Traitement des données personnelles (RGPD)
Textes de référence :
– Règlement Général de Protection des Données (RGPD)
– Délibération n° 2016-096 du 14 avril 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre dans le cadre de la prévention et de la protection de l’enfance (AU-49)
– Référentiel CNIL relatif au traitement des données dans le secteur médico-social
– Référentiel CNIL relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel
Dans la suite de ce document, la mention « ELIAD » est à comprendre comme l’ensemble des entités juridiques membres de l’Unité Economique et Sociale.
Eliad est amenée à recueillir et à conserver dans des dossiers papiers et numériques des informations personnelles concernant :
– Les usagers des services
– Les salariés
– Les candidats à un emploi ou un stage
– Les partenaires médicaux, sociaux et médico-sociaux
Concernant les usagers des services
Le traitement des données, nécessaires à l’exécution d’une prestation de service, a pour finalités :- De fournir les prestations définies dans le cadre d’un contrat conclu entre l’organisme et la personne concernée ou son représentant légal et, le cas échéant, d’assurer la gestion du dossier administratif de la personne concernée
– Le cas échéant, d’instruire l’ouverture aux droits à des prestations sociales légales et facultatives
– D’offrir un accompagnement social et médico-social évolutif et adapté aux difficultés rencontrées ayant pour objet d’élaborer un projet personnalisé d’accompagnement au regard des habitudes de vie, des demandes particulières, des besoins particuliers, de l’autonomie physique et psychique de la personne et d’en assurer le suivi conformément aux dispositions des articles L. 311-3 du CASF, d’assurer le suivi des personnes dans l’accès aux droits notamment l’assistance dans les relations et les démarches à effectuer et, le cas échéant, d’orienter les personnes vers les structures compétentes susceptibles de les prendre en charge
– D’échanger et de partager les informations strictement nécessaires, dans le respect des dispositions de l’article L. 1110-4 du CSP et des dispositions du CASF, permettant de garantir la coordination et la continuité de l’accompagnement et du suivi des personnes entre les intervenants sociaux, médicaux et paramédicaux
– D’assurer la gestion administrative, financière et comptable des services et avec les organismes financeurs
– D’assurer la remontée des informations anonymisées aux autorités compétentes concernant des dysfonctionnements graves ou évènements ayant pour effet de menacer ou de compromettre la santé, la sécurité ou le bien-être des personnes prises en charge conformément aux dispositions des articles R. 331-8 et suivants du CASF
– D’établir des statistiques, des études internes et des enquêtes de satisfaction aux fins d’évaluation de la qualité des activités, des prestations et des besoins à couvrir
– D’échanger et partager des informations strictement nécessaires avec les proches aidants des personnes accompagnées et/ou leur famille- D’informer sur les services d’Eliad, complémentaires à la prestation (Ex : téléassistance, accueil de jour, aide aux aidants, livraisons à domicile, etc.) en vue d’une prise en charge globale des personnes aidées
Dans ces cas, le traitement des données personnelles s’appuie sur les bases légales suivantes :
– Respect d’une obligation légale incombant à Eliad (Code de l’action sociale et des familles-Cahier des charges de l’autorisation…)
– Exécution d’une mission d’intérêt général
– Exécution d’un contrat de prestation
– Intérêt légitime des deux parties
– Consentement
Dans le respect du principe de minimisation des données propres au fonctionnement de chaque service d’Eliad, sont considérées comme pertinentes, pour les finalités rappelées ci-dessus, les catégories de données suivantes relatives :
– A l’identification des bénéficiaires et, le cas échéant, de leurs représentants légaux
– Au type d’accompagnement et aux actions mis en œuvre
– A la vie personnelle
– Aux conditions de vies matérielles
– A la couverture sociale
– A l’évaluation sociale et médico-sociale
– A l’identification des personnes concourant à la prise en charge sociale et médico-sociale et à l’entourage susceptible d’être contacté
– Au parcours professionnel et de formation dans le cadre de l’aide à l’insertion professionnelle des personnes
– Aux coordonnées bancaires (facturation)
– Aux données relatives aux convictions religieuses et/ou philosophiques sous réserve d’être collectées auprès de la personne concernée ou de son représentant légal, après recueil du consentement* exprès et d’être strictement nécessaires à l’accompagnement social et/ou médico-social (par ex. : organisation des repas)
– Aux données relatives à la santé, sous réserve que ces données soient collectées à des fins :
a. D’administration de soins, de traitements, de diagnostics médicaux, de médecine préventive ou de gestion des services de santé. Les traitements au sein desquels ces données sont intégrées doivent être mis en œuvre par un membre d’une profession de santé ou par une autre personne à laquelle s’impose en raison de ses fonctions, l’obligation de secret professionnel.
b. De délivrance d’une prestation sociale destinée aux personnes en situation de perte d’autonomie ou de handicap prévue par un texte législatif ou réglementaire, sous réserve que ces informations soient strictement nécessaires à la délivrance de ladite prestation.
c. Lorsque la collecte de données de santé est nécessaire à l’accompagnement social réalisé mais ne s’inscrit pas au sein de l’une des deux situations susvisées, après recueil du consentement* de la personne concernée ou de son représentant légal (par ex. : une aide à domicile peut recevoir communication de l’état de santé d’une personne dès lors que ces informations sont nécessaires à l’accompagnement social et médico-social réalisé à domicile).
– Au NIR qui fait l’objet d’une réglementation spécifique et ne peut, être enregistré dans le traitement que dans le cadre des échanges avec les professionnels de santé ou les organismes de sécurité sociale, de prévoyance et les MDPH
– A l’identifiant national de santé ou INS qui ne peut être utilisé que pour répertorier et retrouver les données de santé et les données administratives rattachées à une personne bénéficiant ou appelée à bénéficier d’une prise en charge sanitaire ou médico-sociale
De manière générale, les services d’Eliad ne collectent que les données dont ils ont réellement besoin et ne le font qu’à partir du moment où ce besoin se concrétise.
Les données personnelles sont recueillies et conservées sur différents supports papiers et numériques, variables selon les types de prise en charge :
– Le document Projet Personnalisé d’Autonomie (PPA)
– Le contrat de prestation ou Document Individuel de Prise en Charge (DIPEC)
– Le cahier de liaison le cas échéant
– Le dossier papier de suivi de la prise en charge
– La messagerie électronique
– Le logiciel de gestion électronique des documents ZEENDOC
– Les logiciels de suivi des prestations (groupe Up)
– Le dispositif eTICSS (Territoire Innovant Coordonné Santé Social) mis en place par l’Agence Régionale de Santé Bourgogne Franche-Comté (Dossier Unique Informatisé, messagerie sécurisée Globule…). Tous les documents envoyés dans eTICSS sont visibles seulement en fonction de profils d’habilitation.
– L’Interopérabilité Ville-Hôpital pour le partage de documents dans les dossiers des patients du GH70 sur les sites de Vesoul, Lure et Luxeuil-les-Bains
Eliad travaille sur les supports informatiques de l’éditeur de logiciels UP et est engagé dans le Plan Ma Santé 2022.
Concernant les salariés d’Eliad
Le traitement des données mises en œuvre a pour finalités :
– La gestion administrative des personnels
– La gestion des rémunérations et accomplissement des formalités administratives afférentes
– La mise à disposition du personnel d’outils professionnels
– L’organisation du travail
– Le suivi des carrières et de la mobilité
– La formation
– La tenue des registres obligatoires, rapports avec les instances représentatives du personnel
– La communication interne
– La gestion des aides sociales
– La réalisation des audits, gestion du contentieux et du précontentieux
Dans ces cas, le traitement des données personnelles s’appuie sur les bases légales suivantes :
– Le respect d’une obligation légale incombant à l’organisme, imposant la mise en œuvre d’un traitement entrant dans le cadre de la gestion du personnel (par ex. les obligations liées à la déclaration sociale nominative (DSN) ou encore à la tenue d’un registre unique du personnel)
– L’exécution d’un contrat
– L’intérêt légitime des deux parties
– L’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique
– Le consentement*
Dans le respect du principe de minimisation des données propres au fonctionnement de chaque service d’Eliad, sont considérées comme pertinentes, pour les finalités rappelées ci-dessus, les catégories de données suivantes relatives :
– A l’identification de l’employé
– A ses moyens de déplacements pour assurer les fonctions propres au travail à domicile
– Au suivi de carrière et de la formation de l’employé
– A l’établissement de la fiche de paie et aux obligations légales connexes (notamment, dans le cadre du prélèvement à la source, le taux d’imposition)
– A la validation des acquis de l’expérience
– A la gestion des déclarations d’accident du travail et de maladie professionnelle, à la gestion des arrêts de travail et autres cas d’absences autorisées et au suivi des visites médicales de l’employé
– Aux sujétions ou situations particulières ouvrant droit à congés spéciaux ou à un crédit d’heures de délégation
– Aux outils et matériels professionnels mis à la disposition de l’employé dans le cadre de ses missions (dotation en matériel et logiciels informatiques, véhicule, etc.)
– A la gestion des activités sociales et culturelles mises en œuvre par l’employeur
– Aux élections professionnelles et réunions des instances représentatives du personnel
– A la lutte contre la discrimination, à l’obligation d’emploi résultant des articles L5212-2 et suivants du code du travail, etc.
– Aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale
– Pour les personnels aides- soignants ou assistants de soins en gérontologie : Copie du carnet de vaccination
– Pour les infirmiers :
Copie de la carte ordinale de l’ordre des infirmiers
- Numéro ADELI
Le cas échéant,
- Une attestation de reconnaissance de travailleur handicapé (non obligatoire)
- Une attestation d’attribution du RSA et/ou de l’allocation parent isolé (API) (non obligatoire)
Les données personnelles sont recueillies et conservées sur différents supports papiers et numériques :
– Le contrat de travail
– Les logiciels de suivi du parcours professionnel du salarié (Groupe Up)
– La messagerie électronique
– Le logiciel de gestion électronique des documents ZEENDOC
Concernant les candidats à un emploi au sein d’Eliad ou à un stage
Le traitement des données mises en œuvre a pour finalités :
– Le traitement des candidatures (CV et lettre de motivation) et gestion des entretiens
– La constitution d’une CV-thèque
Dans ces cas, le traitement des données personnelles s’appuie sur les bases légales suivantes :
– L’intérêt légitime des deux parties
– Les mesures précontractuelles prises à la demande du candidat
Dans le respect du principe de minimisation des données propres au besoin de collecte de candidatures, sont considérées comme pertinentes, pour les finalités rappelées ci-dessus, les catégories de données suivantes relatives :
– A l’identification du candidat (nom, prénom, adresse, téléphone, mail…)
– A l’évaluation des compétences du candidat en vue d’un éventuel entretien avec un responsable RH (CV, lettre de motivation, diplôme)
– A ses moyens de déplacements pour assurer les fonctions propres au travail à domicile
Les données personnelles sont recueillies et conservées sur différents supports papiers et numériques :
– Le cas échéant, un dossier papier de suivi de la procédure de recrutement
– La messagerie électronique
– Le logiciel de gestion électronique des documents ZEENDOC
Concernant les partenaires médicaux, sociaux et médico-sociaux
Les destinataires
Les destinataires des données personnelles sont les seules personnes habilitées à en connaître au regard de leurs attributions au sein d’Eliad.
Certaines informations peuvent être communiquées à des partenaires d’Eliad ou à ses prestataires de services annexes, dans le cadre de l’accomplissement de tout ou partie des prestations.
Le consentement* est requis lors de la communication d’informations à un tiers non-membre de l’équipe de soin ou d’accompagnement pour les clients/usagers/résidents…
Par ailleurs, Eliad peut être tenue de fournir des informations personnelles aux autorités publiques françaises ou étrangères habilitées, notamment en cas d’enquêtes de police.
Les informations recueillies pourront être communiquées à des tiers liés à l’entreprise par contrat pour l’exécution de tâches sous-traitées nécessaires à la gestion électronique des contrats et documents :
– La société Domatel (groupe Up)
– La société Dôme (groupe Up)
– La société Sadigh Conseil
– La société Albus
– La société Sages Informatique
Il est précisé que, dans le cadre de l’exécution de leurs prestations, les tiers n’ont qu’un accès limité aux données et ont l’obligation de les utiliser en conformité avec les dispositions de la législation applicable en matière de protection des données personnelles.
Les destinataires des données sont intégralement situés au sein de l’Union européenne.
La conservation des données
Ces informations personnelles seront conservées toute la durée nécessaire pour la gestion des activités et l’accomplissement par l’association de ses obligations légales et réglementaires.
Pendant toute la durée de conservation des données personnelles, l’association met en place tous les moyens aptes à assurer la confidentialité et la sécurité de ces données, de manière à empêcher leur endommagement, effacement ou accès par des tiers non autorisés. Ainsi les accès sont strictement réglementés par mots de passe et contrôlés régulièrement.
Les droits des personnes concernées
Les personnes concernées disposent des droits suivants :
– Le droit d’accès
– Le droit de rectification
– Le droit à l’effacement
– Le droit à la limitation du traitement
– Le droit à la portabilité : possibilité de récupérer une partie des données dans un format ouvert et lisible par machine afin de les réutiliser à des fins personnelles. (Ce droit ne s’applique que si les trois conditions suivantes sont réunies : limitation aux seules données à caractère personnel fournies par la personne concernée ; application uniquement si les données sont traitées de manière automatisée (exclusion des fichiers par voie papier) et sur la base du consentement préalable de la personne concernée ou de l’exécution d’un contrat conclu avec la personne concernée ; respect des droits et libertés de tiers)
– Le droit de s’opposer au traitement des données (Le droit d’opposition n’existe pas lorsque le traitement répond à une obligation légale ou s’il est nécessaire à l’exécution d’un contrat)
Pour exercer ces droits ou pour toute question sur le traitement des données, contacter le délégué à la protection des données : Mme Myriam Springaux – Eliad, 41 rue Edison 25000 Besançon / rgpd@eliad-fc.fr / tel : 03 81 41 67 33. Il est également possible d’avoir recours à la Commission Nationale de l’Informatique et des Libertés (CNIL).
* Ce que dit le RGPD :
« Le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».