A l’issue des travaux menés par un groupe de travail élaboré en partenariat avec la FIEEC, la CNIL publie le « pack de conformité Silver économie et données personnelles ». Ce référentiel sectoriel permet aux professionnels proposant des produits et services de la « silver économie », de se mettre en conformité avec le règlement européen sur la protection des données, applicable en mai 2018.
La « silver économie » est une filière qui regroupe l’ensemble des activités économiques, industrielles et de service à la personne qui bénéficient aux séniors et leur permettent d’améliorer leur qualité, voire leur espérance de vie.
Destinés à un usage au sein du domicile, en particulier afin de maintenir les personnes à domicile, les produits et services de la « silver économie » font de plus en plus partie du quotidien des seniors. Par ailleurs, de nombreux établissements accueillant des personnes dépendantes ou vulnérables souhaitent profiter des potentialités offertes par ces produits et services pour améliorer la prise en charge et l’accompagnement de ces dernières.
Les produits et applications de la « silver économie » permettent plus précisément :
– d’apporter plus de confort et de sécurité aux seniors « actifs » et/ou « fragilisés » et/ou « dépendants » en raison de leur âge, de leur état de santé ou d’un handicap en vue de prévenir leur perte – d’autonomie ou de les accompagner dans l’entrée en dépendance ;
– d’intervenir rapidement auprès d’eux en cas de besoin.
Le groupe de travail crée par la CNIL et la FIEEC a permis d’aboutir à la publication de ce nouveau pack qui prend en compte les réalités opérationnelles du secteur.
L’objectif de ce pack est double :
– accompagner l’innovation des industriels en intégrant la dimension « protection des données personnelles » le plus en amont possible de la conception des produits et services ;
– assurer la maîtrise par les usagers de leurs données.
Trois scénarios ont été identifiés à partir d’un examen des conditions de mise en œuvre de produits et services proposés par les professionnels du secteur :
Scénario 1 « IN ® IN »
Les données sont traitées dans l’espace privé, via des dispositifs restant sous la maîtrise de la personne concernée et pour son usage personnel. Les données éventuellement transmises à l’extérieur de l’espace privé ne peuvent être traitées par d’autres tiers que les représentants légaux ou les proches de la personne concernée
Exemple : un système permettant de détecter, au moyen de capteurs, la position des personnes qui se lèvent pendant la nuit afin de leur permettre de se déplacer en toute sécurité en éclairant leur chemin.
Scénario 2 « IN ® OUT »
Les données sont traitées dans l’espace privé et transmises à l’extérieur pour fournir un service ou intervenir auprès de la personne concernée.
Exemple : un détecteur de chute permettant au porteur de déclencher une alerte à destination d’un service de téléassistance en cas d’urgence.
Scénario 3 « IN ® OUT ® IN »
Les données sont traitées dans l’espace privé et transmises à l’extérieur pour permettre une intervention auprès de la personne concernée ou lui fournir un service impliquant un pilotage à distance ou une interaction avec un équipement dans l’espace privé.
Exemple : un dispositif équipé de sondes et de thermostats permettant de détecter la présence de l’occupant et d’alerter des tiers en cas de variation inhabituelle de la température du logement. Les tiers peuvent commander et piloter le système à distance pour réguler la température du logement.
Ces hypothèses de travail ont permis d’identifier, pour chaque scénario, le cadre et les conditions dans lesquelles les traitements peuvent être mis en œuvre, conformément aux principes et obligations de la loi Informatique et Libertés et du règlement européen sur la protection des données (finalité, base légale, catégorie de données traitées, durées de conservation, destinataires, droits des personnes et mesures de sécurité).
Le pack est représentatif de la compréhension actuelle de technologies et d’usages devant faire l’objet d’un bilan régulier. C’est pourquoi, il s’agit d’un document évolutif qui a vocation à être complété et mis à jour après l’entrée en application du règlement européen sur la protection des données (RGPD), le 25 mai 2018.
Ce référentiel sectoriel a également vocation à être porté au niveau européen pour permettre aux acteurs de se positionner sur un marché européen, voire mondial. Il pourrait ainsi constituer une ligne directrice européenne au sens du RGPD.