L’archivage des données

L’archivage des données est un vaste sujet qu’il convient d’explorer de manière personnalisée pour le social et le médico-social. Si des outils peuvent aider à la mise en place d’un archivage facilité, la rédaction des données reste dans le périmètre du professionnel ou de l’entourage de la personne accueillie. Tour d’horizon des pratiques et recommandations dans le secteur médico-social et social.

L’accès de la personne à ses données est une demande légitime, qui figure dans ses droits fondamentaux. En effet, une personne informée qui sait contribue davantage à son projet personnalisé et à sa prise en charge. De bénéficiaire, elle devient alors acteur.

Mais il convient, particulièrement dans le cadre social et médico-social, de cadrer ces accès car, si l’accès à l’information est légitime, l’information en elle-même peut parfois être une violence. En effet, véritable marqueur de la relation de confiance entre le professionnel et l’usager, l’information diffusée doit être claire, explicite, basée sur des faits et non des interprétations et se mettre à la portée de la personne. Si nécessaire, la prise de connaissance des informations peut s’accompagner d’une explication par un professionnel.

Offrir à l’usager un service de qualité, c’est désormais d’abord respecter son autonomie, et ce respect oblige à l’informer, le consulter, à ne laisser dans l’ombre aucune des informations et décisions le concernant.

Eric FIAT, Philosophe, Maître de conférence à l’Université de Marne La Vallée.

Que disent les lois ?

La loi impose aux établissements et services de garantir :

> « Une prise en charge et un accompagnement individualisé de qualité favorisant son développement, son autonomie et son insertion, adaptés à son âge et à ses besoins,  respectant son consentement éclairé qui doit systématiquement être recherché lorsque la personne est apte à exprimer sa volonté et à participer à la décision. À défaut, le consentement de son représentant légal doit être recherché ;

> La confidentialité des informations la concernant ;

> L’accès à toute information ou document relatif à sa prise en charge, sauf dispositions législatives contraires. »

extrait de la loi 2002-2.

Ces éléments prennent en compte le dossier informatisé des personnes, mais également l’ensemble des documents qui les entourent. Ces lois ont introduit pour la première fois que la relation entre l’aidé et l’aidant était régie par un contrat.

L’accès au dossier par la personne accueillie ou accompagnée est principalement régi par trois textes législatifs :

  • la loi du 17 juillet 1978 pose un principe général de libre accès aux documents administratifs ;
  • la loi du 2 janvier 2002 dispose que « la personne prise en charge par un établissement a un droit d’accès à toute information ou document relatif à sa prise en charge, sauf dispositions législatives contraires ». Lesdites dispositions concernent aujourd’hui l’accès aux origines, soumis à un régime particulier (cf CNAOP) ;
  • la loi du 4 mars 2002 consacre, pour les malades, un droit général d’accès aux informations relatives à leur santé, détenues par des professionnels et des établissements de santé (code santé publique, (article L1 111-7, alinéa 1Cr).

Le RGPD

Le RGPD, introduit le 25 mai 2018 est un enjeu majeur pour les établissements et services sociaux, sanitaires et médico-sociaux. Le principe général s’articule autour de trois grands acteurs : 

  • l’usager (personne dont les données sont récoltées)
  • le responsable de traitement (ESSMS)
  • sous-traitant (prestataire de service, logiciel de récolte des données, etc.).

Depuis le RGPD en 2018, il n’est plus nécessaire de faire une déclaration auprès de la CNIL. Il suffit de constituer un registre des traitements, recensant toutes les catégories de traitements récoltées. Dans cette optique, chaque établissement doit être en mesure de démontrer à tout moment sa conformité aux exigences du RGPD en traçant tous les traitements récoltés, qu’ils soient informatiques ou papier.

Chaque établissement doit donc :

  • Disposer d’un registre des activités de traitements ;
  • Assurer le respect des droits des personnes ;
  • Avoir mis en place des procédures garantissant la sécurité et la confidentialité des données ;
  • Disposer d’un délégué à la protection des données ;
  • Avoir réalisé une analyse de l’impact du traitement des données sensibles (notamment les informations de santé) ;
  • Avoir assuré la sécurité de ses relations contractuelles ;
  • Prévoir le signalement de tout incident de sécurité.

L’archivage des données

Les données collectées et traitées pour les besoins du suivi des personnes ne peuvent être conservées dans une base active (s’entend, un outil de traitement des données : cahier papier, document informatique, dossier usager informatisé) au-delà de 2 ans à compter du dernier contact avec la personne. 

En cas de décès de la personne, ces données pourront par ailleurs être supprimées.

Bien sûr, ce cas de figure ne prévaut pas lorsqu’il existe un recours contre un tiers ou un contentieux : les données peuvent alors être conservées jusqu’à l’intervention de la décision définitive.

Ceci vaut également pour toutes les données annexes, utilisées dans le cadre de l’accompagnement : justificatifs, documents d’identités non restitués au représentant légal, etc.

Après cette période d’expiration, l’archivage varie selon qu’il s’agit du secteur public ou privé :

Les durées de conversation des données avant archivage, à compter du dernier passage, sont recensées par types d’activités de traitement :

Médico-social :

Médical :

Qui peut avoir accès aux données ?

Tout d’abord, et cela paraît évident, la personne peut avoir accès à ses données, mais comme indiqué précédemment, avec un accompagnement spécifique. En effet, un compte-rendu médical peut revêtir un caractère de violence s’il n’est pas accompagné d’explications et de clarifications par exemple.

Les personnes autorisées par la personne elle-même si elle est en capacité de le faire, ou les représentants légaux, peuvent avoir accès à ces données. Ceci est défini lors de la prise en charge dans un établissement ou service médico-social ou social.

Ensuite, viennent les professionnels :

Le personnel d’un établissement ou service concourant à la prise en charge de la personne peut avoir accès aux données. Ceci requiert du secret partagé (voir notre prochain article sur le sujet).

Les partenaires participant à la prise en charge de la personne de par leurs activités (médecins, professionnels extérieurs à l’établissement, tuteurs, etc.).

Les organismes instructeurs et payeurs de prestations sociales.

Chaque professionnel cité ci-dessus n’a pas accès à l’ensemble des données. Les données sont considérées ici comme un tout. Mais ce tout est bien sûr composé de parties séparées les unes des autres, et ces accès doivent se faire de façon différenciée pour chaque catégorie de personnes.

Comment assurer sécurité et confidentialité ?

Le responsable de traitement doit s’assurer que la sécurité est garantie quant à la récolte et à l’exploitation des données. Il doit aussi s’assurer que la sécurité est respectée. Pour cela, il peut investir dans un outil sécurisé, récoltant les données (un logiciel du dossier de l’usager informatisé (DUI) comme Airmes par exemple), le sous-traitant lui fournira les garanties souhaitées. La sécurité telle que décrite par la CNIL doit comprendre au minimum :

  • un canal sécurisé pour échanger les données : chiffrement des données, accès limité des données, par exemple.
  • l’authentification des personnes ayant accès aux données (identifiant et mot de passe sécurisé respectant les recommandations de la CNIL)
  • une gestion des habilitations pour que chaque personne n’ait accès qu’aux données nécessaires pour assurer l’accompagnement
  • la traçabilité des accès, horodatage des actions et identifiant de l’utilisateur. Ces données doivent être conservées pour une durée de 6 mois glissants puis être détruites
  • l’hébergement de données de santé à caractère personnel externalisé.

Toute statistique produite qui ne nécessite pas d’identification stricte des personnes devra être anonymisée (statistiques, rapports annuels).

Recueil du consentement non nécessaire

Le RGPD, contrairement au règlement de la CNIL initialement, ne demande pas de déclarer que chaque personne a bien consenti à l’utilisation de ses données.

Cependant, le RGPD impose d’informer les usagers des données recueillies dans le cadre de leur accompagnement : par tout moyen approprié, dans un langage compréhensible et selon des modalités appropriées et adaptées à leur état. En cas de contrôle de la CNIL, il faudra prouver que le responsable de traitement a informé les usagers.

Cette mention peut être ajoutée dans dans leur contrat de séjour par exemple ou dans un avenant s’ils sont arrivés dans la structure avant la mise en place du RGPD.

L’information doit notamment porter sur l’identité du responsable de traitement, la finalité poursuivie par le traitement, les destinataires des données et les droits des personnes (droits d’opposition pour motifs légitimes, d’accès et de rectification).

Les usagers sont informés du caractère obligatoire ou facultatif des réponses, ainsi que des conséquences éventuelles s’ils refusent.

Airmes, logiciel du dossier usager informatisé, vous permet de répondre facilement et efficacement aux questions d’archivage au sein de votre structure. Nos experts peuvent vous accompagner à mener cette réflexion dans vos établissements. Contactez-nous ! contact@airmes.eu – 03 81 50 06 20 (choix 2)

Sources :

  • Référentiel “Les durées de conservation” par la CNIL
  • Guide pour les établissements sociaux et médico-sociaux : le dossier de la personne accueillie ou accompagnée” par le Ministère du travail, des relations sociales et de la solidarité 2007.

Crédits :
– Rédaction : Lucille Blondé
– Relecture : Yann Rondot

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut