La loi « Informatique et Libertés » du 6 janvier 1978 modifiée et le règlement général sur la protection des données (RGPD) s’appliquent lorsqu’il est procédé à un traitement de données personnelles.
Dès lors que vous procédez à la collecte, l’enregistrement, la conservation, l’utilisation… d’informations concernant une personne physique que vous pouvez identifier directement ou indirectement, cela constitue un traitement de données personnelles.
La « silver économie » est donc concernée par le RGPD, en raison des données collectées et traitées à travers les produits, services et applications destinés aux personnes âgées.
Pour accompagner les acteurs de la filière dans leur processus d’innovation, le plus en amont possible dans la conception des produits et services, la CNIL et la Fédération des Industries Électriques, Électroniques et de Communication (FIEEC) ont élaboré un référentiel prenant en compte les contraintes du RGPD. C’est le pack de conformité.
Le pack de conformité « Silver économie et données personnelles »
La notion d’espace privé doit être prise en considération. Par espace privé, on entend le domicile de la personne ou le logement dans lequel elle réside, par exemple son logement dans un établissement d’hébergement pour personnes âgées.
Trois scénarios ont été identifiés et ont donné lieu à des recommandations. Ces recommandations sont évolutives puisqu’elles sont basées sur des technologies et des usages en vigueur à un moment donné.
Une révision régulière devra être faite.
Scénario 1 – Les données collectées restent dans l’espace privé
Les données sont collectées et traitées dans l’espace privé mais restent sous l’entière maîtrise de la personne concernée et uniquement pour son usage personnel.
- Soit les données restent au sein de l’espace privé
- Soit elles sortent de l’espace privé, mais ne sont utilisées que par les représentants légaux ou les proches de la personne concernée.
Scénario 2 – Les données sortent de l’espace privé
Les données sont collectées et transmises hors de l’espace privé
- à des tiers, comme des intervenants professionnels, du personnel médical, un établissement d’hébergement ou de soin, des fournisseurs de services…
- pour être traitées par des tiers en vue d’une intervention auprès de la personne ou mise en place d’un service sans que cela exige une intervention à distance avec des équipements présents dans l’espace privé.
Scénario 3 – Les données sortent de l’espace privé pour mettre en œuvre une action en retour au sein de l’espace privé
Les données sont collectées et traitées dans l’espace privé puis transmises à l’extérieur pour mettre en place une action sur les équipements situés dans l’espace privé
- par des tiers, comme des intervenants professionnels, du personnel médical, un établissement d’hébergement ou de soin, des fournisseurs de service…
- par des tiers en vue d’une intervention auprès de la personne ou mise en œuvre d’un service nécessitant une intervention à distance via les équipements présents dans l’espace privé.
Pour un seul et même service, produit ou application, plusieurs scénarios peuvent parfois s’appliquer.
Enfin, les mesures à mettre en place pour assurer la sécurité et la confidentialité des données peuvent elles aussi variées en fonction des produits et services. Ces risques doivent être évalués, dans certains cas, il s’agit même d’une obligation, assortie d’une étude d’impact sur la vie privée.
Pour retrouver toutes les recommandations de la CNIL, consultez le Pack Silver économie et données personnelles
Pour chaque scénario, vous retrouverez le périmètre à prendre en considération, des exemples de finalités pour vous guider, les obligations au regard du règlement auxquelles vous êtes tenu, des recommandations sur la nature des données collectées, les durées de conservation, les destinataires des données, les obligations en matière d’informations et du droit des personnes, les formalités préalables à accomplir et les mesures de sécurité à mettre en œuvre.
Vous trouverez également dans ce document la définition de termes tels que « personne concernée », « responsable de traitement », « sous-traitant », « destinataires », « données de santé », « consentement », « Droit à la portabilité », « Droit à la limitation du traitement », « anonymisation »…
https://www.cnil.fr/sites/default/files/atoms/files/pack_silver_economie_v4.pdf
