Secteur social et médico-social : comment gérer les durées de conservation ?
Dans le secteur social et médico-social, les structures sont amenées à collecter et à traiter de nombreuses informations, parfois sensibles, concernant les usagers/publics qu’elles accompagnent. Le traitement de ces données doit être conforme au règlement général sur la protection des données (RGPD).
Le RGPD prévoit un principe de limitation de la conservation des données personnelles à une durée nécessaire par rapport à l’objectif poursuivi, quel que soit le support utilisé (papier ou numérique) : les organismes ne peuvent les conserver sans définir en amont une durée précise de conservation ou les critères permettant de déterminer celle-ci.
Toute structure, peu importe sa taille, doit anticiper et appliquer cette règle dans ses procédures internes.
Cette fiche vise à guider tous les acteurs (salariés, bénévoles, etc.) du secteur social et médico-social dans la gestion des durées de conservation des données qu’ils traitent, tant dans l’exercice de leurs missions propres que dans celles qui leur sont confiées par une tutelle ou un donneur d’ordre.
Cette fiche et le référentiel « durées de conservation » s’adressent à tous les établissements et services mentionnés à l’article L. 312-1 du code de l’action sociale et des familles.
Par exemple :
- les services mandataires et judiciaires à la protection des majeurs (SMJPM) ;
- les services d’accompagnement à la vie sociale (SAVS) ;
- les services d’accompagnement médico-social pour adultes handicapés (SAMSAH) ;
- les établissements et services d’aide par le travail (ESAT) ;
- les établissements d’hébergement pour personnes âgées dépendantes (EHPAD) ;
- les services d’aide et d’accompagnement à domicile (SAAD) ;
- les services d’appartements de coordination thérapeutique (ACT) ;
- les services Lits halte soins santé (LHSS) ;
- les centres d’hébergement et de réinsertion sociale (CHRS).
Gérer les durées : votre plan d’action en cinq étapes
Étape n° 1 : Identifier vos interlocuteurs en interne
Étape n° 2 : Comprendre les phases successives d’utilisation des données
Étape n° 3 : déterminer la réglementation applicable à votre structure
Étape n° 4 : définir et appliquer la durée adéquate en lien avec les opérationnels
Étape n° 5 : assurer la continuité des procédures en interne
Ressources
Vous trouverez ci-dessous l’ensemble des ressources qui pourront vous aider à mettre en place les différentes étapes de votre plan d’action.
- Guide pratique sur les durées de conservation de la CNIL, élaboré en partenariat avec le service interministériel des Archives de France (SIAF)
Ce guide répond aux questions fréquentes sur le principe de limitation de la conservation des durées, ainsi que sur sa mise en pratique. Le guide explicite également comment articuler les obligations du RGPD, et celles du code du patrimoine en matière d’archives publiques.
- Les référentiels « sectoriels » de la CNIL
Ces outils constituent une aide pour la mise en conformité de votre structure. Ils n’ont pas de caractère obligatoire : les organismes peuvent s’écarter de leurs préconisations sous réserve de pouvoir justifier leurs choix. Ils permettent toutefois d’offrir une sécurité juridique aux organismes qui s’y conforment.
- Le portail des Archives de France
Le portail interministériel des Archives de France propose un large fond documentaire sur lequel les organismes peuvent s’appuyer pour la mise en œuvre des règles en matière d’archives publiques.
- La rubrique « Social » sur le site web de la CNIL
Dans cette rubrique, la CNIL met à disposition des professionnels du secteur des fiches pratiques pour mieux comprendre les enjeux liés à la protection des données personnelles dans le secteur social.