La protection des données à caractère personnel1 est progressivement devenue une préoccupation normative majeure dans le secteur social et médico-social2 au fur et à mesure du développement des traitements automatisés3 dans le cadre des prises en charge4 et de la construction depuis 19785 d’un cadre normatif rigoureux récemment renforcé par le règlement général sur la protection des données (RGPD)6. Cette protection au bénéfice des usagers accompagnés constitue un droit « fondamental » à l’instar de la dignité humaine, du droit à l’intégrité et à la vie privée. Elle renvoie à la délicate préservation de l’intimité et de l’autonomie d’usagers dépendants, à des degrés divers, des agents et structures qui les accompagnent. Dans les faits, cette protection constitue une problématique souvent sous-estimée et mal appréhendée par les acteurs sociaux et médico-sociaux7, comme en témoignent le fréquent retard dans la mise en conformité avec le RGPD et le choix par les collectivités et établissements sociaux et médico-sociaux (ESSMS) de démarches trop descendantes, le caractère peu prégnant de la protection juridique des données et de la sécurité informatique dans les formations proposées aux agents.
La dématérialisation des procédures, l’omniprésence des outils numériques et des nouvelles technologies8 dans les prises en charge élargissent autant les perspectives que les questionnements. Une prise en charge sociale et médico-sociale numérisée qui garantit au mieux la protection des données personnelles implique d’affronter des enjeux usuels ainsi amplifiés (I). Le renforcement de cette protection, dans le cadre du déploiement des outils numériques, constitue une formidable occasion d’interroger et améliorer l’organisation des services et les habitudes de prise en charge des personnes (II). En effet, les leviers d’amélioration consistent en un recours rationalisé et éthique aux traitements automatisés et aux outils numériques générant les données personnelles, au moyen de mesures organisationnelles et de bonnes pratiques (III).
I. Des enjeux amplifiés
La dématérialisation des démarches, le téléservice et, de plus en plus, les objets connectés à finalité thérapeutique facilitent la collecte et l’échange de données personnelles. Un champ des possibles est ouvert pour adapter au mieux la prise en charge, accélérer le rythme des démarches. Mais inévitablement apparaissent de nouvelles problématiques, de nature juridique, déontologique et technique, qui peuvent paraître difficilement conciliables : quelles limites se fixer dans le recours au numérique en matière d’accompagnement social (A) ? Comment préserver la vie privée et l’autonomie d’un usager en situation de dépendance administrative et/ou numérique (B) ? Comment intégrer la protection des données personnelles, qui implique une mise à distance sécuritaire, dans la démarche d’accompagnement social fondée sur le relationnel et la réactivité (C) ?
A. Encadrer le champ des possibles technologiques
La tentation peut être grande de multiplier la collecte et la consultation de données « au cas où » elles seraient nécessaires pour de futures démarches ou encore afin de mieux appréhender les différents pans de la situation de la personne prise en charge. Au point, au nom d’un meilleur accompagnement, de fragiliser involontairement l’expression de son consentement et son droit à la vie privée et de violer le principe de minimisation consacré par le RGPD9. De même, le courriel peut apparaître comme un outil providentiel d’efficacité pour un assistant social, afin d’accélérer des démarches ou de transmettre des informations préoccupantes, avec le risque que le courriel soit capté par un destinataire non autorisé qui pourrait être tenté d’usurper l’identité de l’usager ou que, sous le flot de courriels et d’informations, ainsi que la pression d’efficacité, le destinataire tire hâtivement les conclusions d’un signalement.
Il est clair également que l’utilisation des terminaux mobiles dans l’exercice des fonctions facilite la mobilité au sein d’un service ou d’un bâtiment donné, mais aussi, et surtout lors de déplacements sur le terrain, ou encore le télétravail. Mais la perte, le vol, l’indiscrétion des autres passagers des transports en commun, la perméabilité des réseaux et connexions informatiques fragilisent davantage la protection des données personnelles.
B. Préserver l’autonomie administrative des usagers
L’inégale maîtrise des outils numériques, tant par les usagers que par les agents, conduit involontairement et inévitablement à fragiliser l’autonomie des premiers et à placer les seconds dans des situations peu conformes avec les exigences du RGPD voire fragilisant la sécurité informatique.
Il est clair que les agents peu à l’aise avec l’outil informatique ne le seront pas davantage pour mettre en œuvre les bonnes pratiques. En outre, pris dans le flot de leurs missions, ils sont variablement sensibles à la problématique, n’ayant pas toujours conscience du caractère personnel des données.
Par ailleurs, si les situations des personnes vulnérables sont variées et ne préjugent pas nécessairement de leur aptitude à manier les outils numériques et à mobiliser les droits reconnus, nombreuses sont celles qui ne sont pas en mesure ou en capacité d’y procéder10. Un certain nombre d’usagers maîtrisent le langage administratif, mais pas celui numérique et se retrouvent dans une situation de dépendance à l’égard de leurs interlocuteurs au sein de l’administration ou de leur éventuel mandataire judiciaire à la protection des majeurs, pour réaliser des démarches qui sont de plus en plus11, et parfois exclusivement, numériques – même si le choix doit pourtant être maintenu12. La marginalisation se creuse davantage pour ceux ne maîtrisant aucun des deux langages. Pour sa part, le professionnel social doit assurer une charge supplémentaire, chronophage, de saisie informatique, au détriment de l’échange et l’accompagnement. Pour parer au plus pressé et au mieux, nombre de travailleurs sociaux se placent dans des situations déontologiques et juridiques « limites », face à un usager ne possédant pas d’adresse électronique, pourtant à renseigner pour de nombreuses démarches. Soit l’agent indique son adresse électronique professionnelle au risque d’être submergé de mails et de capter involontairement la circulation des informations intéressant l’usager – ce qui est à proscrire –, soit il l’aide à créer sa propre adresse électronique et, bien souvent, se retrouve à conserver les codes d’accès qui constituent pourtant des données personnelles au sens de la LIL – ce qui doit être encadré. Par ailleurs, l’éventuelle intervention du mandataire judiciaire pour la saisie informatique souligne une autre difficulté pratique, puisque la majorité des plateformes de téléservice ne prévoient pas la possibilité d’une double signature, ce qui constitue une perte d’autonomie supplémentaire pour l’intéressé.
Enfin, qu’ils soient ou non à l’aise avec les outils numériques, les usagers pris en charge sont souvent peu en capacité et/ou trop prit par les préoccupations légitimes du quotidien pour exercer les quelques droits sur leurs données dont ils disposent. Or, de manière générale, les droits reconnus aux administrés sur leurs données personnelles sont circonscrits au nom de l’intérêt général fondant l’action publique. C’est le cas du droit de s’opposer à un traitement qui peut être contré par un motif légitime et impérieux13 ou du droit de s’opposer au profilage14 qui n’est pas reconnu aux administrés, qui peuvent au mieux solliciter un second examen du dossier faisant intervenir une personne humaine15. En outre, la marge d’action des administrés du service public social et médico-social est encore plus restreinte, sauf à ce que des proches ou leurs éventuels mandataires judiciaires les exercent pour eux. En effet, quelle effectivité possible du droit au déréférencement16 dès lors que la prise en charge implique le traitement de bon nombre de données personnelles ou encore du droit à la limitation du traitement17, puisque s’abstenir de mentionner certaines informations revient à courir le risque de ne pas remplir toutes les conditions requises pour bénéficier d’une prise en charge ou d’être accusé de fraude ? De même quelle effectivité pour le droit à la portabilité des données18, qui, pour ces usagers, est uniquement vraisemblable en cas de changement d’ESSMS voire de déménagement dans une autre circonscription administrative ? La même interrogation se pose à propos de l’effectivité des droits d’accès19, de rectification20 et d’information sur l’objet du traitement ou l’éventuel transfert hors Union européenne des données21, qui dépassent les préoccupations légitimes de la plupart des personnes prises en charge par les travailleurs sociaux et les ESSMS.
C. Préserver le lien de confiance et le relationnel direct
La mise en œuvre des exigences de protection des données personnelles se complique dans des pans de l’action publique, tels les domaines sociaux et médico-sociaux, fondés sur le relationnel, la confiance et la mise en réseaux des acteurs. Le respect des protocoles de sécurité informatique peut alourdir les démarches et parfois mettre à distance l’usager. Comment lui expliquer sans le blesser qu’il ne soit pas possible d’insérer dans un ordinateur sa clef USB contenant les documents requis ou qu’il faut la scanner avant de l’ouvrir ? De même, le fait de devoir utiliser les postes informatiques ouverts au public et non plus celui du travailleur social sera plus spontanément perçu comme une complication et une méfiance de la part de l’administration que pour ce qu’elle est, à savoir une mesure organisationnelle de sécurité informatique.
Le ressenti de mise à distance peut également survenir entre collègues, y compris au sein d’un même service. La difficile délimitation de ce qu’est une équipe de soins pour justifier un partage d’informations entre professionnels liés par le secret professionnel ou l’obligation de discrétion22 est ici exacerbée par sa traduction en termes d’accès à tout ou partie des données figurant dans un traitement automatisé. Les interrogations liées à la soi-disant notion de secret partagé et aux dérives d’indiscrétions inutiles que peuvent, de manière aussi évidente qu’inconsciente, engendrer certaines manières de « faire équipe »23 se retrouvent nécessairement à propos de l’accès aux traitements automatisés de données qui doit, pourtant être restreint et cloisonné. Par exemple, comment refuser à un collègue ne relevant pas de l’équipe de prise en charge au sein d’un ESSMS, mais présent lors des réunions-bilans où les situations individuelles sont présentées, la communication d’informations éclairantes pour la prise en charge d’un autre membre d’une famille ? Il peut aussi être mal aisé de respecter l’obligation de secret professionnel face à un chef de service, doté de compétences seulement administratives, qui pratiquerait un management centralisateur pour garantir la qualité du service rendu et solliciterait d’être destinataire des informations relatives à la prise en charge des usagers.
Une prise en charge sociale et médico-sociale numérisée respectueuse au mieux des enjeux de protection des données personnelles implique d’affronter ces problématiques dans le cadre d’une véritable démarche de conduite de changement.
II. Une méthodologie à construire
Dans un contexte de numérisation des relations sociales et publiques, la mise en conformité avec le RGPD constitue un intéressant levier de dynamique organisationnelle et managériale dès lors qu’elle n’est pas uniquement appréhendée en tant que contrainte juridique, reléguée à plus tard ou réalisée hâtivement. Une protection réussie des données personnelles implique une démarche de changement (A), systémique (B) et partenariale (C).
A. Une démarche de changement
La mise en conformité avec le RGPD doit s’inscrire dans une démarche de changement, puisqu’elle procède d’une approche renouvelée de responsabilisation du responsable de traitement, de privacy by default et by design24 et de politique générale de sécurité du système informatique25. Elle est à concevoir et à porter comme une politique interne de conduite au changement et de responsabilisation des agents, aux fins de transparence et de protection des administrés. Si la trame doit être globale et cohérente, elle ne peut être monolithique. Un double mouvement d’acculturation doit se faire entre la protection des données – qui plus est personnelles – dans les usages numériques et chaque pan des missions de la collectivité territoriale ou d’un établissement public local.
Dans les ESSMS et directions des collectivités en charge des affaires sociales, la mise en conformité ne peut se faire sans une réflexion d’ensemble sur l’usage des outils numériques dans l’accompagnement social et médico-social et la collecte des données personnelles : l’existant et le souhaitable au regard des valeurs déontologiques sous-tendant ce secteur. Sécuriser techniquement et juridiquement les données personnelles des usagers permet de pointer du doigt des habitudes et pratiques empiriques, nées de la volonté de bien faire et d’agir efficacement avec les moyens disponibles, mais inadaptées sur ces deux plans et aussi, parfois, peu en adéquation avec le maintien de l’autonomie et de la vie privée des usagers. L’acceptation du changement, et notamment de nouvelles procédures de nature informatique ou juridique, implique un dialogue, ascendant et descendant, associant l’instance représentative des personnels en charge des questions collectives et les représentants des usagers, ainsi que du temps.
B. Une démarche systémique
La protection des données personnelles, qui plus est dans un contexte d’e-administration, exige une démarche systémique.
Elle repose sur l’articulation de leviers de trois ordres : nécessairement, pour partie, sur des mesures techniques de sécurité informatique et le respect d’obligations juridiques – obligation de mettre en place un système informatique sécurisé (SIS) à partir du référentiel général de sécurité (RGS)26 et obligation de se mettre en conformité avec le droit de la protection des données enrichi par le RGPD –, mais aussi sur des obligations déontologiques. En matière sociale et médico-sociale, cette dernière dimension est très prégnante en raison de l’importante quantité de données personnelles collectées et de la moindre attention à cette problématique souvent portée par les usagers eux-mêmes.
La protection des données personnelles implique aussi une responsabilisation et vigilance de tous : non seulement de la personne publique en qualité de responsable du traitement et de ses éventuels prestataires, mais aussi des agents et, pour une part, des usagers – sans omettre les élus dans les collectivités. Partant, elle repose non seulement sur des mesures organisationnelles – de mise en conformité avec le RGPD27 et de sécurité du système informatique28 relevant de la responsabilité du responsable du traitement et impliquant principalement le service de sécurité informatique et le DGS –, mais aussi, au quotidien, sur de bonnes pratiques29 que la structure se doit d’imposer et les agents et usagers de respecter, sous peine de fragiliser voire d’annihiler les mesures organisationnelles.
C. Une démarche partenariale
En raison de sa dimension systémique, du changement organisationnel impliqué, mais aussi de sa complexité et de son coût, la protection des données personnelles doit procéder d’une réelle démarche partenariale interne et externe.
En interne, il s’agit de mobiliser les services support, juridique et informatique, mais aussi l’ensemble des services opérationnels, en associant des agents représentatifs des différents cadres d’emplois et « métiers », au-delà de la consultation des instances de participation en partie composées de représentants des agents. En effet, leur rapport aux données personnelles des usagers ne sera pas le même selon qu’ils sont secrétaires administratifs, travailleurs sociaux, personnels soignants ou encore agents d’entretien. La PGSSI ne peut être définie sans remontée préalable des besoins et difficultés de terrain formulées par des groupes de travail émanant des services fonctionnels et opérationnels, et sans sollicitation du comité départemental de déontologie ou encore, dans les ESSMS, des représentants des usagers. La question des habilitations pour chaque traitement ou encore la détermination des bonnes pratiques impliquent une analyse de terrain, fine et par métiers. Il importe, en outre, de délimiter assez clairement la marge de sur-mesure pour la détermination de bonnes pratiques, à laisser à chaque service ou à harmoniser par catégorie de métiers.
Comme en témoignent de nombreux exemples, la rationalisation du recours au courriel dans le cadre de l’accompagnement social ne peut partir que d’une réflexion et des pistes de solutions exprimées par les assistants sociaux eux-mêmes. Procéder ainsi permet d’apporter une réponse la plus ajustée au regard du champ des possibles et des impondérables, mais aussi d’éviter les initiatives individuelles, à la marge, rompant avec l’homogénéité indispensable à un fonctionnement cohérent et égalitaire du service. Concrètement, l’agent qui constaterait que l’indication de certaines données à caractère personnel habituellement transmises à la commission d’attribution des logements n’est pas nécessaire et contrevient au respect de la vie privée des personnes, n’a pas à prendre seul l’initiative de ne plus les mentionner sur les documents qu’il préparera à l’avenir, mais doit faire remonter à son responsable de service cette problématique, qui devra bien sûr être évoquée au sein de l’équipe, mais nécessairement appréhendée en concertation avec le DPD, et éventuellement nécessitera une adaptation des caractéristiques du traitement ou des procédures internes. Face à l’éventuelle inertie de sa hiérarchie, il lui faudrait réitérer sa demande et, le cas échéant, saisir directement ledit délégué.
L’effectivité et l’efficacité d’une politique de protection des données à caractère personnel reposent également sur les appuis externes que le responsable de traitement saura mobiliser. Eu égard à sa lourdeur, aux enjeux ou zones d’incertitude normative, le responsable du traitement a tout intérêt à s’appuyer sur l’expertise et le conseil d’instances expertes sur les questions de sécurité informatique – l’ANSSI30, le groupement d’intérêt public Cybermalveillance.gouv.fr31, des associations telles CLUSIF ou PrimoFrance – ou de protection des données à caractère personnel – la CNIL, qui n’est pas seulement un contrôleur32… Il importe également qu’il engage un dialogue partenarial avec les autres entités publiques et privées intervenant dans le même domaine, afin que puissent être réduites les asymétries en termes de détermination du contenu et des accès à un traitement relevant de la même catégorie33.
En outre, la mutualisation de tout ou partie de la mise en œuvre du SSI ou de la conformité au RGPD s’impose raisonnablement pour bon nombre de collectivités et d’ESSMS. Elle revêt des degrés divers : groupement de commandes pour les logiciels et les plateformes de téléservice, implémentation du bouton FranceConnect sur le site de la structure afin de disposer d’une navigation sans couture34, mutualisation de la fonction de DPD35 ou de la direction SSI, ou encore, au sein d’un service unifié, de la réalisation de prestations de service liées au traitement desdites données36.
Les problématiques spécifiques et les enjeux méthodologiques préalablement soulignés ont déjà permis d’esquisser les leviers d’action juridique et technique auxquels il convient tout particulièrement de veiller pour la protection des données personnelles des usagers des services publics locaux sociaux et médico‑sociaux.
III. Des leviers de modération
La protection des données personnelles des usagers des services publics locaux sociaux et médico-sociaux procède d’un usage raisonné à la fois des traitements automatisés (A) et des outils numériques vecteurs de ces données (B), ce qui implique de ne pas s’en tenir aux prescriptions standards prévues le RGS et le RGPD repris par la LIL.
A. Un usage rationalisé des traitements automatisés
Cette protection passe d’abord par un usage des traitements automatisés qui soit rationalisé, car conforme au cadre législatif modifié par le RGPD, et éthique. Il n’est pas ici question de revenir sur l’ensemble des préconisations à respecter,37 mais d’insister sur deux relatives à la collecte numérique des données personnelles. Conformément au principe de minimisation, il importe de ne solliciter que des informations utiles pour traiter spécifiquement la demande précise de l’usager ou encore de ne pas exiger une identification pour la simple consultation en ligne des horaires d’ouverture d’un service.
De même, la collecte indirecte, qui permet d’éviter la sollicitation redondante des données « usuelles » nécessaires au traitement d’une démarche administrative par un autre service, doit être utilisée avec rigueur et transparence puisqu’elle déroge au principe d’étanchéité entre les traitements automatisés et qu’une autorité administrative ne saurait créer un fichier de population ou un identifiant unique des usagers d’un téléservice38. Les différents aménagements possibles39 – démarche « dites-le-nous une fois »40, échange interadministrations – impliquent l’information et le recueil préalable du consentement exprès et non équivoque de l’usager.
B. Un usage rationalisé des outils numériques vecteurs
Les modalités et habitudes d’utilisation des outils numériques conditionnent largement l’effectivité de la protection des données personnelles des bénéficiaires de prises en charge sociale ou médico-sociale. Est rationalisé un usage des terminaux et supports mobiles, logiciels et applications, qui est, bien entendu, techniquement sécurisé, mais aussi respectueux de l’autonomie des intéressés.
Leur usage sécurisé passe très classiquement par les usuelles mesures organisationnelles techniques et bonnes pratiques (v. supra) – tout en veillant à ce qu’elles n’alourdissent pas excessivement les procédures et démarches habituelles41 – ainsi que par l’accompagnement au changement des agents. Il repose également sur l’éducation au numérique des usagers sur leurs propres outils ou sur les postes publics, charge qui ne doit pas incomber uniquement aux travailleurs sociaux.
Sur un plan plus déontologique, protéger les données personnelles de ces publics implique de préserver autant que faire se peut leur autonomie dans l’usage concret des outils numériques et les données ainsi collectées ou mobilisées. Cela implique a minima de laisser des marges d’autonomie au moins symboliques au profit d’un usager dans l’incapacité de les manier seul, mais aussi de sécuriser juridiquement l’intervention de l’agent. Dès lors qu’il effectue des démarches administratives électroniques pour le compte d’un usager ne maîtrisant pas l’outil informatique, le travailleur social devrait se faire établir un mandat « autorisant à faire à la place de l’usager ». En cas d’impossibilité pour ce dernier de gérer un coffre-fort numérique, l’agent devrait conserver les codes d’accès dans une enveloppe – aux fins de confidentialité et de sécurité –, ne l’ouvrir qu’en présence de l’intéressé et circonscrire aux circonstances les plus urgentes la sollicitation d’une autorisation expresse écrite de procéder à une démarche en dehors de sa présence. De même, les applications donnant accès à une plateforme numérique de bouquets de services et de géolocalisation des lieux de prise en charge doivent veiller à cloisonner certaines navigations et recherches de l’intéressé, de sorte que le partage d’accès au compte avec le travailleur social soit limité à l’objet précis de l’accompagnement42. En revanche, le recours à la reconnaissance faciale pour sécuriser et simplifier la connexion à un téléservice – telle l’expérimentation de l’application mobile Alicem43 en phase de test sur FranceConnect – ne saurait constituer une solution idoine pour des usagers en situation de dépendance administrative et numérique, sans compter les inquiétudes au regard des libertés publiques44. Le dispositif offre une autonomie relative et illusoire à l’usager internaute qui ne sera pas en mesure de naviguer sur le téléservice et risque de contribuer à marginaliser encore davantage tous ceux – nombreux – qui ne disposent pas d’un smartphone.
Au final, il convient de garder à l’esprit qu’en raison de la vulnérabilité de la majorité des usagers accompagnés, l’effectivité de cette protection incombe surtout aux structures et à leurs agents. Or, le turn-over des agents assurant leur prise en charge quotidienne, dû à la pénibilité et au tentant recours massif à des CDD, ne simplifie pas la donne et constitue un sujet à part entière.