Base(s) légale(s) du traitement en EHPAD

La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de collecter ou d'utiliser des données personnelles. On peut également parler de « fondement juridique » ou de « base juridique » du traitement.

Six bases légales sont prévues par le RGPD :

• • le consentement ;

  • le contrat ;

  • l’obligation légale ;

  • la sauvegarde des intérêts vitaux ;

  • l’intérêt public ;

  • les intérêts légitimes.

Chaque finalité du traitement doit reposer sur l’une des bases légales fixées par la réglementation (article 6 du RGPD).

Il appartient au responsable de traitement de déterminer ces bases légales avant toute opération de traitement, après avoir mené une réflexion, qu’il pourra documenter, au regard de sa situation spécifique et du contexte.

Ayant un impact sur l’exercice de certains droits, ces bases légales font partie des informations devant être portées à la connaissance des personnes concernées.

Le tableau reproduit ci-dessous vise à apporter aux responsables de traitement une aide pour identifier les bases légales susceptibles d’être utilisées dans les cas les plus courants.

Ces éléments doivent être adaptés à la situation spécifique de chaque organisme concerné. Ainsi, par exemple, selon que l’organisme en question relève du secteur privé ou public, certains traitements répondant pourtant à la même finalité (par exemple, ceux liés à la gestion administrative des personnes suivies, accueillies ou hébergées) peuvent être fondés sur des bases légales différentes (par exemple, intérêt légitime dans le secteur privé, exécution d’une mission d’intérêt public dans le secteur public).

Attention :

Dans le cadre de l’accompagnement social et/ou médico-social des personnes âgées, en situation de handicap ou en difficulté, la commission appelle l’attention des organismes sur la nécessité de faire preuve de la plus grande prudence dans l’usage du consentement comme base légale de leurs traitements de données à caractère personnel. Les personnes concernées peuvent en effet souffrir d’altération du discernement pouvant rendre le consentement non valable.

En outre, il est rappelé que la personne concernée qui fournit son consentement peut à tout moment le retirer, mettant fin en principe à la possibilité de traiter les données la concernant pour l’avenir. De manière générale, le responsable de traitement doit veiller au respect des conditions de recueil du consentement et plus particulièrement au caractère libre, spécifique, éclairé et univoque du consentement.

Source : Référentiel relatif aux traitements de données à  caractère personnel mis en œuvre dans le cadre de l’accueil, l’hébergement et l’accompagnement social et médico-social des personnes âgées, des personnes ensituation de handicap et de celles en difficulté.