Revenons sur le Pack de conformité « Silver économie et données personnelles » publié par la CNIL en novembre 2017, qui intéresse les gestionnaires d’établissements et services pour personnes âgées mais qui peut également concerner les gestionnaires d’établissements et services pour personnes en situation de handicap qui réalisent des accompagnements à domicile ou en établissement.
La Silver Economie englobe l’ensemble des activités économiques, industrielles et de services à la personne qui bénéficient aux personnes âgées.
La CNIL, en partenariat avec la Fédération des Industries Électriques, Électroniques et de Communication (FIEEC), s’est intéressée plus précisément aux données collectées et traitées via les produits et applications utilisées afin d’améliorer et/ou sécuriser la vie des personnes âgées à domicile ou en établissement.
Ces travaux ont permis d’une part de sensibiliser à la protection des données personnelles les concepteurs de ces produits et services pour un meilleur respect des droits des usagers, et d’autre part, d’identifier 3 types de situation.
SCÉNARIO 1 : « IN – IN »
Les données sont traitées dans l’espace privé, via des dispositifs restant sous la maîtrise unique de la personne concernée et pour son usage personnel.
Exemple : un système permettant de détecter, au moyen de capteurs, la position des personnes qui se lèvent pendant la nuit afin de leur permettre de se déplacer en toute sécurité en éclairant leur chemin.
L’espace privé correspond notamment au domicile de la personne concernée ou à tout autre logement dans lequel elle réside, par exemple, une chambre dans un établissement d’hébergement ou de soin.
Dans ce cas d’usage :
- Un ou plusieurs produits ou logiciels collectent des données au sein de l’espace privé et peuvent communiquer entre eux sans que les données n’en sortent ;
- Les caractéristiques des produits ou logiciels permettent que les données peuvent sortir de l’espace privé sans qu’elles ne soient transmises, collectées ni réutilisées par d’autres tiers que les représentants légaux ou les proches de la personne concernée.
SCÉNARIO 2 : « IN – OUT »
Les données sont traitées dans l’espace privé et transmises à l’extérieur.
Exemple : un détecteur de chute permettant au porteur de déclencher une alerte à destination d’un service de téléassistance en cas d’urgence.
Dans ce cas d’usage, les données :
- Sortent de l’espace privé pour être transmises à des tiers autres que les représentants légaux ou les proches de la personne concernée (fournisseur de service, établissement d’hébergement ou de soin, personnel médical, intervenants professionnels (services d’urgence ou de soins à domicile, etc.), sous-traitant, prestataire, partenaire commercial, etc.) ;
- Sont traitées par des tiers pour permettre une intervention auprès de la personne concernée ou lui proposer un service n’impliquant pas un pilotage à distance ou une interaction avec des équipements présents dans l’espace privé.
SCÉNARIO 3 : « IN – OUT – IN »
Les données sont traitées dans l’espace privé et transmises à l’extérieur pour permettre en retour une action automatique sur les équipements situés dans l’espace privé.
Exemple : un dispositif équipé de sondes et de thermostats permettant de détecter la présence de l’occupant et d’alerter des tiers en cas de variation inhabituelle de la température du logement. Les tiers peuvent commander et piloter le système à distance pour réguler la température du logement.
Dans ce cas d’usage, les données :
- Sortent de l’espace privé pour être transmises à des tiers autres que les représentants légaux ou les proches de la personne concernée (fournisseur de service, établissement d’hébergement ou de soin, personnel médical, intervenants professionnels (services d’urgence, ou de soins à domicile, etc.), sous-traitant, prestataire, partenaire commercial, etc.) ;
- Sont traitées par des tiers pour permettre une intervention auprès de la personne concernée ou lui proposer un service impliquant un pilotage à distance ou une interaction avec un équipement situé dans l’espace privé.
Pour chaque scénario, il est nécessaire d’analyser les données au regard du RGPD :
- Nature des données personnelles collectées
- Nature des traitements
- Durée de conservation des données
- Les finalités
- Etc.
De toute évidence les enjeux sont importants et les usagers doivent pouvoir compter sur vous pour que leurs droits soient respectés.
Le Cabinet ACCENS AVOCATS, en tant que DPO, est votre partenaire pour vous accompagner dans cette démarche.
