Conservation, stockage et archivage définitif des dossiers dans le secteur social et médico-social
Combien de temps les informations collectées ou générées dans l'exercice d’une mission de service public doivent être conservées ? La suppression de documents (qui devraient être conservés) va éventuellement causer des problèmes administratifs et juridiques dans le cadre du Code du patrimoine. La conservation trop longue des dossiers accentue le non respect des règles de protection des données à caractère personnel, ainsi que l'espace et les ressources précieuses à y consacrer. Notre conseil : créer un plan regroupant les règles de conservation, d'archivage et de destruction des données, en harmonie avec le RGPD et le Code du Patrimoine.
Découvrez dans cet article une introduction au sujet de la conservation des données pour vous aider à définir les périodes de conservation, de stockage, de destruction et d'archivage définitif des documents produits au sein de votre structure.
Les données collectées dans le secteur social et médico-social
En tant qu’établissement ou service social ou médico-social, vous serez éventuellement amenés à accueillir et à prendre en charge :
1. les personnes âgées (ex.: Ehpad, résidences autonomie, services de soins infirmiers à domicile (SSIAD), etc..) ;
2. les enfants en situation de handicap : (ex.: instituts médico-éducatifs (IME), instituts éducatifs, thérapeutiques et pédagogiques (Itep), centres d’action médico-sociale précoce (CAMSP), etc.) ;
3. les adultes en situation de handicap : (ex.: maisons d’accueil spécialisées (MAS), foyers d’accueil médicalisé (FAM), foyers d’hébergement, foyers de vie, services d’accompagnement médico-social pour adultes handicapés (Samsah), établissements et services d’aide par le travail (Esat), etc.) ;
4. les personnes précaires ou en situation d’exclusion : (ex: lits haltes soins santé (LHSS), centres d’hébergement et de réinsertion sociale (CHRS), centres d’accueil pour demandeurs d’asile (Cada), etc.) ;
5. les enfants relevant de la protection de l’enfance : (ex.: maisons d’enfants à caractère social (MECS), foyers de l’enfance, etc.)
6. les personnes à revenus modestes : (ex.: OPH, etc..)
Pour aller plus loin : sanction RGPD : des médecins sanctionnés par la CNIL
Le cadre légal
Dans l'exercice de ces missions, vous traitez (ou collectez, recevez, et créez) des données à caractère personnel sous forme de documents, de fichiers, de dossiers, de décisions, etc. Dans ce cadre, vous êtes soumis aux règles énoncées par le Règlement général sur la protection des données (dit, “RGPD”) et la loi informatique et libertés en vigueur.
Le principe de limitation
D’une part, le RGPD exige que “les données à caractère personnel doivent être [...] conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.”
D’autre part, le Code du patrimoine français exige que ces établissements et services traitent les documents en tant qu’archives publiques (article L211-1 et suivants), compte tenu de leur nature.
Ainsi des documents issus d’une activité des établissements publics ou lors de l'exercice d'une mission de service public par des personnes de droit privé, peuvent être considérés comme étant archives publiques
Aucun des deux textes susmentionnés ne donne de délais quantifiés ou explicites à respecter.
Il appartient donc aux acteurs de les définir, en tenant compte des règles des deux textes, de leurs interprétations et des préconisations des autorités chargées d'en contrôler le respect, à savoir la CNIL et la Direction en charge des Archives de France du ministère de la Culture, ainsi que des règles sectorielles énoncées, par exemple, dans le Code de l'action sociale et de la famille, dont vous avez la maîtrise. Pour aller plus loin : Dois-je systématiquement supprimer le dossier d'un usager après son départ ?
En résumé : Il est nécessaire de s'interroger sur la durée de conservation des dossiers des organisations du secteur social et médico-social, avant leur destruction ou leur transfert aux archives définitives.
La réponse varie selon :
- la nature des données
- la typologie de l'organisation
- la valeur historique attribuée aux dossiers
- les préconisations de la CNIL et la Direction en charge des Archives de France du ministère de la Culture
- les règles spécifiques à votre secteur (par exemple, le Code de l'action sociale et de la famille)
Notez que les éléments abordés dans ce guide ne sont pas exhaustifs et ne constituent pas d'avis juridique. Il a été élaboré dans le seul but d'aider les acteurs du secteur social et médico-social, étant donné l'absence de référentiel explicite pour leur utilisation, à ce stade. Ce document s'appuie sur les référentiels publiés par la CNIL le 28 juillet 2020.
Dichotomie des règles issues du RGPD et du Code du Patrimoine
Malgré l’existence des règles du Code du patrimoine, l’arrivée du RGPD incite tous les organismes, tant publics que privés, à réajuster leurs pratiques en matière de traitement des données personnelles, et notamment sur la conservation des données sous forme de dossiers créés. Dans l’étape suivante, nous expliquons la règles sur la conservation de données édictée par le RGPD.
Règles du RGPD sur la conservation des dossiers avec des données personnelles
Selon la règle que nous avons précitée, le RGPD invite tous les acteurs traitant des données personnelles à garder celles-ci uniquement pour une durée nécessaire à atteindre l’objectif fixé. Telle est la règle de base. Ainsi, nous pouvons imaginer que, par exemple, si vous êtes un service qui accueille et dispense de l’éducation spécialisée et la formation générale et professionnelle des enfants et adolescents en situation de handicap, toutes les données collectées dès l’arrivée de l’enfant dans votre établissement, les informations générées pendant les activités, les décisions reçues par exemple du centre communal d’action sociale à son égard, devront être eliminez de tous supports que vous avez, tant papier que numérique, à l’arrêt définitif de la prise en charge de la personne.
D’un point de vue, certe, vous avez traité couramment les données personnelles sur une base active, jusqu’à ce que vous ayez atteint l’objectif vis-à-vis de vos responsabilités de prise en charge de la personne. Pendant cette période, vous aurez maintenu les données personnelles à proximité; interprétée par rapport à la facilité d’accès par les équipes d’interventions régulières, parce que celles-ci se trouvent peut-être dans un dossier placé dans les bureaux, ou sur un logiciel métier auquel les équipes ont facilement accès.
Mais de l’autre, il faut se rappeler à la fois de vos obligations légales peut-être décrites dans le Code de l’Action Sociale et de la famille qui vous oblige de garder certaines données pour une durée de 5 ans ou 10 ans ou 15 ans à compter du départ définitif de la personne de votre établissement, ou de vos besoins de les garder pour faire face aux éventuels contentieux parce qu’il y a des délais de recours ou de prescription prévus. Face à ces deux types de besoins, vous avez la possibilité de prolonger la conservation de données au-delà du moment du départ de la personne. Pendant cette durée au-delà de celle nécessaire à atteindre l’objectif primaire, les dossiers devront être stockés sur un support, papier ou numérique, distinct de la base active. La CNIL appelle cette phase de conservation, l’archivage intermédiaire par l’organisme responsable de traitement des données personnelles.
L’organisme, responsable de traitement, est donc chargé de garantir la protection des données conservées dans la base active et/ou en archivage intermédiaire.
Règles du Code du patrimoine sur la conservations d’archives
Le Code du Patrimoine met en avance une durée appelée la durée d’utilité administrative (DUA) qui correspond aux 2 premiers âges de conservation du cycle de vie des archives : les archives courantes et les archives intermédiaires. C'est la durée de conservation nécessaire à la gestion des dossiers ou utile à des fins juridiques.
Cela veut dire que, dès la création d’un document par un établissement ou service social et médico-social jusqu’au terme de gestion de dossiers pour répondre aux besoins du bénéficiaire concerné, le document sera reconnu de qualité d’archive courante. Au-delà de cette gestion, si les documents sont détenus par l’organisme, ils auront la qualité d’archives intermédiaires.
Aux termes de ses articles R212-10 et R212-11, le Code du patrimoine apporte des précisions sur la responsabilité des archives sous DUA, qui indique que “la conservation des archives courantes incombe, [...] aux services, établissements et organismes qui les ont produites ou reçue” tandis que “La conservation des archives intermédiaires peut être assurée dans des dépôts spéciaux, dits dépôts de préarchivage, A défaut de préarchivage, les archives intermédiaires sont soit conservées dans les locaux de leur service, établissement ou organisme d'origine”
Ici, il faut aussi vivement appréhender l’idée de séparation d’archives courantes et d’archives intermédiaires, par séparation du support ou du lieu de stockage.
Si nous regardons de près ces deux types de règles, l’essence de celles-ci est la même. Durant le temps que document est couramment utilisé pour atteindre l’objectif, les données sur les documents peuvent être stockées dans une base courante. Une fois que l’action active de la gestion de documents, y compris les données personnelles, elles peuvent être séparées de la base courante et stockée dans un endroit (physique ou numérique) distinct, appelé les archives intermédiaires. C’est ainsi que nous pouvons conclure que la durée d’utilité administrative est le cumul de la période dans laquelle les données sont traitée couramment pour atteindre le ou les objectifs primaires fixés et de la période pendant laquelle ces données et les document qui les contiennent sont retenues pour répondre à des obligations légales de contrôles ou de contentieux.
Juxtaposition des règles de conservation et d’archivage
Jusqu'ici les règles du RGPD et du Code du Patrimoine sont deux façades de la même monnaie.
Il n'y a pas de rebondissement dans l'histoire qui suit. Les deux législations se rejoignent en laissant la place à l’autre. Voici les explications.
Croisement des esprits des textes réglementaires
Le Principe du RGPD a une exception qui permet de conserver les données à caractère personnel “pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public”. Et cela plus longuement que les durées de conservation dans la base courante et/ou d’archivage intermédiaire.
Le Code du Patrimoine laisse la place au service interministériel des Archives de France de la direction générale des Patrimoines du ministère de la Culture, par l'inspection des patrimoines, ainsi qu’aux responsables des missions des Archives de France placés auprès des ministères et par les directeurs des archives départementales, pour les archives publiques produites dans le ressort de leur département, selon leur compétence, de définir conjointement avec l'établissement ou le service d’origine du document, sur la destination définitive à l'issue de la période de conservation comme archives intermédiaires.
Ainsi, principalement il appartient à l’organisme et aux archives départementales d’évaluer la finalité archivistique dans l’intérêt public au nom de laquelle le document peut être placé à un endroit sûr pour un stockage sans limitation de durée.
Selon le référentiel publié par la CNIL, il est très clair qu'un organisme qui a l'obligation légale d'archiver les documents générés lors de ses actions, doit le faire. Par contre, l’organisme ne doit pas unilatéralement décider de conserver sans limitation de durée tous les documents et tous les types de données incluses de manière systématique. L’organisme doit pouvoir prouver par présentation d’un bordereau correspondant s’il procède à un versement aux archives permanentes ou s’il les détruit.
Convergence des règles de la gouvernance de données
Tant dans les règles du RGPD que du Code du patrimoine, nous retrouvons la notion de destruction si les données ou les documents contenant des données personnelles n’ont plus de valeur. Cette destruction peut se dérouler en 2 façons - l’on peut les effacer ou les anonymiser.
En veillant à effacer ou à rendre anonymes les données à caractère personnel lorsque vous n'en avez plus besoin, vous réduisez le risque qu'elles deviennent non pertinentes, excessives, inexactes ou obsolètes. En plus de vous aider à respecter les principes de minimisation et d'exactitude des données, cela réduit également le risque que vous utilisiez ces données par erreur - au détriment de toutes les personnes concernées.
Les données personnelles conservées trop longtemps seront, par définition, inutiles. Il est peu probable que vous disposiez d'une base légale pour les conserver. Encore moins si les données n’ont pas connu de valeur historique nécessitant un archivage permanent.
D'un point de vue plus pratique, il est inefficace de conserver plus de données à caractère personnel que nécessaire, et il peut y avoir des coûts inutiles liés au stockage et à la sécurité.
Par ailleurs, il est important de noter que vous devez répondre aux demandes d'accès des personnes concernées pour toutes les données personnelles que vous détenez. Cela peut être plus difficile si vous conservez d'anciennes données plus longtemps que nécessaire.
Les bonnes pratiques en matière de conservation de données personnelles limitées - avec des règles claires sur les périodes de conservation et d'effacement - sont également susceptibles de réduire la charge de travail liée au traitement des demandes liées à la durée de conservation et aux demandes individuelles d'effacement.
Voilà donc ce que vous pouvez faire pour être conforme tant au RGPD qu’aux règles du code du patrimoine: Créer un plan regroupant les règles de conservation, d'archivage et de destruction des données.
Les règles de conservation ou les calendriers de conservation énumèrent les types de documents ou d'informations que vous détenez, l'usage que vous en faites et la durée pendant laquelle vous comptez les conserver. Elles vous aident à établir et à documenter des périodes de conservation standard pour différentes catégories de données à caractère personnel impliquées dans différentes activités de traitement.
Pour respecter les exigences de responsabilisation du RGPD, vous devez, dans la mesure du possible, établir et documenter des périodes de conservation standard pour les différentes catégories d'informations que vous détenez. Il est également conseillé de disposer d'un système permettant de s'assurer que votre organisation respecte ces périodes de conservation dans la pratique, et de revoir la conservation à des intervalles appropriés. Votre politique doit également être suffisamment souple pour permettre une suppression anticipée si nécessaire. Par exemple, si vous n'utilisez pas réellement un document pendant la DUA prévue, vous devez reconsidérer la nécessité de le conserver.
Ce plan est un moyen méthodique de la gestion des données, notamment les données à caractère personnel.
- Les types de données que l'organisation doit conserver (et pourquoi)
- La durée de conservation des données (seulement dans une base courante ou en archivage intermédiaire) (et pourquoi)
- Le format dans lequel ces données doivent être stockées (et pourquoi)
- Comment les données seront conservées, archivées, transférées et détruites
- Qui est autorisé à supprimer les données (appelé "chargé de mission de la sort des données personnelles"), et qui est responsable de confirmer que toutes les données de l'organisation sont correctement détruites. À cette fin, nous vous suggérons de confier ces responsabilités à une fonction existante. par exemple: le responsable juridique, le responsable informatique, etc.,.
Afin de vous faciliter le travail de définition dudit Plan, nous vous présentons, par la suite, quelques durées de conservation et les sorts de données préconisés par les Archives Nationales.
Nota bene :
Ces dernières ont défini le mode d’emploi des tableaux présentés comme suit :
“Les tableaux de tri et de conservation des archives ont pour vocation de faciliter la bonne gestion des archives courantes et intermédiaires ainsi qu'une collecte sélective et raisonnée des archives historiques à l'expiration des délais d'utilité administrative des documents. Le service d'archives compétent, en étroite collaboration avec le service producteur, pourra décliner ce tableau de tri et de conservation en autant de tableaux de gestion que de besoin.
Le tableau de tri et de conservation ne cherche pas à refléter le mode d'organisation propre à chaque service mais présente, sous une forme synthétique susceptible d'être utilisée par tous, les fonctions et sous-fonctions de la collectivité reflétées dans le tableau par les différents niveaux de titre.
Chaque tableau est précédé d'une introduction qui a pour objet d'éclairer le contexte de production et de donner des indications sur les organismes producteurs, leurs fonctions, le contexte législatif et réglementaire, etc. L'introduction peut également préciser le fonctionnement du tableau de tri et de conservation.
Les tableaux se composent de cinq colonnes, qu'il convient de lire comme suit. Pour chacune des typologies de documents (colonne 2), parfois regroupées en objets et identifiées par un numéro d'ordre (colonne 1, identifiant), sont définis :
- la durée d'utilité administrative (DUA) (colonne 3), qui correspond au temps pendant lequel les documents doivent être conservés, pour des raisons légales et juridiques et pour la bonne marche du service, par la collectivité. La DUA court à compter de la date de clôture du dossier qui n'est pas systématiquement la date du document le plus récent. Par exemple, une convention datée de 2011 et valable 5 ans verra sa DUA démarrer en 2016 et non en 2011. Pour les registres, la DUA court à compter de la date du dernier enregistrement.
– le sort final (colonne 4), qui définit l'action à mener par le service producteur à l'issue de la durée d'utilité administrative des documents. Ce sort final peut être la destruction (D) qui ne pourra être effectuée qu'après visa de la personne chargée du contrôle scientifique et technique, le versement intégral des documents (V) à verser à titre historique au service public d'archives compétent ou le tri (T) qui signifie que les documents doivent être triés avant leur versement au service public d'archives”
Pour obtenir ce tableau détaillé des durées de conservation, vous êtes libre de contacter l'équipe Blockproof.