Ce référentiel s’adresse aux organismes privés ou publics, quelle que soit leur forme juridique, qui accueillent, hébergent ou accompagnent sur le plan social et/ou médico-social les personnes âgées, les personnes en situation de handicap et celles en difficulté : demandeurs d’asile, personnes en situation de grande précarité face au logement, demandeurs d’emploi, personnes en difficulté financière, etc. Les organismes de la prévention et la protection de l’enfance et les mandataires judiciaires à la protection des majeurs ne sont pas visés par ce référentiel.
Le référentiel n'a pas de valeur contraignante mais il constitue un guide précieux pour les structures dans leur politique de protection des données personnelles.
Finalités des traitements de données personnelles Les finalités des traitements mis en œuvre par ces structures sont notamment :
de fournir les prestations définies dans le cadre du contrat conclu entre l’organisme et la personne concernée ou son représentant légal et, le cas échéant, d’assurer la gestion du dossier administratif de la personne concernée ;
d'instruire, de gérer et, le cas échéant, d'ouvrir les droits et/ou verser les prestations sociales légales et facultatives ;
d'offrir un accompagnement social et médico-social adapté aux difficultés rencontrées;
d’échanger et de partager les informations strictement nécessaires, dans le respect des dispositions de l’article L.1110-4 du CSP et des dispositions du CASF, permettant de garantir la coordination et la continuité de l’accompagnement et du suivi des personnes entre les intervenants sociaux, médicaux et paramédicaux ;
d'assurer la gestion administrative, financière et comptable de l'établissement, du service ou de l'organisme ;
d’assurer la remontée des informations préalablement anonymisées aux autorités compétentes concernant des dysfonctionnements graves ou évènements ayant pour effet de menacer ou de compromettre la santé, la sécurité ou le bien-être des personnes prises en charge
Etc.
Pour aider les responsables de traitement à déterminer la base légale appropriée, le référentiel propose un tableau des bases légales utilisées dans les cas les plus courants. Durée de conservation des données Le responsable du traitement doit déterminer la durée de conservation des données, sachant que par principe, il est recommandé que les données collectées et traitées, pour les besoins d'accueil, d’hébergement et d'accompagnement social et médico-social des personnes ne soient pas conservées dans la base active au-delà de deux ans à compter du dernier contact émanant de la personne concernée.
À l'expiration de la période de conservation, les données doivent être détruites de manière sécurisée ou archivées dans des conditions définies :
par les dispositions du code du patrimoine relatives aux obligations d’archivage des informations du secteur public pour les organismes soumis à ces dispositions ; ou
Le référentiel aborde également l'information des personnes, les droits des personnes concernées, la sécurité des données et la nécessité de réaliser systématiquement une analyse d'impact relative à la protection des données (AIPD), pour les traitements dont la finalité est l'accompagnement social et médico-social des personnes.