La CNIL (Commission nationale de l'informatique et des libertés) a publié, le 17 février, un référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de la protection de l’enfance et des jeunes majeurs de moins de 21 ans.
Comme tout organisme qui manipule des données personnelles, les organismes publics et privés qui proposent un accompagnement social et médico-social des mineurs et des jeunes majeurs de moins de 21 ans doivent respecter le RGPD (Règlement général sur la protection des données).
Ce référentiel de la CNIL s'adresse donc aux organismes privés ou publics quelle que soit leur forme juridique qui accueillent, hébergent et/ou accompagnent sur le plan social, médico-social, éducatif et/ou judiciaire les mineurs et majeurs de moins de vingt et un ans (voire vingt-cinq ans pour les jeunes nécessitant une protection particulière), ci-après « jeune(s) majeur(s) » ainsi que, le cas échéant, leurs familles.
Les organismes mettant en œuvre des traitements dans ce cadre doivent s’assurer de leur conformité : aux dispositions du règlement général sur la protection des données (RGPD) ainsi qu’à celles de la loi du 6 janvier 1978 modifiée (LIL) ; aux autres règles éventuellement applicables, conformément à la réglementation en vigueur, notamment le code de l’action sociale et des familles (CASF), le code de la santé publique (CSP), le code de procédure pénale (CPP), le code civil et le code des archives publiques.
Quels sont les établissements et services concernés ?
En raison des spécificités propres à ces traitements, la CNIL a choisi d’exclure du champ d'application du référentiel, les traitements mis en œuvre par les départements dans le cadre des procédures d'adoption.
Ce référentiel permet d’appliquer les règles de protection des données aux traitements relevant du secteur de l’enfance, tels que la gestion du recueil, le traitement et l’évaluation des informations préoccupantes relatives à l’enfance en danger par les cellules de recueil, de traitement et d'évaluation des informations préoccupantes (CRIP) des départements ou encore l’instruction et le suivi de l’accueil durable et bénévole par un tiers d’un enfant pris en charge par le service de l’aide sociale à l’enfance.
Pas obligatoire mais fortement recommandé
« Les référentiels adoptés par la CNIL sont des outils qui permettent à un organisme de mettre en conformité ses traitements de données personnelles. S’ils n’ont pas de caractère obligatoire (les organismes peuvent s’en écarter de leurs préconisations sous réserve de pouvoir justifier leurs choix), ils permettent toutefois d’offrir une sécurité juridique aux organismes qui s’y conforment », souligne la CNIL.
Et d'ajouter : « Les organismes qui souhaiteraient s’écarter du référentiel au regard des conditions particulières tenant à leur situation peuvent le faire. Il leur appartient néanmoins de justifier de l’existence d’un tel besoin et des mesures mises en œuvre afin de garantir la conformité des traitements à la réglementation en matière de protection des données à caractère personnel notamment lors d’un contrôle réalisé par les services de la CNIL ».
Ce référentiel constitue également une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD).
Délibération n° 2022-008 du 20 janvier 2022portant adoption d'un référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de la protection de l'enfance et des jeunes majeurs de moins de vingt-et-un-ans
