce au siège social de LÉGAVOX et est joignable à l’adresse mail suivante : donneespersonnelles@legavox.fr. Le responsable de traitement est la société LÉGAVOX, sis 9 rue Léopold Sédar Senghor, joignable à l’adresse mail : responsabledetraitement@legavox.fr. Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle.

A propos de l'auteur
Blog de La Tutelle et Vous

Me Thierry Rouziès, Avocat au Barreau de Paris depuis 1999, est expert en Droit de la Protection des Majeurs. Il conseille et assiste tant des particuliers que des Professionnels (MJPM).

Consultation en ligne
Image consultation en ligne

Posez vos questions juridiques en ligne

Prix

240 € Ttc

Rép : 24h max.

26 évaluations positives

Note : (5/5)
Retrouvez-nous sur les réseaux sociaux et sur nos applications mobiles