La CNIL a publié un référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de la protection de l’enfance et des jeunes majeurs de moins de 21 ans. Il s’adresse à tous les organismes, y compris les associations, mettant en œuvre des traitements de données personnelles dans le cadre d’un accompagnement social, médico-social, éducatif et/ou judiciaire.
Son objectif est d’accompagner la mise en conformité des traitements au regard des principes du RGPD. Les organismes ne sont pas juridiquement tenus de le mettre en application, mais ils devront néanmoins justifier le besoin de s’en écarter en cas de contrôle réalisé par les services de la CNIL.
A noter que le référentiel doit s’appréhender à la lumière de la règlementation déjà applicable au champ social et médico-social, par exemple celle concernant le partage d’informations entre professionnels dans le champ de la protection de l’enfance. Pour plus d’informations, se référer à la note technique de la CNAPE sur le sujet.
Le document aborde :
- La définition des objectifs et des bases légales des traitements de données à caractère personnel dans le champ de la protection de l’enfance, ainsi que la liste des données considérées comme strictement nécessaires à l’accomplissement des missions ;
- Les règles relatives au traitement des données sensibles (par exemple les données de santé) ;
- L’accès aux données personnelles par les différentes personnes habilitées, la communication des données à des tiers autorisés ou des sous-traitants ainsi les modalités de partage d’informations entre professionnels ;
- L’archivage des données, et la préservation de la sécurité des données au moment de leur collecte et durant leur transmission et leur conservation ;
- L’information à communiquer aux personnes concernées par le traitement des données (y compris les représentants légaux pour les mineurs) et les droits dont disposent ces dernières (droit d’accès, de rectification, d’effacement, d’opposition etc.) ;
- Les méthodes d’analyse d’impact relative à la protection des données (AIPD).