Tout fichier de données personnelles doit faire l'objet soit d'une simple déclaration soit d'une demande d'autorisation auprès de la CNIL.
C'est la nature des données stockées dans le fichier qui va déterminer le rôle de la CNIL.
S'agissant du traitement des données des majeurs protégés, de nombreuses données dites "sensibles" sont stockées et doivent obligatoirement faire l'objet d'une autorisation de la CNIL : les données médicales, éthniques, bancaires, etc...
La CNIL doit veiller à ce que la finalité de la collecte de ces données corresponde bien aux besoins de l'activité du mandataire judiciaire à la protection des majeurs.
Or, toutes les données sensibles (médicales et bancaires notamment) sont essentielles pour permettre l'exercice d'une mesure de protection de type curatelle renforcée ou tutelle.
1) les textes applicables en la matière
- la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
- la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
- le code de l’action sociale et des familles, notamment ses articles L. 361-1, L. 471-1 à L. 473-4 et R. 472-1 à R. 472-26 ;
- le code de procédure pénale, notamment ses articles 706-112 et suivants ;
- la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 25 ;
- la loi n° 2007-308 du 5 mars 2007 portant réforme de la protection juridique des majeurs ;
- le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
2) les 7 piliers indispensables à l'obtention d'une autorisation de traitement de fichiers de données de majeurs protégés
Tout dossier visant à présenter une demande d'autorisation doit préciser de façon très clair les 7 rubriques suivantes :
Responsable du traitement des données collectées |
Etat civil de l'association ou du mandataire exerçant individuellement. Le responsable de traitement exerce la mission de mandataire judiciaire à la protection des majeurs que le juge des tutelles lui confie conformément aux dispositions de l’article L. 471-1 du CASF . Il convient également de fournir une copie de l'arrêté préfectoral désignant le MJPM ou autorisation l'association à exercer. |
Sur la finalité des données collectées |
Finalité principale : la gestion et le suivi de la représentation juridique des personnes placées par l’autorité judiciaire sous sauvegarde de justice, sous tutelle ou sous curatelle relevant d'un mandat. Ce traitement, justifié par l’intérêt public, peut faire apparaître directement ou indirectement les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale ou des données relatives à la santé des personnes, d'où la nécessité d'une autorisation préalable de la CNIL avant de procéder à toute collecte de ces données. Le recours à la formalité de l’autorisation se justifie également pour ce qui concerne les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes. |
Sur les données collectées et traitées | Les données collectées dans le cadre du présent traitement peuvent être, en fonction du type de la mesure de protection (sauvegarde de justice, curatelle ou tutelle), du contenu précis de la mesure prononcée par le juge et de la nature des actes à accomplir, relatives :
|
Sur les destinataires des données |
Seul le responsable de traitement et, le cas échéant, les membres habilités de son personnel soumis à une obligation de confidentialité peuvent accéder au fichier. Le juge des tutelles compétent peut également être destinataire de l’intégralité des données du traitement. La direction départementale de la cohésion sociale et les organismes financeurs, au nombre desquels figurent notamment les caisses d’allocations familiales ou de mutualité sociale agricole, la caisse des dépôts et des consignations ou encore les caisses primaires d’assurance maladie, peuvent être destinataires des données d’identification, des données relatives à la vie personnelle et des numéros de sécurité sociale. La Commission considère que ces destinataires présentent un intérêt légitime à connaître de ces données. Elle estime, par ailleurs, que le responsable du traitement peut également communiquer des données aux organismes en relation avec les personnes représentées, sous réserve que ces transmissions soient indispensables à ces relations, d’une part, et que les données concernées soient limitées au strict nécessaire, d’autre part. |
Sur les durées de conservation |
Les données à caractère personnel enregistrées dans le fichier traitement sont conservées jusqu’à la prescription de l’action en reddition des comptes, en revendication ou en paiement diligentée par la personne protégée ou ses héritiers à savoir, en application de l’article 515 du code civil , soit cinq ans à compter de la fin de la mesure de protection sauf interruption ou suspension de la prescription. La Commission considère que cette durée de conservation n’excède pas celle qui est nécessaire à l’accomplissement de la finalité poursuivie. |
Sur l’information et les droits des personnes |
Les personnes concernées par le présent traitement sont informées, par des mentions légales sur des notices d’information et sur les chartes des droits et libertés remises par le responsable de traitement aux personnes concernées lors de l’ouverture de la mesure. Ces informations doivent être fournies selon des modalités adaptées à l'état de santé de ces personnes. Sauf décision contraire du juge des tutelles, les droits d’accès, de rectification et d’opposition pour motif légitime s’exercent auprès du MJPM ou de l'association concernée par courrier, fax ou courriel. |
Sur les mesures de sécurité |
Des mesures de protection physique et logique doivent être mises en œuvre pour préserver la sécurité du traitement et des informations, empêcher toute utilisation détournée ou frauduleuse, notamment par des tiers non autorisés, et préserver l’intégrité des données traitées. L’authentification des utilisateurs est assurée par des mots de passe régulièrement renouvelés. Les habilitations d’accès au système d’information sont définies en fonction des attributions des utilisateurs. Les échanges de données effectués sur internet sont sécurisés par des procédés de chiffrement du transport des données. Les accès à l’application font l’objet d’une journalisation. La conservation des traces ne peut excéder une durée de six mois, au-delà de laquelle celles-ci doivent être supprimées. Les mesures de sécurité décrites par le responsable de traitement doivent être conformes à l’exigence de sécurité prévues par l’article 34 de la loi du 6 janvier 1978 modifiée. La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques. |