Après avoir entendu Mme Laurence DUMONT, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La protection de l'enfance a pour objectifs la prévention des situations de danger et de risque de danger ainsi que la protection des enfants et des jeunes de moins de 21 ans (ci-après « jeunes majeurs »). Elle se matérialise par un ensemble d'interventions destinées à leur venir en aide ainsi qu'à leur famille.
Ces interventions peuvent prendre des formes variées : accueil provisoire des mineurs et jeunes majeurs, mesures d'accueil, suivi, allocation d'aides financières, assistance des parents dans leurs fonctions éducatives, actions éducatives en milieu ouvert ou à domicile, etc. Ces mesures peuvent être prises au titre de la protection administrative ou de la protection judiciaire civile et pénale.
Dans ce contexte, les traitements mis en œuvre par l'ensemble des professionnels des établissements, services et organismes chargés d'accueillir et d'accompagner les mineurs et les jeunes majeurs sont notamment susceptibles de comporter des données sensibles relatives à la santé, à l'éducation, à la vie sexuelle ou à la religion, des données relatives aux mesures judiciaires prononcées, aux appréciations sur les difficultés sociales ainsi que le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (NIR). Dès lors, de tels traitements relèvent des articles 8 (IV), 9 (1°), 25 (I, 1°), 25 (I, 3°), 25 (I, 6°) et 25 (I, 7°) de la loi du 6 janvier 1978 susvisée et doivent, à ce titre, être autorisés par la CNIL.
Afin d'alléger les formalités que doivent accomplir les professionnels du champ social et médico-social, la commission a décidé de faire application des dispositions de l'article 25-II de la loi du 6 janvier 1978 modifiée en vertu desquelles elle peut autoriser par une décision unique une catégorie de traitements qui répondent aux mêmes finalités, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires.
Les traitements, qu'ils soient automatisés ou non, comportant des données sensibles au sens de la loi « informatique et libertés » ou des données relatives à des infractions, condamnations ou mesures de sûreté, ainsi que les seuls traitements automatisés comportant des données relatives aux appréciations sur les difficultés sociales mis en œuvre par les établissements et services intervenant dans le cadre de la protection de l'enfance, sont de ceux qui peuvent relever de cette définition.
Les responsables de traitement qui adressent à la commission une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à les mettre en œuvre.
Tout traitement de données à caractère personnel qui excède le cadre ou les exigences définis par la présente autorisation unique doit en revanche faire l'objet d'une formalité spécifique auprès de la commission.

Sur le champ d'application.
Seuls peuvent faire l'objet d'un engagement de conformité en référence à la présente autorisation unique les traitements mis en œuvre par les organismes assurant le suivi des actions et mesures mises en œuvre en faveur des mineurs et jeunes majeurs faisant l'objet d'une protection administrative ou judiciaire, et de leur famille.
Sont exclus du champ de cette autorisation unique :

- les traitements mis en œuvre pour le compte de l'Etat, d'une personne morale de droit public ou de droit privé gérant une mission de service public, dès lors qu'ils comportent le NIR. De tels traitements doivent être décidés par un acte réglementaire, conformément à l'article 27 de la loi ;
- les traitements destinés à la gestion des informations préoccupantes relatives à l'enfance en danger, lesquels font l'objet d'une autorisation unique spécifique.

Sur les finalités des traitements.
Les traitements mis en œuvre par les professionnels intervenant dans le cadre de leurs missions dans le domaine de l'aide sociale, de la prévention et de la protection de l'enfance visent à permettre :

- la gestion administrative des personnes concernées ;
- la saisie des problématiques identifiées dans le cadre de l'évaluation sociale (individuelle et familiale) en vue de garantir un accompagnement adapté et, le cas échéant, orienter les jeunes vers les organismes ou partenaires sociaux appropriés en fonction de leur situation ;
- l'élaboration et le suivi du projet personnalisé d'accompagnement du mineur ou du jeune majeur, conformément aux dispositions des articles L. 311-3 et 311-4 du code de l'action sociale et des familles ;
- l'échange et le partage d'informations entre les intervenants sociaux, médicaux et paramédicaux des informations strictement nécessaires permettant de garantir la coordination et la continuité de l'accompagnement et le suivi des jeunes ;
- la gestion des procédures d'aides sociales et le suivi des trajectoires des jeunes concernés, plus particulièrement :
- la pré-instruction et le suivi des demandes d'aides sociales (aides financières ou en nature) ;
- l'accompagnement et le suivi éducatif et budgétaire, et de prévention du surendettement ;
- la gestion et le suivi des mesures prises à l'égard des mineurs ou des jeunes majeurs ainsi que de leurs familles, décidées dans un cadre judiciaire ou administratif (mesures éducatives et sociales, actions de prévention, de protection, de médiation familiale et de soutien à la parentalité, suivi et prise en charge médico-sociale et thérapeutique, actions d'insertion sociale et professionnelle, enquêtes sociales et mesures d'investigation) ;
- l'accompagnement et le suivi des mineurs faisant l'objet d'une mesure d'accueil (provisoire ou en vue d'une adoption) ou d'une mesure éducative en milieu ouvert ;
- l'élaboration des rapports et comptes-rendus destinés à l'autorité ayant décidé de la mesure ;

- la réalisation et le suivi des actes permettant d'assurer l'éducation des mineurs ou des jeunes majeurs (santé, scolarisation, formation et insertion professionnelle) ;
- l'accompagnement et le suivi des familles, par les organismes autorisés pour l'adoption (OAA), dans la conduite de leur projet d'adoption (information et aide à la constitution des dossiers de demandes d'adoption, traitement et suivi des procédures individuelles d'adoption internationale conformément au droit en vigueur, accompagnement et suivi de la famille après l'arrivée de l'enfant) ;
- la gestion financière et comptable de l'établissement, du service ou de l'organisme ;
- l'établissement de statistiques, d'études internes et d'enquêtes de satisfaction aux fins d'évaluation des activités, de la qualité des prestations et des besoins à couvrir.

Sur la nature des données collectées et traitées.
A titre liminaire, la commission rappelle que des données à caractère personnel ne peuvent être collectées que si elles sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie.
L'ensemble des données suivantes n'ont pas vocation à être systématiquement recueillies. Seules les données strictement nécessaires à la mise en œuvre du suivi social de la personne concernée, ou de son représentant légal, peuvent faire l'objet d‘un traitement. Dès lors, le responsable de traitement doit être en mesure de justifier du caractère nécessaire et proportionné des données à caractère personnel pour les besoins du travail poursuivi.
Sous ces réserves, les établissements, services ou organismes intervenant dans le cadre de leurs missions dans les domaines de l'aide sociale, de la prévention et de la protection de l'enfance peuvent, pour atteindre les finalités visées à l'article 2 de la présente autorisation unique, collecter et traiter les données relatives :

- à l'identification des bénéficiaires de l'accompagnement et du suivi social et, le cas échéant, de leurs représentants légaux : nom, prénom, sexe, adresse, courriel, numéro de téléphone, date et lieu de naissance, photographie, numéro d'identification de rattachement à un organisme (numéro d'adhérent ou allocataire), numéro de sécurité sociale.

S'agissant du numéro de sécurité sociale, il ne peut être enregistré dans le traitement que pour le recouvrement auprès des caisses de sécurité sociale, des prestations accordées aux bénéficiaires de l'aide médicale, et pour la gestion, en lieu et place des parents, de la couverture sociale des mineurs.
Peuvent également être collectés la nationalité du bénéficiaire (sous la forme « Français/UE/Hors UE ») et les documents prouvant la régularité de son séjour en France dès lors que le bénéfice de l'aide ou la prestation sollicitée est soumis à une condition de régularité du séjour.

- à la vie personnelle : situation et composition familiale du foyer, et, le cas échéant, l'identification d'enfants pris en charge dans le cadre de la protection de l'enfance, les centres d'intérêts, langue parlée dans la mesure où cette information est indispensable pour mentionner le besoin de traducteurs ;
- à la nature de la mesure de protection juridique, et le cas échéant les coordonnées du mandataire ;
- au parcours professionnel et de formation dans le cadre de l'aide à l'insertion professionnelle (scolarité, situation au regard de l'emploi, de la formation et de la qualification) ;
- à l'admission d'un mineur dans un établissement ou en famille d'accueil ainsi que les coordonnées de l'accueillant ;
- aux conditions de vie matérielles :
- situation financière (ressources, charges, crédits, dettes ;
- prestations et avantages sociaux perçus (nature, montant, quotient familial, numéro allocataire) ;
- situation face au logement et à l'hébergement (type et caractéristiques du logement ou modalités d'hébergement : domicile personnel, familial, sans abri, hébergement de fortune, hébergement mobile, hébergement d'urgence, hébergement d'insertion) ;
- moyens de mobilité ;
- à la couverture sociale : organismes de rattachement et régimes d'affiliation, droits ouverts ;
- aux coordonnées bancaires dans la mesure où cette information est nécessaire au versement d'une prestation ;
- aux mesures d'accompagnement du jeune et de la famille : le type, les motifs et objectifs de la mesure, le parcours, les actions d'insertion prévues, les comptes-rendus d'entretiens ;
- dans le cadre de l'évaluation sociale des personnes concernées, aux conditions d'éducation et contexte de vie de l'enfant ou du majeur de moins de 21 ans, à l'évaluation des capacités parentales, aux difficultés personnelles qui peuvent concourir à mettre le mineur ou jeune majeur en difficulté ou en danger, aux évènements familiaux impactant la vie du mineur ou du jeune majeur et permettant de comprendre sa situation, à la synthèse des comptes rendus des entretiens avec les personnes concernées, s'il y a lieu, avec les autres intervenants dans l'accompagnement ;
- à la santé à des fins d'administration de soins, comprenant les informations relatives au handicap, et après le recueil d'un consentement exprès des représentants légaux des mineurs concernés.

Ces données peuvent être collectées à d'autres fins, sous réserve du consentement exprès des personnes concernées ou de leurs représentants légaux, d'une part, et d'être strictement nécessaires au suivi social et médico-social, d'autre part.
Sous les mêmes réserves, en cas de prise en charge des enfants hors du domicile, peuvent être collectées par les accueillants les informations utiles pendant le séjour de l'enfant concernant sa santé (vaccinations, traitements médicaux à suivre, maladies contractées, allergies, difficultés de santé, précautions à prendre) ;

- à la grossesse : suivi PMI (protection maternelle et infantile) sous la forme « oui/non », date présumée d'accouchement ;
- à la vie sexuelle (orientation sexuelle et conduite sexuelle), sous réserve d'être directement collectées auprès des personnes concernées après le recueil d'un consentement exprès, pour organiser des actions de prévention et, le cas échéant, pour faire intervenir un professionnel de santé si la personne concernée est confrontée à des risques particuliers au regard de sa sexualité. Sous les mêmes réserves, ces informations peuvent être collectées dans la mesure où elles sont nécessaires à la compréhension de la situation du mineur ou jeune majeur concerné pour garantir un accompagnement adapté ;
- aux opinions religieuses sous réserve d'être directement collectées auprès des personnes concernées ou de leurs représentant légaux, après le recueil d'un consentement exprès et d'être strictement nécessaires à une prise en charge adaptée et respectueuse des convictions des personnes concernées ou aux actions d'accompagnement des personnes victimes, ou susceptibles d'être victimes, de mouvements sectaires et extrémistes ;
- à l'existence d'une situation de danger ou de risque ou de danger (information préoccupante et signalement) ;
- aux infractions, condamnations et mesures de sûreté, dans la mesure où leur enregistrement est strictement nécessaire au suivi de la mesure prononcée à l'égard du mineur ou du jeune. Cette catégorie de données ne peut être collectée et traitée que par des personnes morales gérant un service public agissant dans le cadre de leurs attributions légales ;
- à l'identification des personnes concourant à l'accompagnement et au suivi social : nom, prénom, qualité, organisme d'appartenance, numéro de téléphone, adresse professionnelle, courriel, téléphone ;
- aux origines de l'enfant et les circonstances de la naissance : exclusivement par les organismes autorisés et habilités pour l'adoption, afin de répondre aux obligations prévues à l'article L. 147-5 du code de l'action sociale et des familles.

Au regard des missions confiées aux établissements, services ou organismes concourant aux missions de protection de l'enfance, ces derniers peuvent être amenés à collecter d'autres informations dans le cadre du déroulement de la mesure, dès lors qu'elles s'avèrent strictement nécessaires au suivi et à l'accompagnement du mineur ou jeune majeur.

Sur la durée de conservation des données.
La commission rappelle, conformément à l'article 6 (5°) de la loi du 6 janvier 1978 modifiée, que des données à caractère personnel ne peuvent être conservées que le temps strictement nécessaire à l'accomplissement de la finalité pour laquelle elles ont été collectées.
En tout état de cause, les données collectées et traitées pour les besoins du suivi social ne peuvent être conservées dans la base active au-delà de deux ans à compter du dernier contact avec la personne ayant fait l'objet de ce suivi, sauf dispositions législatives ou réglementaires contraires. Ces données doivent être supprimées sans délai en cas de décès de la personne concernée.
Lorsqu'il existe un recours contre un tiers ou un contentieux, les données peuvent être conservées jusqu'à l'intervention de la décision définitive.
A l'expiration de ces périodes, les données sont détruites de manière sécurisée ou archivées dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public pour les organismes soumis à ces dispositions, d'une part, ou conformément aux dispositions de la délibération de la commission n° 2005-213 du 11 octobre 2005 portant adoption d'une recommandation concernant les modalités d'archivage électronique de données à caractère personnel pour les organismes relevant du secteur privé, d'autre part.
Les justificatifs recueillis, y compris sous format papier, qui n'ont plus d'utilité, soit parce qu'ils sont trop anciens pour justifier de la situation de l'usager, soit parce que le dossier pour lequel ils ont été demandés est constitué, doivent être détruits.

Sur les catégories de destinataires des données.
Compte tenu de leur caractère sensible, le partage des informations collectées doit s'entourer de garanties spécifiques.
Ainsi, les informations échangées ne doivent servir qu'à évaluer la situation de la personne ou de la famille concernée afin de déterminer les actions à mettre en œuvre.
Les échanges d'informations doivent en outre être strictement limités à l'accomplissement des missions de l'organisme ou du service mettant en œuvre le traitement et ne peuvent porter sur l'ensemble des informations dont les intervenants sont dépositaires mais doivent être limités à celles nécessaires à l'accompagnement et au suivi des personnes, dans le respect de leur vie privée.
La commission rappelle que les informations échangées sont protégées au titre du secret professionnel, dans les conditions prévues aux articles 226-13 et 226-14 du code pénal, sous réserve des dérogations prévues expressément par la loi et permettant le partage des informations.
En particulier, le partage d'informations doit être réalisé dans les conditions prévues aux articles L. 121-6-2 et L. 226-2-2 du code de l'action sociale et des familles et L. 1110-4 du code de la santé publique.
En tout état de cause, il revient au responsable de traitement, avant chaque transmission des données, d'opérer un tri parmi ces dernières pour s'assurer que le destinataire accède aux seules données strictement nécessaires et proportionnées au regard de la justification de la transmission.
La commission rappelle, par ailleurs, que les autorités légalement habilitées sont susceptibles, dans le cadre d'une mission particulière ou de l'exercice d'un droit de communication, de demander au responsable de traitement la communication de données à caractère personnel.
Dans ce cas, le responsable du traitement doit s'assurer du caractère contraignant de la disposition avancée et ne transmettre que les données prévues par le texte ou, si ce dernier ne les liste pas, les seules données indispensables au regard de la finalité du droit de communication en question.
Dans les limites de leurs attributions légales, et chacun pour ce qui le concerne, peuvent accéder aux données visées à l'article 3 de la présente autorisation unique :

- le personnel au sein de chaque établissement, service ou organisme concourant à la protection de l'enfance et des jeunes majeurs, dans les conditions prévues par l'article L. 226-2-2 du code de l'action sociale et des familles, et soumis au secret professionnel ;
- les professionnels et tout membre du personnel de l'établissement, du service ou organisme externe, participant à la prise en charge et à l'accompagnement de la personne et toute autre personne en relation, de par ses activités, avec ces établissements ou organismes externes, dans la limite de leurs attributions respectives et des règles encadrant le partage et l'échange d'informations ;
- les autorités administratives et judiciaires de tutelle ;
- les agents du département participant aux missions de protection de l'enfance et à l'action sociale de terrain à l'exclusion des informations relatives à la nature des difficultés rencontrées et à l'évaluation du travail social qui sont réservées aux seuls travailleurs sociaux en charge du dossier ;
- les organismes instructeurs et payeurs de prestations sociales dans la limite de leurs attributions et pour les informations les concernant. Dans le cadre de l'instruction des demandes de prestations les organismes peuvent échanger des informations afin de vérifier les droits des demandeurs et contrôler leur situation et vérifier leurs droits aux prestations servies sous condition de ressources ;
- des organismes financeurs et gestionnaires s'agissant exclusivement de données préalablement anonymisées à l'exception de ceux autorisés par une disposition légale ou réglementaire à obtenir la communication de données à caractère personnel relatives aux personnes visées par la présente autorisation unique.

En tout état de cause, toute demande d'informations en vue d'une étude statistique fera l'objet d'une transmission de données préalablement anonymisées.

Sur l'information et les droits des personnes.
Le responsable du traitement procède, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, à l'information des personnes concernées par le ou les traitements mis en œuvre par tout moyen approprié, dans un langage compréhensible et selon des modalités appropriées et adaptées à leur état.
L'information doit notamment porter sur l'identité du responsable de traitement, la finalité poursuivie par le traitement, les destinataires des données et les droits des personnes (droits d'opposition pour motifs légitimes, d'accès et de rectification).
Les personnes sont également informées du caractère obligatoire ou facultatif des réponses, ainsi que des conséquences éventuelles, à leur égard, d'un défaut de réponse ou de l'exercice de leur droit d'opposition.
Cette information doit notamment figurer sur les formulaires de collecte destinés aux personnes auprès desquelles les données sont collectées.
Les droits d'opposition pour motifs légitimes, d'accès et de rectification, définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent directement auprès du ou des services que le responsable de traitement doit impérativement désigner.

Sur la sécurité des données et la traçabilité des actions.
Le responsable de traitement doit prendre toutes les précautions utiles au regard des risques présentés par le traitement pour préserver la sécurité des données à caractère personnel. Il doit, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.
A cet égard, le responsable de traitement doit notamment s'assurer que :

- toute transmission d'information via un canal de communication non sécurisé, par exemple Internet, s'accompagne de mesures adéquates permettant de garantir la confidentialité des données échangées, telles qu'un chiffrement des données ;
- les personnes habilitées disposant d'un accès aux données doivent s'authentifier avant tout accès à des données à caractère personnel, au moyen d'un identifiant et d'un mot de passe personnels respectant les recommandations de la CNIL, ou par tout autre moyen d'authentification garantissant au moins le même niveau de sécurité ;
- un mécanisme de gestion des habilitations est mis en œuvre et régulièrement mis à jour pour garantir que les personnes habilitées n'ont accès qu'aux seules données effectivement nécessaires à la réalisation de leurs missions. Le responsable de traitement doit définir et formaliser une procédure permettant de garantir la bonne mise à jour des habilitations ;
- des mécanismes de traitement automatique garantissent que les données à caractère personnel seront systématiquement supprimées, à l'issue de leur durée de conservation, ou feront l'objet d'une procédure d'anonymisation rendant impossible toute identification ultérieure des personnes concernées ;
- les accès à l'application font l'objet d'une traçabilité afin de permettre la détection d'éventuelles tentatives d'accès frauduleux ou illégitimes. Les accès aux données considérées comme sensibles, au regard de la loi du 6 janvier 1978 modifiée, doivent quant à eux être spécifiquement tracés en incluant un horodatage, l'identifiant de l'utilisateur, ainsi que l'identification des données concernées, et ceci pour les accès en consultation, modification ou suppression. Les données de journalisation doivent être conservées pendant une durée de six mois glissants à compter de leur enregistrement, puis détruites ;
- l'externalisation de l'hébergement de données de santé à caractère personnel soit réalisée dans les conditions prévues à l'article L. 1111-8 du code de la santé publique.

Concernant les mécanismes d'anonymisation, il conviendra de s'assurer que les statistiques produites ne permettent aucune identification, même indirecte, des personnes concernées.
La commission rappelle que l'usage d'outils ou de logiciels développés par des tiers dans le cadre de la mise en œuvre d'un traitement de données à caractère personnel reste sous la responsabilité du responsable de traitement, qui doit notamment vérifier que ces outils ou logiciels respectent les obligations que la loi du 6 janvier 1978 modifiée met à sa charge.
Enfin, le responsable de traitement conserve la responsabilité des données à caractère personnel communiquées ou gérées par ses sous-traitants. Le contrat établi entre les parties doit mentionner les obligations incombant au sous-traitant en matière de préservation de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable de traitement.

Sur les transferts de données.
Un transfert de données à caractère personnel à destination d'un pays tiers à l'Espace économique européen peut être effectué lorsque l'une des conditions suivantes est réunie :

- le transfert s'effectue à destination d'un pays reconnu par une décision de la Commission européenne comme assurant un niveau de protection suffisant ;
- le traitement garantit un niveau suffisant de protection de la vie privée, ainsi que les droits et libertés fondamentaux des personnes, par la mise en œuvre de clauses contractuelles rédigées sur les modèles de clauses élaborés par la Commission européenne relatives aux transferts de données, d'une part, ou par l'adoption de règles internes d'entreprise (« Binding Corporate Rules » ou BCR) adoptées par le responsable de traitement et reconnues par la Commission nationale de l'informatique et des libertés et les autorités de protection des données personnelles compétentes comme offrant un cadre juridique satisfaisant pour effectuer des transferts de données en dehors de l'Union européenne, d'autre part ;
- le transfert est justifié par l'exception prévue par le 3° de l'article 69 de la loi du 6 janvier 1978 modifiée, à savoir le respect d'obligations permettant d'assurer la constatation, l'exercice ou la défense d'un droit en justice.

La commission rappelle que le recours aux exceptions prévues par l'article 69 de la loi du 6 janvier 1978 modifiée n'est possible que pour les transferts dont le champ d'application est limité à des cas ponctuels et exceptionnels. Les transferts répétitifs, massifs ou structurels de données doivent quant à eux faire l'objet d'un encadrement juridique spécifique, par l'intermédiaire de BCR ou de clauses contractuelles types.
Le responsable de traitement s'engage, sur simple demande d'une personne concernée, à apporter une information complète sur la finalité du transfert, les données transférées, les destinataires exacts des informations et les moyens mis en œuvre pour encadrer ce transfert.

Publication.
La présente délibération sera publiée au Journal officiel de la République française.