Le droit à l’oubli : mettre en pratique dans les ESSMS ce droit des usagers

Que recouvre le droit à l’oubli et comment les ESSMS doivent-ils l’intégrer ? Quelles en sont les limites ? Quelles spécifications en découlent pour les dossiers de l’usager informatisés (DUI) ? Dir IPS fait le point sur ce droit remis en avant par le RGPD.

Pour mener à bien l’accompagnement social ou médico-social de leurs usagers, les établissements et services sociaux et médico-sociaux (ESSMS) se doivent de les connaître. Ils sont ainsi amenés à recueillir des données personnelles — certaines pouvant être sensibles, comme des données de santé — et à procéder à des traitements automatisés ou non de ces données, dans le respect des législations et réglementations.

Ainsi, en tant qu’établissement traitant des données personnelles, vous devez notamment respecter la loi informatique et libertés du 6 janvier 1978 ainsi que le règlement UE 2016/679 adopté par le parlement européen le 27 avril 2016 et applicable dans les États membres depuis le 25 mai 2018.

Ce Règlement général sur la protection des données (RGPD), dans son article 17, dispose d’un droit à l’effacement des données personnelles des usagers, ou « droit à l’oubli », sous conditions. Il vient compléter les droits de rectification des données, de portabilité, d’accès aux conditions des traitements ainsi qu’à la limitation ou à l’interdiction de ces traitements.

Que recouvre ce droit à l’oubli et comment les ESSMS doivent-ils l’intégrer ? Quelles en sont les limites ? Quelles spécifications en découlent pour les dossiers de l’usager informatisés (DUI)  ?

L’« oubli » par effacement des données personnelles, un droit fondamental des usagers

Un usager peut demander à un ESSMS qui l’accompagne l’effacement de données personnelles le concernant « pour des raisons tenant à sa situation particulière », notamment lorsqu’elles ne sont plus nécessaires à l’atteinte des finalités pour lesquelles elles avaient été collectées, qu’il retire le consentement à leur traitement, qu’il s’oppose à leur traitement ou que celui-ci a été illicite.

Un usager peut aussi demander que soient effacées des données à caractère personnel conservées pendant une durée excédant « celle nécessaire au regard des finalités du traitement correspondant ». On peut ici rappeler le principe du RGPD relatif à la conservation minimale des données personnelles. Selon le Référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de l’accueil, l’hébergement et l’accompagnement social et médico-social des personnes âgées, des personnes en situation de handicap et de celles en difficulté adopté par la CNIL (Commission nationale de l’informatique et des libertés) dans sa délibération no 2021-028 du 11 mars 2021, « il est recommandé que les données collectées et traitées, pour les besoins de l’accueil, l’hébergement et l’accompagnement social et médico-social des personnes, ne soient pas conservées dans la base active au-delà de deux ans à compter du dernier contact émanant de la personne ayant fait l’objet de cet accompagnement.  » Ces durées de conservation sont indiquées dans le registre de traitement des données personnelles établi par le délégué à la protection des données (DPO ou DPD) de l’ESSMS.

L’usager doit pouvoir effectuer la demande d’effacement de ses données à caractère personnel par voie dématérialisée ou par voie classique (lettre recommandée avec accusé de réception). Il doit, dans tous les cas, indiquer quelles données sont spécifiquement concernées par cette demande d’effacement.

En tant que responsable du traitement des données, vous êtes alors tenu d’accuser réception de la demande sous un mois et de la traiter « dans les meilleurs délais », généralement entre un et, pour les cas les plus complexes, trois mois.

De plus, si vous avez transmis ces données à caractère personnel à d’autres, vous devez prendre « des mesures raisonnables, compte tenu des technologies disponibles et des coûts de mise en œuvre », pour informer ces responsables du traitement subséquents qui sont, de fait, concernés par la demande d’effacement. Ceci doit permettre la suppression de tous les liens conduisant vers ces données (droit au déréférencement) ainsi que de toutes les copies des données (droit à l’oubli).

La définition d’une politique de conservation et d’archivage des données précisant les modalités pratiques d’effacement (personnes-ressources, périodicité de l’effacement, logiciels concernés…) vous permet d’anticiper la plupart des demandes d’effacement et d’y répondre aisément le cas échéant.

Un droit à l’oubli qui n’entrave pas le fonctionnement des ESSMS

Lorsqu’un usager transmet une demande d’effacement de ses données à caractère personnel, l’ESSMS peut s’y opposer, par le biais de son responsable du traitement, pour des « motifs légitimes et impérieux ».

Il peut ainsi s’opposer à l’effacement de données qui ont un intérêt public dans le domaine de la santé publique, qui permettent d’exercer le droit en justice ou qui relèvent du droit à la liberté d’expression et d’information ainsi que d’une mission d’archives, de statistiques ou scientifique d’intérêt public.

Il peut également s’opposer à l’effacement de données dont le recueil, le traitement et la conservation ont été mis en place pour respecter une obligation légale ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont il a la charge.

Ainsi, comme le précise la CNIL dans son référentiel suscité relatif au traitement de données personnelles pour l’instruction de demandes de prestations sociales légales et de leur versement, la base légale du recueil de données est l’exécution d’une mission d’intérêt public. Pour fournir des prestations définies dans le cadre d’un contrat conclu entre un établissement et une personne, ainsi que pour la gestion administrative de cette personne, la base légale du traitement des données est l’exécution du contrat ou, lorsque le traitement excède ce qui est nécessaire au contrat, la mission d’intérêt public en cas d’ESSMS public ou les intérêts légitimes pour les ESSMS privés. Ces motifs, en lien avec une prise en charge réussie des usagers, peuvent être opposés à la demande d’effacement.

En tant que responsable du traitement des données d’ESSMS, vous pouvez également vous opposer à l’effacement de données devant être légalement conservées. À titre d’exemple, la conservation en base active du dossier médical d’une personne bénéficiant d’un accompagnement médico-social est de durant deux ans à compter du dernier contact avec la personne (article R. 1112-7 du Code de la santé publique). L’archivage intermédiaire est de vingt ans à compter de la date du dernier séjour de la personne dans l’établissement de prise en charge. Toute demande d’effacement dans un délai inférieur n’est pas recevable.

On peut ici noter que vous n’avez pas d’obligation à effacer des données entièrement anonymisées, c’est-à-dire des données pour lesquelles il n’est pas possible de remonter à la personne concernée.

Un logiciel DUI peut-il prendre en compte le droit à l’effacement ?

La réponse à la question en titre est : « Bien sûr que oui ! », surtout si ce dossier de l’usager informatisé (DUI) a été conçu selon le principe du privacy by design et qu’il intègre donc les spécifications du RGPD dans le développement de chacune de ses fonctionnalités.

Un DUI doit permettre une gestion fine des droits des utilisateurs associée à la mise en place de modèles de dossiers variant en fonction des rôles des utilisateurs. Ainsi ne seront visibles par les différentes parties prenantes que les données qui concernent leurs interventions. Le principe de la diffusion de données personnelles strictement nécessaires à la finalité étant respecté, les demandes d’effacement seront limitées et opposables, le cas échéant.

La possibilité de supprimer la donnée d’un champ de manière indépendante d’un dossier de l’usager à l’autre permet de répondre aux demandes d’effacement ciblées des usagers dans le cadre de leur situation particulière.

De façon plus large que le droit à l’effacement, pour respecter le RGPD et d’autres contraintes réglementaires et législatives comme notamment les durées d’archivage, votre dossier de l’usager informatisé doit vous permettre de gérer au moins les deux premières phases du « cycle de vie » d’une donnée personnelle. La CNIL définit ainsi ces deux premières phases :

  • la conservation en base active pendant la durée nécessaire à la réalisation de la finalité qui a conduit à la collecte. L’accès aux données pour les personnes autorisées est alors facile et immédiat ;
  • l’archivage intermédiaire, où les données ne sont plus utiles dans le cadre de l’atteinte de l’objectif fixé, mais sont conservées pour des raisons qui peuvent être légales (durées d’archivage réglementées). Ces données restent consultables de manière ponctuelle et motivée par des personnes spécifiquement habilitées.

S’ensuit un archivage définitif ou une suppression définitive. Votre logiciel doit toujours vous permettre de réactiver une donnée dans un état antérieur, tant qu’elle n’est pas définitivement effacée. Il doit également vous permettre de procéder, à tout moment et selon un processus sécurisé, à la suppression définitive d’une donnée. Il vous permettra ainsi de répondre au droit à l’oubli de vos usagers.

DirIgami Usager, le dossier de l’usager informatisé de l’usager de Dir IPS, vous permet d’accompagner vos usagers dans le respect des contraintes du RGPD.

Des modèles de consentement de recueil et traitement d’informations sont disponibles par l’intermédiaire de la gestion électronique documentaire (GED) et l’usager peut avoir à chaque instant une vue de son dossier par l’édition d’un PDF horodaté. Les droits des utilisateurs (usagers ou professionnels) sont gérés finement et chacun ne peut consulter que ce qui a été au préalable défini par groupe d’utilisateurs.

Les données peuvent être archivées manuellement ou automatiquement en intégrant un élément déclencheur, comme la fin d’une prise en charge. Elles ne sont alors plus consultables par un accès utilisateur à DirIgami Usager, mais restent accessibles dans la base de données aux administrateurs du système. La suppression définitive après archivage peut être définie comme automatiquement après un délai (par exemple deux ans pour des factures) ou rester manuelle.

La suppression définitive d’une donnée reste à tout moment possible, par les personnes autorisées, mais répond à un processus sécurisé en plusieurs étapes avec des retours en arrière possible à chacune d’entre elles tant que la suppression définitive n’a pas été validée. L’usager peut en faire la demande par l’intermédiaire de la messagerie sécurisée de DirIgami Usager.

Vous avez des questions sur la gestion des données personnelles dans les logiciels de Dir IPS, contactez notre DPO, Esmeralda Pezard.

Vous souhaitez en savoir davantage sur notre logiciel de suivi des usagers, DirIgami Usager, nos services vous répondront avec plaisir.

Vous voulez être tenu au courant de nos actualités et des évolutions réglementaires concernant la gestion des établissements sanitaires, sociaux ou médico-sociaux ? Inscrivez-vous à notre newsletter.

Par Dir IPS, le 5 octobre 2022

Contact