« La protection des données dans le travail social est liée au respect »

Pour beaucoup, la protection des données est un mal nécessaire, y compris dans le travail social. Mais l'utilisation et la protection des données sensibles ont beaucoup à voir avec le respect, le soin et la confiance. Il s'agit donc d'une attitude fondamentale dans le travail avec les clients. Le 20 mars à Lucerne, l'expert en protection des données Peter Mösch Payot a présenté, lors d'un événement spécialisé organisé par socialweb, les points les plus importants en matière de protection des données, selon lesquels les institutions peuvent vivre et travailler.

Peter Mösch Payot est un expert de la protection des données dans le travail social : d'une part, il est professeur de droit social à la Haute école de Lucerne et, d'autre part, il est expert auprès de la commission d'aide sociale à Berne. Ainsi, lorsqu'il parle de la protection des données dans le travail social, il peut s'appuyer sur des exemples réels tirés de la vie quotidienne.

Accepter des bannières de cookies et signer de nombreux formulaires : Tout le monde sait probablement maintenant que la Confédération a adapté la loi fédérale sur la protection des données en septembre 2023. La législation cantonale suit désormais le mouvement. Pour les institutions, la règle est la suivante : ce qui n'est pas soumis à la loi cantonale ou qui n'est pas clair est soumis à la loi fédérale sur la protection des données. Qu'est-ce que cela signifie pour les organisations ? Cela signifie qu'elles doivent se conformer le plus rapidement possible à la loi fédérale sur la protection des données.

Par où commencer ?

Tout d'abord, il faut clarifier les missions et les rôles au sein de l'organisation et traiter les ambiguïtés. Une question centrale doit être posée et il doit être possible d'y répondre à tout moment : Dans quel but quelles données sont collectées, traitées, transmises, etc. En outre, les institutions doivent déterminer quelle instance est responsable de l'archivage, conclure des accords avec elle et les ancrer dans le concept. En outre, les institutions ont besoin de contrats de traitement des données (cela concerne surtout l'exclusion de responsabilité ou, par exemple, pour les services externes comme la comptabilité salariale).

Tout n'est pas nouveau

L'exigence de disposer d'une infrastructure technique et organisationnelle appropriée n'est pas nouvelle pour les institutions. Il en va de même pour le contrôle de l'accès aux données, c'est-à-dire le fait de savoir qui a accédé à quelles données et quand. En ce qui concerne la conservation des données, la règle est la suivante : 10 ans pour les éventuels cas de responsabilité civile. Les données des clients doivent parfois être conservées jusqu'à 70 ans, ce qui doit être clarifié avec les autorités compétentes et ancré dans le concept.

Peter Mösch Payot a souligné que la protection des données est fortement liée à l'attitude et à la culture ! « C'est une question de respect et de proportionnalité. La finalité doit toujours être claire », a déclaré Mösch Payot. La raison du traitement des données et l'intention qui le sous-tend peuvent ainsi également être justifiées.

Présenter les mesures prévues

Il est important d'indiquer quelles mesures de protection des données sont prévues. Par exemple, un plan triennal permet d'exposer les étapes ultérieures.

Il comprend par exemple l'état des lieux ou l'inventaire des données, décrit ce qu'il reste à faire et la manière dont les mesures sont classées par ordre de priorité (p. ex. rouge/jaune/vert). « Il n'y a pas lieu de paniquer ou de faire des analyses ou des formations coûteuses », explique Mösch Payot.

Organisation et formation

L'institution doit être organisée conformément à la loi sur la protection des données. Cela implique de définir une personne comme responsable:de la protection des données. Elle ou il est l'interlocuteur interne, garde le thème, définit les mesures et les objectifs et les évalue, par exemple dans un an. Il faut investir du temps dans des formations internes, dans le recensement de la situation dans l'entreprise et dans la définition des exigences techniques. « Il n'y a pas besoin de conseillers externes pour cela, et si c'est le cas, ce n'est que ponctuellement pour des questions complexes qui nécessitent un savoir-faire juridique », explique Peter Mösch Payot.

Selon Peter Mösch Payot, il est judicieux de se limiter à CH/EU/AELE pour les fournisseurs de traitement de données. Il est en outre important d'avoir un concept d'accès et d'autorisation. Le principe est le suivant : seules les personnes qui travaillent avec la clientèle doivent avoir accès aux données. Et : il faut toujours une raison pour consulter les données.

Exemples concrets tirés de la pratique

Notes de dossier :
Elles sont généralement beaucoup trop détaillées dans le domaine social, il faut ici se concentrer sur le « comment continuer » et consigner les mesures/accords, y compris qui fait quoi et comment.

Courriers électroniques :
Il est recommandé de copier les courriels pertinents et de les intégrer dans le journal du:de la client(e). Les courriels enregistrés directement à partir d'Outlook n'ont pas de format d'archivage.

Les procès-verbaux des réunions d'équipe :
Ne pas consigner les noms et les informations sur les clientes dans le procès-verbal général de la réunion, mais les classer directement dans le dossier de la cliente. Cela donne certes plus de travail pour le moment, mais cela permet de clore proprement le dossier après un départ ou autre et de remplir à tout moment une éventuelle obligation de renseigner.

Peter Mösch Payot l'a clairement expliqué le 20 mars lors de la manifestation spécialisée de socialweb : « Le traitement soigneux des données renforce la confiance des clients et soutient ainsi le travail efficace des organisations sociales ».

Glossaire/résumé

Acquisition de données : Dos and Don'ts

Lors de la collecte de données, il convient de respecter strictement les principes de minimisation des données (aussi peu que possible, seulement autant que nécessaire) et de limitation de la finalité. Les données ne doivent être collectées que dans la mesure où elles sont nécessaires pour les objectifs légitimes fixés. La transparence vis-à-vis des personnes concernées est indispensable à cet égard ; celles-ci doivent être informées de la collecte de données et de ses finalités.

Traitement des données : devoir de diligence

Le traitement des données doit être effectué de manière sûre et conformément aux finalités. Les données sensibles nécessitent des mesures de protection particulières afin de garantir leur intégrité et leur confidentialité. En outre, le respect des principes d'exactitude et de limitation de la conservation est essentiel pour garantir l'actualité des données et ne pas conserver les fichiers de données au-delà de la période nécessaire.

Droits des personnes concernées

Les personnes concernées disposent de droits étendus, notamment le droit d'accès, de rectification et ou d'effacement (« droit de rectification ») et de limitation du traitement de leurs données. Elles doivent être informées de ces droits et peuvent les faire valoir à tout moment auprès des services responsables.

Transmission des données : des règles claires

La transmission de données à caractère personnel à des tiers n'est autorisée que dans des conditions strictes. Il faut tenir compte à la fois du consentement de la personne concernée et des obligations légales. La transparence et la documentation du transfert de données sont essentielles pour garantir la conformité avec les règles de protection des données.