L'obligation d'autorisation de la CNIL pour le traitement des données des majeurs protégés

L'obligation d'autorisation de la CNIL pour le traitement des données des majeurs protégés

Par Thierry Rouziès, Avocat au Barreau de Paris, Spécialiste du droit des majeurs protégés

Dans le cadre de la professionnalisation voulue par la loi du 5 mars 2007 réformant le régime des mesures de protection judiciaires, les Mandataires judiciaires indépendants et les Associations tutélaires, se sont dotés de logiciels performants de gestion et traitement des données qu'ils détiennent sur les majeurs protégés dont ils ont la charge. Le traitement de ces données, qui sont souvent sensibles (données bancaires données médicales...) doit obligatoirement faire l'objet d'une demande d'autorisation auprès de la CNIL. Après étude du dossier complet et vérification des garanties mises en place notamment pour sécuriser les données, la CNIL rendra une autorisation par la voie d'une délibération.

Tout fichier de données personnelles doit faire l'objet soit d'une simple déclaration soit d'une demande d'autorisation auprès de la CNIL.

C'est la nature des données stockées dans le fichier qui va déterminer le rôle de la CNIL.

S'agissant du traitement des données des majeurs protégés, de nombreuses données dites "sensibles" sont stockées et doivent obligatoirement faire l'objet d'une autorisation de la CNIL : il s’agit des données médicales, ethniques, bancaires, etc...

La CNIL doit veiller à ce que la finalité de la collecte de ces données corresponde bien aux besoins de l'activité du mandataire judiciaire à la protection des majeurs.

Or, toutes les données sensibles (médicales et bancaires notamment) sont essentielles pour permettre l'exercice d'une mesure de protection de type curatelle renforcée ou tutelle.

1) les textes applicables en la matière

2) les 6 piliers indispensables à l'obtention d'une autorisation de traitement de fichiers de données de majeurs protégés

Tout dossier visant à présenter une demande d'autorisation doit préciser de façon très clair les 6 rubriques suivantes :

> Responsable du traitement des données collectées

Etat civil de l'association ou du mandataire exerçant individuellement. Le responsable de traitement exerce la mission de mandataire judiciaire à la protection des majeurs que le juge des tutelles lui confie conformément aux dispositions de l’article L. 471-1 du CASF .

Il convient également de fournir une copie de l'arrêté préfectoral désignant le MJPM ou autorisation l'association à exercer.

> Sur la finalité des données collectées

Finalité principale : la gestion et le suivi de la représentation juridique des personnes placées par l’autorité judiciaire sous sauvegarde de justice, sous tutelle ou sous curatelle relevant d'un mandat.

Ce traitement, justifié par l’intérêt public, peut faire apparaître directement ou indirectement les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale ou des données relatives à la santé des personnes, d'où la nécessité d'une autorisation préalable de la CNIL avant de procéder à toute collecte de ces données.

Le recours à la formalité de l’autorisation se justifie également pour ce qui concerne les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes.

> Sur les données collectées et traitées

Les données collectées dans le cadre du présent traitement peuvent être, en fonction du type de la mesure de protection (sauvegarde de justice, curatelle ou tutelle), du contenu précis de la mesure prononcée par le juge et de la nature des actes à accomplir, relatives :

  • à l’identification des personnes et, le cas échéant, à celle de leurs conjoints et enfants (nom, prénom, adresse, date et lieu de naissance) ;
  • à leur vie personnelle (habitudes de vie, situation familiale, correspondances, lieu de vie) ;
  • à leur vie professionnelle (situation professionnelle) ;
  • à des informations d’ordre économique et financier (revenus, situation financière) ;
  • à l’appartenance religieuse, politique ou syndicale,
  • à la santé ;
  • aux infractions, condamnations ou mesures de sûreté, dans les limites prévues par les dispositions législatives en vigueur ;
  • au numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (numéro de sécurité sociale), uniquement dans le cadre d’échanges avec des professionnels de santé, des organismes de sécurité sociale, de prévoyance ou de retraite, ainsi que des financeurs de prestations sociales ou médico-sociales ;
  • à des appréciations sur les difficultés sociales des personnes.

Pour que la Commission autorise ce traitement, il faut prouver que le traitement de ces données est adéquat, pertinent et non excessif au regard de la finalité poursuivie, dès lors qu’elles s’avèrent nécessaires à l’exercice d’un mandat de représentation.

> Sur les durées de conservation

Les données à caractère personnel enregistrées dans le fichier traitement sont conservées jusqu’à la prescription de l’action en reddition des comptes, en revendication ou en paiement diligentée par la personne protégée ou ses héritiers à savoir, en application de l’article 515 du code civil , soit cinq ans à compter de la fin de la mesure de protection sauf interruption ou suspension de la prescription.

La Commission considère que cette durée de conservation n’excède pas celle qui est nécessaire à l’accomplissement de la finalité poursuivie.

> Sur l’information et les droits des personnes

Les personnes concernées par le présent traitement sont informées, par des mentions légales sur des notices d’information et sur les chartes des droits et libertés remises par le responsable de traitement aux personnes concernées lors de l’ouverture de la mesure.

Ces informations doivent être fournies selon des modalités adaptées à l'état de santé de ces personnes.

Sauf décision contraire du juge des tutelles, les droits d’accès, de rectification et d’opposition pour motif légitime s’exercent auprès du MJPM ou de l'association concernée par courrier, fax ou courriel.

> Sur les mesures de sécurité

Des mesures de protection physique et logique doivent être mises en œuvre pour préserver la sécurité du traitement et des informations, empêcher toute utilisation détournée ou frauduleuse, notamment par des tiers non autorisés, et préserver l’intégrité des données traitées.

L’authentification des utilisateurs est assurée par des mots de passe régulièrement renouvelés.

Les habilitations d’accès au système d’information sont définies en fonction des attributions des utilisateurs.

Les échanges de données effectués sur internet sont sécurisés par des procédés de chiffrement du transport des données.

Les accès à l’application font l’objet d’une journalisation. La conservation des traces ne peut excéder une durée de six mois, au-delà de laquelle celles-ci doivent être supprimées.

Les mesures de sécurité décrites par le responsable de traitement doivent être conformes à l’exigence de sécurité prévues par l’article 34 de la loi du 6 janvier 1978 modifiée.

La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Cabinet T.R. AVOCAT