Par une délibération du 18 mai 2017, la formation restreinte de la Cnil a sanctionné un cabinet dentaire pour non-respect du droit d’accès et défaut de coopération avec les services de l’autorité de contrôle.
Cette délibération met en exergue la nécessité de définir une procédure de gestion des droits des personnes. Cette procédure sera d’autant plus nécessaire avec l’entrée en application du Règlement général sur la protection des données qui consacre le principe d’accountability. Cette délibération illustre également l’importance de la gestion des relations avec la Cnil, y compris dans un contexte pré- contentieux.
Quels sont les faits ?
Fin 2015, l’ancien patient d’un cabinet dentaire a adressé une plainte à la Cnil concernant l’absence de réponse à sa demande d’accès aux données à caractère personnel contenues dans son dossier médical.
Par courrier du 25 janvier 2016, le service des plaintes de l’autorité de contrôle a notamment demandé au cabinet concerné de lui communiquer ses observations sur le dossier. Face au silence du cabinet, la demande a été réitérée par courrier les 1er et 14 mars 2016, sans davantage de succès.
Le 24 octobre 2016, le cabinet a été mis demeure par la Présidente de la Cnil de «définir et mettre en œuvre une procédure effective de droit d’accès et de garantir, dans ce cadre, l’exercice du droit d’accès des personnes aux données à caractère personnel contenues dans leur dossier médical ».
En raison de l’absence de réponse aux courriers de relance, la Présidente de la Cnil a désigné un rapporteur dans le cadre de l’ouverture d’une procédure de sanction. Ce rapporteur a fait notifier au cabinet dentaire un rapport détaillant les manquements à la loi qu’il estimait constitués en l’espèce. Précisons que ce rapport préconisait le prononcé d’une sanction pécuniaire d’au moins 15 000 euros et une publication de la sanction. Le 24 mars 2017, le cabinet dentaire a produit des observations écrites sur le rapport, lesquelles ont été réitérées oralement lors de la séance de formation restreintes du 13 avril 2017.
Qu’est-ce que le droit d’accès ?
Deux types de droit d’accès existent : le droit d’accès direct et le droit d’accès indirect. Le droit d’accès est direct lorsqu’il est exercé par la personne concernée auprès du responsable de traitement. Le droit d’accès est indirect lorsqu’il s’exerce par l’intermédiaire de la Cnil car le traitement intéresse la sûreté de l’Etat, la défense ou la sécurité publique. Le droit d’accès indirect est encadré par les articles 41 et 42 de la loi « Informatique et Libertés » et les articles 86 et suivants de son décret d’application.
Le droit d’accès direct est défini à l’article 39 de la loi « Informatique et Libertés ». En vertu de ce droit, toute personne, qui justifie de son identité, peut notamment obtenir du responsable du traitement : la confirmation que des données à caractère personnel font l’objet d’un traitement, la communication desdites données dans une forme accessible et toute information disponible quant à l’origine de celles-ci. Soulignons que le Règlement général sur la protection des données maintient ce droit (article 15 du RGPD).
Le droit d’accès à des données de santé à caractère personnel est spécifiquement régi par l’article 43 de la loi « Informatique et Libertés ». Ces données peuvent être communiquées soit directement à la personne concernée soit par l’intermédiaire du professionnel de santé qu’elle a désigné.
Il résulte de la délibération de la Cnil précitée qu’un responsable de traitement ne peut opposer à la personne concernée des obligations déontologiques, notamment liées au secret médical pour faire obstacle à l’exercice du droit d’accès.
Précisons enfin que le responsable du traitement doit satisfaire à la demande de la personne concernée dans un délai de deux mois à compter de sa réception (article 94 du décret 2005-1309 modifié). Si le responsable du traitement estime ne pas disposer de suffisamment d’informations, il lui appartient de se rapprocher du demandeur afin d’obtenir ces informations complémentaires. Dans cette hypothèse, le délai de deux mois qui lui est imparti pour répondre à la demande est suspendu.
A l’entrée en application du Règlement général sur la protection des données, le délai de réponse sera réduit à un mois. Par ailleurs, lorsque la demande aura été présentée par voie électronique, la réponse pourra lui être apportée par ce moyen sauf demande expresse contraire du demandeur (article 15 du RGPD). Précisons enfin que le RGPD est muet concernant le droit d’accès indirect. Ce droit devrait donc toujours être soumis aux règles spécifiques définies par la réglementation française.
Le comportement du demandeur peut-il avoir un impact sur l’exercice du droit d’accès ?
Le cabinet dentaire sanctionné par la Cnil avait tenté de justifier le silence gardé et son manque de réactivité en arguant du comportement belliqueux du demandeur, un contentieux étant par ailleurs en cours devant l’ordre des chirurgiens-dentistes.
Toutefois, la Cnil estime là encore que ces arguments ne peuvent être opposés au demandeur pour faire obstacle à sa demande. A ce titre, la Cnil rappelle que seule la demande manifestement abusive peut permettre au responsable du traitement de ne pas y donner une suite favorable. En cas de contentieux, il appartiendra au responsable du traitement de démontrer le caractère « manifestement » abusif de la demande. Etant précisé que ce dernier sera soumis à l’appréciation souveraine du juge.
Droit d’accès indirect : quelle actualité ?
Le droit d’accès indirect a donné lieu à un arrêt du Conseil d’Etat (CE) du 5 mai 2017. Après examen de la formation spécialement désignée à cet effet, le Conseil d’Etat a enjoint au ministre de la défense (direction du renseignement et de la sécurité de la défense) de procéder à l’effacement des données concernant le requérant, lesquelles étaient illégalement contenues dans le traitement de données mis en oeuvre par la Direction du Renseignement et de la Sécurité de la Défense (DRSD).
En l’espèce, les ministres de la défense et de l’intérieur avaient refusé au requérant l’accès aux données le concernant. La Cnil l’en avait informé en lui indiquant que les vérifications avaient été réalisées et que la procédure était close. Le Conseil d’Etat avait été saisi d’un recours pour excès de pouvoir.
En vertu de l’article 41 de la loi « Informatique et Libertés », lorsqu’un traitement de données concerne « la sûreté de l’Etat, la défense ou la sécurité publique », la communication des données suit une procédure particulière. En effet, la personne concernée doit saisir la Cnil de sa demande. Des investigations sont alors diligentées par un magistrat ou ancien magistrat, membre de la Cnil. Ce n’est que si la Cnil, en accord avec le responsable du traitement, constate que la communication des données n’est pas de nature à mettre en cause la finalité du traitement, qu’il est fait droit à la demande. En cas d’opposition du responsable du traitement, la Cnil peut uniquement et seulement informer le demandeur de ce que des vérifications ont été réalisées. Les recours sont alors examinés par une formation spécialisée du Conseil d’Etat.
Que retenir ?
Il appartient au responsable de traitements d’être vigilant lorsqu’il reçoit des demandes de droit d’accès. En tout état de cause, le respect des délais impartis pour ce faire est impératif. Dans ce contexte, nous ne pouvons que vous conseiller de définir une procédure de gestion de ces demandes.
En outre, les demandes de la Cnil, quel que soit le contexte dans lequel elles s’inscrivent, ne doivent pas restées sans réponse.
Mathias Avocats se tient à votre disposition pour vous accompagner dans la mise en place des procédures adaptées à votre organisation en vue de l’entrée en application du RGPD.