CCAS, aide sociale et RGPD : proteger les donnees des personnes vulnerables

Les Centres Communaux d’Action Sociale (CCAS) et les Centres Intercommunaux d’Action Sociale (CIAS) traitent des donnees parmi les plus sensibles du secteur public : revenus, situation familiale, etat de sante, handicap, logement, surendettement. Les beneficiaires de l’aide sociale sont des personnes souvent en situation de vulnerabilite, ce qui renforce l’obligation de proteger leurs donnees personnelles avec la plus grande rigueur.

Les traitements de donnees du CCAS

Le CCAS gere une multitude de traitements : instruction des demandes d’aide sociale legale (RSA, APA, aide sociale a l’hebergement), aide sociale facultative (secours d’urgence, bons alimentaires, aide au paiement de factures), domiciliation des personnes sans domicile stable, analyse des besoins sociaux du territoire, gestion des etablissements (EHPAD, foyers, residences autonomie). Chacun de ces traitements implique des donnees personnelles detaillees, souvent des donnees de sante ou des donnees relatives a la situation financiere et familiale.

Donnees sensibles et categories particulieres

Les dossiers d’aide sociale contiennent frequemment des donnees de categories particulieres au sens du RGPD : donnees de sante (certificats medicaux, GIR pour l’APA, handicap), donnees relatives a la vie sexuelle (pour certaines aides liees a la situation familiale), donnees revelant l’origine ethnique (dans certains formulaires non conformes a supprimer), donnees relatives aux infractions (signalements, mesures de protection). Le traitement de ces donnees est interdit par principe, sauf exceptions prevues a l’article 9 du RGPD, notamment la mission de service public dans le domaine social.

Secret professionnel et cloisonnement

Les agents du CCAS sont soumis au secret professionnel prevu par le Code de l’action sociale et des familles. Ce secret s’applique a toutes les informations recueillies dans l’exercice de leurs fonctions. En matiere de RGPD, cela se traduit par un cloisonnement strict des acces : un agent charge de l’aide alimentaire ne doit pas acceder aux dossiers d’APA, un agent d’accueil ne doit pas consulter les bilans de sante. Les habilitations dans le logiciel metier doivent refleter cette separation des missions et etre revues periodiquement.

Domiciliation et protection des personnes sans abri

La domiciliation des personnes sans domicile stable est une mission obligatoire du CCAS. Elle permet aux personnes concernees de disposer d’une adresse pour exercer leurs droits civiques et acceder aux prestations sociales. Les donnees collectees sont particulierement sensibles : elles revelent la situation de precarite de la personne. Le registre de domiciliation ne doit etre accessible qu’aux agents strictement habilites. Les attestations de domiciliation ne doivent pas mentionner qu’il s’agit d’une domiciliation (pour eviter la stigmatisation). La duree de conservation est d’un an renouvelable, avec suppression des donnees apres radiation.

Partage d’informations entre acteurs sociaux

L’accompagnement social implique souvent un partage d’informations entre plusieurs acteurs : CCAS, departement, CAF, Pole emploi, associations caritatives, bailleurs sociaux. Ce partage est encadre par le Code de l’action sociale qui prevoit le « secret partage » entre professionnels intervenant aupres d’une meme personne. En termes de RGPD, chaque partage doit etre justifie par une finalite precise, limite aux informations strictement necessaires, et realise via des canaux securises. Les fiches de liaison entre partenaires doivent etre anonymisees autant que possible.

Logiciel metier et hebergement des donnees

Le logiciel de gestion du CCAS centralise des donnees extremement sensibles. Son choix et son parametrage sont determinants pour la conformite RGPD. Le logiciel doit permettre la gestion fine des habilitations, la tracabilite des acces et des modifications, le chiffrement des donnees sensibles, la purge automatique des dossiers archives, et l’extraction des donnees pour repondre aux demandes d’exercice de droits. L’hebergeur du logiciel doit presenter des garanties renforcees, idealement une certification HDS (Hebergeur de Donnees de Sante) lorsque des donnees medicales sont traitees.

Votre CCAS souhaite renforcer la protection des donnees de ses beneficiaires ? DPO France accompagne les centres d’action sociale dans leur mise en conformite RGPD.

Decouvrir DPO France

Durees de conservation specifiques

Les durees de conservation des dossiers d’aide sociale varient selon les dispositifs. Les dossiers d’aide sociale legale sont conserves pendant la duree de la prise en charge, plus cinq ans apres la fin de la prestation. Les dossiers d’aide facultative sont conserves trois ans apres le dernier versement. Les registres de domiciliation sont conserves deux ans apres la radiation. Les dossiers des personnes decedees en EHPAD sont conserves dix ans pour la partie medicale. Un tableau de gestion des durees de conservation, valide par le DPO et le service des archives, doit etre elabore et applique rigoureusement.

Pilotez la conformite RGPD de votre CCAS avec DPO Suite : registre, habilitations, durees de conservation et gestion des incidents.

Decouvrir DPO Suite

Laurent de Cavel, DPO certifie

A lire aussi sur le meme sujet :