Après avoir entendu Mme Laurence DUMONT, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Les établissements, services ou organismes à vocation sociale participant à la lutte contre la pauvreté et l'exclusion sociale accompagnent les personnes et les familles qui connaissent des difficultés pour leur permettre de retrouver une autonomie individuelle et sociale.
La mise en œuvre de mesures d'un accompagnement adapté en faveur des personnes nécessitent au préalable de réaliser un diagnostic social, afin d'identifier les difficultés rencontrées et de proposer des solutions adéquates. Les traitements mis en œuvre dans ce cadre sont, par nature, susceptibles de porter sur des données relatives aux appréciations sur les difficultés sociales des personnes.
La commission constate également que les acteurs de l'accompagnement social interviennent dans des domaines variés : hébergement, alimentation, accès aux droits et aux prestations sociales, prévention et prise en charge en matière de santé (addictions), d'insertion et de réinsertion sociale et professionnelle des personnes placées sous main de justice, etc.
En conséquence, les traitements mis en œuvre dans le cadre des missions qui leur sont confiées sont susceptibles de comporter des données sensibles relatives à la santé ou à la religion ainsi que des données relatives aux infractions, aux condamnations ou aux mesures de sûreté. Dès lors, de tels traitements, relèvent des articles 8 (IV), 9 (1°) 25 (I, 1°), 25 (I, 3°), et 25 (I, 7°), de la loi du 6 janvier 1978 susvisée et doivent, à ce titre, être autorisés par la CNIL.
Afin d'alléger les formalités que doivent accomplir les professionnels du champ social, la Commission a décidé de faire application des dispositions de l'article 25 (II) de la loi du 6 janvier 1978 modifiée en vertu desquelles elle peut autoriser par une décision unique une catégorie de traitements qui répondent aux mêmes finalités, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires.
Les traitements, qu'ils soient automatisés ou non, comportant des données sensibles au sens de la loi « informatique et libertés » ou des données relatives à des infractions, condamnations ou mesures de sûreté, ainsi que les seuls traitements automatisés comportant des données relatives aux appréciations sur les difficultés sociales, mis en œuvre par les organismes aux fins d'accompagnement et de suivi social des personnes, sont de ceux qui peuvent relever de cette définition.
Les responsables de traitement qui adressent à la commission une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à les mettre en œuvre.
Tout traitement de données à caractère personnel qui excède le cadre ou les exigences définis par la présente autorisation unique doit en revanche faire l'objet d'une formalité spécifique auprès de la commission.

Sur le champ d'application.
Seuls peuvent faire l'objet d'un engagement de conformité en référence à la présente autorisation unique les traitements mis en œuvre par les organismes assurant l'accueil, l'orientation, et l'accompagnement et le suivi social des personnes.
Sont exclus du champ de cette autorisation unique :

- les traitements mis en œuvre pour le compte de l'Etat, d'une personne morale de droit public ou de droit privé gérant une mission de service public, dès lors qu'ils comportent le NIR. De tels traitements doivent être décidés par un acte réglementaire, conformément à l'article 27 de la loi ;
- les traitements destinés à la gestion des informations préoccupantes relatives à l'enfance en danger, lesquels font l'objet d'une autorisation unique spécifique.

Sur les finalités des traitements.
Les traitements mis en œuvre par les professionnels intervenant auprès des personnes et des familles qui connaissent des difficultés sociales visent à permettre :

- la gestion administrative des personnes concernées ;
- la saisie des problématiques identifiées dans le cadre de l'évaluation sociale (individuelle et familiale) des personnes en vue de leur garantir un accompagnement adapté et, le cas échéant, les orienter vers les organismes ou partenaires sociaux appropriés en fonction de leur situation ;
- l'élaboration et le suivi du projet personnalisé d'accompagnement des personnes, conformément aux dispositions des articles L.311-3 et L.311-4 du code de l'action sociale et des familles ;
- l'échange et le partage d'informations entre les intervenants sociaux, médicaux et paramédicaux des informations strictement nécessaires permettant de garantir la coordination et la continuité de l'accompagnement et du suivi des personnes ;
- la gestion des procédures d'aides sociales et le suivi des trajectoires des personnes et des familles, plus particulièrement :
- l'accompagnement et le suivi des personnes dans l'accès aux droits (assistance dans les relations et les démarches à effectuer auprès des personnes ou services compétents, domiciliation des personnes sans domicile stable) ;
- l'accompagnement et suivi éducatif et budgétaire des personnes et de prévention du surendettement ;
- la préinstruction et le suivi des demandes d'aides sociales (aides financières ou en nature) ;
- la gestion des demandes d'hébergement et d'accès au logement ;
- la gestion des impayés et la prévention des expulsions locatives ;
- l'organisation et le suivi des parcours d'insertion sociale et professionnelle ;
- le suivi des personnes et des familles reçues dans le cadre de la médiation familiale, sociale ou pénale, à l'exclusion des mesures relevant de l'aide sociale à l'enfance ;
- le suivi de l'exécution des décisions judiciaires pénales restrictives ou privatives de liberté par les organismes habilités ;
- la gestion financière et comptable de l'établissement, du service ou de l'organisme ;
- l'établissement de statistiques, d'études internes et d'enquêtes de satisfaction aux fins d'évaluation des activités, de la qualité des prestations et des besoins à couvrir.

Sur les catégories de données collectées et traitées.
A titre liminaire, la commission rappelle que des données à caractère personnel ne peuvent être collectées que si elles sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie.
Elle relève que les données collectées dans le cadre des traitements mis en œuvre dans le champ social varient en fonction des particularités des situations sociales rencontrées, du type de prestation ou de l'aide sollicitée ainsi que de la nature des actions individuelles et collectives à accomplir.
L'ensemble des données suivantes n'ont pas vocation à être systématiquement recueillies. Seules les données strictement nécessaires à la mise en œuvre de l'accompagnement et du suivi social de la personne concernée peuvent faire l'objet d‘un traitement. Dès lors, le responsable de traitement doit être en mesure de justifier du caractère nécessaire et proportionné des données à caractère personnel pour les besoins du travail poursuivi.
Sous ces réserves, les établissements, services ou organismes intervenant auprès des personnes dans le cadre d'un accompagnement et suivi social peuvent, pour atteindre les finalités visées à l'article 2 de la présente autorisation unique, collecter et traiter les données relatives :

- à l'identification des bénéficiaires de l'accompagnement et du suivi social : nom, prénom, sexe, adresse, courriel, numéro de téléphone, date et lieu de naissance, photographie, numéro d'identification de rattachement à un organisme (numéro d'adhérent ou allocataire), numéro de sécurité sociale.
S'agissant du numéro de sécurité sociale, il ne peut être enregistré dans le traitement que dans le cadre d'échanges avec les professionnels de santé et les organismes de sécurité sociale.
Peuvent également être collectés la nationalité du bénéficiaire (sous la forme « Français/UE/hors UE ») et les documents prouvant la régularité de son séjour en France dès lors que le bénéfice de l'aide ou la prestation sollicitée est soumis à une condition de régularité du séjour ;
- à la procédure de demande d'asile (dépôt d'une demande d'asile : oui/non) ainsi que les informations nécessaires à l'élaboration du récit de vie ;
- à la vie personnelle : situation et composition familiale du foyer, et, le cas échéant, l'identification d'enfants pris en charge dans le cadre de la protection de l'enfance, les centres d'intérêts, langue parlée dans la mesure où cette information est indispensable pour mentionner le besoin de traducteurs ;
- à la nature de la mesure de protection juridique, et le cas échéant les coordonnées du mandataire ;
- au parcours professionnel et de formation dans le cadre de l'aide à l'insertion professionnelle (scolarité, situation au regard de l'emploi, de la formation et de la qualification) ;
- aux conditions de vie matérielles :
- situation financière (ressources, charges, crédits, dettes) ;
- prestations et avantages sociaux perçus (nature, montant, quotient familial, numéro allocataire) ;
- situation face au logement et à l'hébergement (type et caractéristiques du logement ou modalités d'hébergement : domicile personnel, familial, sans abri, hébergement de fortune, hébergement mobile, hébergement d'urgence, hébergement d'insertion) ;
- moyens de mobilité ;
- à la couverture sociale : organismes de rattachement et régimes d'affiliation, droits ouverts ;
- aux coordonnées bancaires dans la mesure où cette information est nécessaire au versement d'une prestation ou d'une rémunération ;
- à l'évaluation sociale de la personne (difficultés rencontrées et appréciations sur les difficultés sociales) et, le cas échéant, aux enquêtes sociales ;
- à la santé à des fins d'administration de soins, comprenant les informations relatives au handicap.
Ces données peuvent être collectées à d'autres fins, sous réserve du consentement exprès des personnes concernées ou de leurs représentants légaux, d'une part, et d'être strictement nécessaires au suivi social et médico-social, d'autre part ;
- à la vie sexuelle (orientation sexuelle et conduite sexuelle) sous réserve d'être directement collectées auprès des personnes concernées, après le recueil de leur consentement exprès ou celui de leurs représentants légaux, et d'être strictement nécessaires pour organiser des actions de prévention et, le cas échéant, pour faire intervenir un professionnel de santé si la personne concernée est confrontée à des risques particuliers au regard de sa sexualité ;
- aux opinions religieuses sous réserve d'être collectées auprès des personnes concernées ou de leurs représentants légaux, après le recueil d'un consentement exprès, et d'être strictement nécessaires aux actions d'accompagnement des personnes victimes, ou susceptibles d'être victimes, de mouvements sectaires et extrémistes ;
- aux infractions, condamnations et mesures de sûreté dans la mesure où elles sont strictement nécessaires dans le cadre des actions mises en œuvre en faveur des personnes détenues ou placées sous main de justice, d'une part, et dans le cadre de l'aide et le soutien des victimes d'infractions ou des familles de personnes détenues, d'autre part. Cette catégorie de données ne peut être collectée et traitée que par des personnes morales gérant un service public agissant dans le cadre de leurs attributions légales ;
- au type d'accompagnement et de suivi des personnes et aux actions mises en œuvre : domaines d'intervention, historique des mesures d'accompagnement et de suivi, objectifs, parcours, actions d'insertion prévues, entretien et suivi ;
- aux directives anticipées, et le cas échéant le nom et la qualité de la personne de confiance ;
- à l'identification des personnes concourant à l'accompagnement et suivi social : nom, prénom, qualité, organisme d'appartenance, numéro de téléphone, adresse professionnelle, courriel, téléphone.

Sur la durée de conservation des données.
La commission rappelle que, conformément à l'article 6-5o de la loi du 6 janvier 1978 modifiée, des données à caractère personnel ne peuvent être conservées que le temps strictement nécessaire à l'accomplissement de la finalité pour laquelle elles ont été collectées.
En tout état de cause, les données collectées et traitées pour les besoins du suivi social ne peuvent être conservées dans la base active au-delà de deux ans à compter du dernier contact avec la personne ayant fait l'objet de ce suivi, sauf dispositions législatives ou réglementaires contraires. Ces données doivent être supprimées sans délai en cas de décès de la personne concernée.
Lorsqu'il existe un recours contre un tiers ou un contentieux, les données peuvent être conservées jusqu'à l'intervention de la décision définitive.
A l'expiration de ces périodes, les données sont détruites de manière sécurisée ou archivées dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public pour les organismes soumis à ces dispositions, d'une part, ou conformément aux dispositions de la délibération de la commission n° 2005-213 du 11 octobre 2005 portant adoption d'une recommandation concernant les modalités d'archivage électronique de données à caractère personnel pour les organismes relevant du secteur privé, d'autre part.
Les justificatifs recueillis, y compris sous format papier, qui n'ont plus d'utilité, soit parce qu'ils sont trop anciens pour justifier de la situation de l'usager, soit parce que le dossier pour lequel ils ont été demandés est constitué, doivent être détruits.

Sur les catégories de destinataires des données.
Compte tenu de leur caractère sensible, le partage des informations collectées doit être entouré de garanties spécifiques.
Ainsi, les informations échangées ne doivent servir qu'à évaluer la situation de la personne ou de la famille concernée afin de déterminer les actions à mettre en œuvre.
Les échanges d'informations doivent en outre être strictement limités à l'accomplissement des missions de l'organisme ou du service mettant en œuvre le traitement et ne peuvent porter sur l'ensemble des informations dont les intervenants sont dépositaires mais doivent être limités à celles nécessaires à l'accompagnement et au suivi des personnes, dans le respect de leur vie privée.
La commission rappelle que les informations échangées sont protégées au titre du secret professionnel, dans les conditions prévues aux articles 226-13 et 226-14 du code pénal, sous réserve des dérogations prévues expressément par la loi et permettant le partage des informations.
En particulier, le partage d'informations doit être réalisé dans les conditions prévues aux articles L. 121-6-2 et L. 226-2-2 du code de l'action sociale et des familles et L. 1110-4 du code de la santé publique.
En tout état de cause, il revient au responsable de traitement, avant chaque transmission des données, d'opérer un tri parmi ces dernières pour s'assurer que le destinataire accède aux seules données strictement nécessaires et proportionnées au regard de la justification de la transmission.
La commission rappelle, par ailleurs, que les autorités légalement habilitées sont susceptibles, dans le cadre d'une mission particulière ou de l'exercice d'un droit de communication, de demander au responsable de traitement la communication de données à caractère personnel.
Dans ce cas, le responsable du traitement doit s'assurer du caractère contraignant de la disposition avancée et ne transmettre que les données prévues par le texte ou, si ce dernier ne les liste pas, les seules données indispensables au regard de la finalité du droit de communication en question.
Dans les limites de leurs attributions légales, et chacun pour ce qui le concerne, peuvent accéder aux données visées à l'article 3 de la présente autorisation unique :

- le personnel au sein de chaque établissement, service ou organisme concourant à la prise en charge, à l'accompagnement et au suivi social et médico-social des personnes ;
- les professionnels et tout membre du personnel de l'établissement, du service ou organisme externe, participant à la prise en charge, t à l'accompagnement et au suivi de la personne, et toute autre personne en relation, de par ses activités, avec ces établissements ou organismes externes, dans la limite de leurs attributions respectives et des règles encadrant le partage et l'échange d'informations ;
- les organismes instructeurs et payeurs de prestations sociales. Dans le cadre de l'instruction des demandes de prestations, les organismes peuvent, de manière ponctuelle, échanger des informations afin de vérifier les droits des demandeurs et contrôler leur situation et vérifier leurs droits aux prestations servies sous condition de ressources ;
- des organismes financeurs et gestionnaires s'agissant exclusivement de données préalablement anonymisées à l'exception de ceux autorisés par une disposition légale ou réglementaire à obtenir la communication de données à caractère personnel relatives aux personnes visées par la présente autorisation unique.

En tout état de cause, toute demande d'informations en vue d'une étude statistique fera l'objet d'une transmission de données préalablement anonymisées.

Sur l'information et les droits des personnes.
Le responsable du traitement procède, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, à l'information des personnes concernées par le ou les traitements mis en œuvre par tout moyen approprié, dans un langage compréhensible et selon des modalités appropriées et adaptées à leur état.
L'information doit notamment porter sur l'identité du responsable de traitement, la finalité poursuivie par le traitement, les destinataires des données et les droits des personnes (droits d'opposition pour motifs légitimes, d'accès et de rectification).
Les personnes sont également informées du caractère obligatoire ou facultatif des réponses, ainsi que des conséquences éventuelles, à leur égard, d'un défaut de réponse ou de l'exercice de leur droit d'opposition.
Cette information doit notamment figurer sur les formulaires de collecte destinés aux personnes auprès desquelles les données sont collectées.
Les droits d'opposition, pour motifs légitimes, d'accès et de rectification définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent directement auprès du ou des services que le responsable de traitement doit impérativement désigner.

Sur les mesures de sécurité.
Le responsable de traitement doit prendre toutes les précautions utiles au regard des risques présentés par le traitement pour préserver la sécurité des données à caractère personnel. Il doit, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.
A cet égard, le responsable de traitement doit notamment s'assurer que :

- toute transmission d'information via un canal de communication non sécurisé, par exemple Internet, s'accompagne de mesures adéquates permettant de garantir la confidentialité des données échangées, telles qu'un chiffrement des données ;
- les personnes habilitées disposant d'un accès aux données doivent s'authentifier avant tout accès à des données à caractère personnel, au moyen d'un identifiant et d'un mot de passe personnels respectant les recommandations de la CNIL, ou par tout autre moyen d'authentification garantissant au moins le même niveau de sécurité ;
- un mécanisme de gestion des habilitations est mis en œuvre et régulièrement mis à jour pour garantir que les personnes habilitées n'ont accès qu'aux seules données effectivement nécessaires à la réalisation de leurs missions. Le responsable de traitement doit définir et formaliser une procédure permettant de garantir la bonne mise à jour des habilitations ;
- des mécanismes de traitement automatique garantissent que les données à caractère personnel seront systématiquement supprimées, à l'issue de leur durée de conservation, ou feront l'objet d'une procédure d'anonymisation rendant impossible toute identification ultérieure des personnes concernées ;
- les accès à l'application font l'objet d'une traçabilité afin de permettre la détection d'éventuelles tentatives d'accès frauduleux ou illégitimes. Les accès aux données considérées comme sensibles, au regard de la loi du 6 janvier 1978 modifiée, doivent quant à eux être spécifiquement tracés en incluant un horodatage, l'identifiant de l'utilisateur ainsi que l'identification des données concernées, et ceci pour les accès en consultation, modification ou suppression. Les données de journalisation doivent être conservées pendant une durée de six mois glissants à compter de leur enregistrement, puis détruites ;
- l'externalisation de l'hébergement de données de santé à caractère personnel soit réalisée dans les conditions prévues à l'article L. 1111-8 du code de la santé publique.

Concernant les mécanismes d'anonymisation, il conviendra de s'assurer que les statistiques produites ne permettent aucune identification, même indirecte, des personnes concernées.
La commission rappelle que l'usage d'outils ou de logiciels développés par des tiers dans le cadre de la mise en œuvre d'un traitement de données à caractère personnel reste sous la responsabilité du responsable de traitement, qui doit notamment vérifier que ces outils ou logiciels respectent les obligations que la loi du 6 janvier 1978 modifiée met à sa charge.
Enfin, le responsable de traitement conserve la responsabilité des données à caractère personnel communiquées ou gérées par ses sous-traitants. Le contrat établi entre les parties doit mentionner les obligations incombant au sous-traitant en matière de préservation de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instructions du responsable de traitement.

Sur les transferts de données à l'étranger.
Un transfert de données à caractère personnel à destination d'un pays tiers à l'Espace économique européen peut être effectué lorsque l'une des conditions suivantes est réunie :

- le transfert s'effectue à destination d'un pays reconnu par une décision de la Commission européenne comme assurant un niveau de protection suffisant ;
- le traitement garantit un niveau suffisant de protection de la vie privée, ainsi que les droits et libertés fondamentaux des personnes, par la mise en œuvre de clauses contractuelles rédigées sur les modèles de clauses élaborés par la Commission européenne relatives aux transferts de données, d'une part, ou par l'adoption de règles internes d'entreprise (« Binding Corporate Rules » ou BCR) adoptées par le responsable de traitement et reconnues par la Commission nationale de l'informatique et des libertés et les autorités de protection des données personnelles compétentes comme offrant un cadre juridique satisfaisant pour effectuer des transferts de données en dehors de l'Union européenne, d'autre part ;
- le transfert est justifié par l'exception prévue par le 3° de l'article 69 de la loi du 6 janvier 1978 modifiée, à savoir le respect d'obligations permettant d'assurer la constatation, l'exercice ou la défense d'un droit en justice.

La commission rappelle que le recours aux exceptions prévues par l'article 69 de la loi du 6 janvier 1978 modifiée n'est possible que pour les transferts dont le champ d'application est limité à des cas ponctuels et exceptionnels. Les transferts répétitifs, massifs ou structurels de données doivent quant à eux faire l'objet d'un encadrement juridique spécifique, par l'intermédiaire de BCR ou de clauses contractuelles types.
Le responsable de traitement s'engage, sur simple demande d'une personne concernée, à apporter une information complète sur la finalité du transfert, les données transférées, les destinataires exacts des informations et les moyens mis en œuvre pour encadrer ce transfert.

Publication.
La présente délibération sera publiée au Journal officiel de la République française.