Délibération SAN-2017-008 du 18 mai 2017

Commission Nationale de l'Informatique et des Libertés
Délibération n°SAN-2017-008 du 18 mai 2017
Délibération de la formation restreinte SAN-2017-008 du 18 mai 2017 prononçant une sanction pécuniaire à l’encontre de la société d’exercice libéral à responsabilité limitée X
Etat: VIGUEUR

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Jean-François CARREZ, Président, de M. Alexandre LINDEN, Vice-président, M. Philippe GOSSELIN, M. Maurice RONAI et Mme Marie-Hélène MITJAVILE, membres ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 45 et suivants ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés du 25 mars 2007 ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la plainte n°16000224 du 19 novembre 2015;

Vu la décision de la Présidente de la Commission n° 2016-071 du 24 octobre 2016 mettant en demeure le cabinet X ;

Vu la décision de la Présidente de la Commission portant désignation d’un rapporteur devant la formation restreinte, en date du 31 janvier 2017 ;

Vu le rapport de Madame Valérie PEUGEOT, commissaire rapporteur, notifié par huissier de justice au cabinet X le 27 février 2017 ;

Vu les observations écrites du cabinet X reçues le 24 mars 2017, ainsi que les observations orales formulées lors de la séance de la formation restreinte ;

Vu les autres pièces du dossier ;

Etaient présents, lors de la séance de la formation restreinte du 13 avril 2017 :

  • Mme Valérie PEUGEOT, Commissaire, en son rapport ;
  • En qualité de représentant du cabinet X : […]

Mme Nacima BELKACEM, Commissaire du Gouvernement, n’ayant pas formulé d’observations ;

La représentante du cabinet X ayant pris la parole en dernier ;

A adopté la décision suivante :

  • Faits et procédure

X exerce l’activité de chirurgien-dentiste. Constitué en société d’exercice libéral à responsabilité limitée, son cabinet emploie deux salariés.

Le 19 novembre 2015, la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission ) a été saisie d’une plainte d’un ancien patient du cabinet X concernant l’absence de réponse à sa demande d’accès aux données à caractère personnel contenues dans son dossier médical.

Par courrier du 25 janvier 2016, les services de la Commission ont demandé au cabinet X ses observations sur le dossier et d’être informés de la réponse qu’elle aura apportée au plaignant.

En l’absence de réponse de sa part, les services de la CNIL ont réitéré leur demande par courriers des 1er mars et 14 avril 2016 envoyés en recommandé avec accusé de réception. Ces courriers sont demeurés sans réponse.

Au vu de ce manquement et après vérification effectuée auprès du plaignant le 13 mai 2016, la Présidente de la CNIL a mis en demeure le cabinet X par décision n° 2016-071 du 24 octobre 2016, de définir et mettre en œuvre une procédure effective de droit d’accès et de garantir, dans ce cadre, l’exercice du droit d’accès des personnes aux données à caractère personnel contenues dans leur dossier médical. A ce titre, il lui était enjoint de communiquer au plaignant une copie de ses données.

Cette décision a été notifiée au cabinet le 28 octobre 2016.

En l’absence de réponse dans le délai imparti d’un mois, un courrier de relance lui a été adressé le 16 décembre 2016. Ce courrier a été retourné à la CNIL le 13 janvier 2017 avec la mention pli avisé et non réclamé .

Le cabinet X n’ayant apporté aucune réponse à ces deux courriers, une mise en conformité ne pouvait être constatée. En conséquence, la Présidente de la Commission a désigné Mme Valérie PEUGEOT en qualité de rapporteur, le 31 janvier 2017, sur le fondement de l’article 46 de la loi du 6 janvier 1978 modifiée.

A l’issue de son instruction, le rapporteur a fait notifier à la société le 27 février 2017, par huissier de justice, un rapport détaillant les manquements à la loi qu’il estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de la Commission de prononcer une sanction pécuniaire qui ne saurait être inférieure à 15.000 euros et qui serait rendue publique.

Etait également jointe au rapport une convocation à la séance de la formation restreinte du 13 avril 2017 indiquant au cabinet X qu’il disposait d’un délai d’un mois pour communiquer ses observations écrites.

Le 24 mars 2017, le cabinet X a produit des observations écrites sur le rapport, par l’intermédiaire de son conseil, réitérées oralement lors de la séance de la formation restreinte du 13 avril 2017.

  • Motifs de la décision
  1. Sur le manquement à l’obligation de respecter le droit d’accès

L’article 39 I 4° de la loi du 6 janvier 1978 modifiée prévoit que : toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir la communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci. (…) Une copie des données à caractère personnel est délivrée à l’intéressé à sa demande .

L’article 43 de la loi susvisée dispose que : Lorsque l’exercice du droit d’accès s’applique à des données de santé à caractère personnel, celles-ci peuvent être communiquées à la personne concernée, selon son choix, directement ou par l’intermédiaire d’un médecin qu’elle désigne à cet effet, dans le respect des dispositions de l’article L. 1111-7 du code de la santé publique .

Le cabinet X a été mis en demeure de mettre en œuvre une procédure effective de droit d’accès et de garantir aux personnes, dans ce cadre, la possibilité d’accéder aux données contenues dans leur dossier médical. En particulier, il lui était enjoint de transmettre au plaignant la copie des données médicales le concernant.

En défense, le cabinet fait principalement valoir qu’il a répondu à la demande du plaignant en lui envoyant son dossier médical par courrier simple en octobre 2016, puis en lui faisant parvenir un second exemplaire de son dossier par courrier recommandé avec accusé de réception le 20 mars 2017.

Il soutient également qu’avant d’envoyer son dossier médical au plaignant, il s’était préalablement renseigné sur ses obligations déontologiques, notamment afin de s’assurer que les données contenues dans son dossier n’étaient pas couvertes par le secret médical.

Il indique par ailleurs qu’en raison du comportement belliqueux du plaignant, une consultation du dossier médical sur place s’est avérée impossible. Il précise à ce titre qu’un contentieux avec le plaignant existe également devant l’ordre des chirurgiens-dentistes et que, dans ce cadre, une audience de tentative de conciliation s’est tenue le 21 février 2017.

La formation restreinte prend acte de la transmission du dossier médical au plaignant postérieurement à la notification du rapport de sanction, par courrier recommandé avec accusé de réception du 20 mars 2017. Elle observe cependant que le cabinet X n’établit pas avoir fait droit à la demande du plaignant au terme du délai qui lui était imparti dans la mise en demeure, le courrier d’octobre 2016 n’étant pas produit.

La formation restreinte considère, par ailleurs, que les obligations déontologiques, notamment celles liées au secret médical, ne peuvent être invoquées au cas d’espèce.

Elle rappelle que l’article L. 1111-7 du code de la santé publique dispose que: Toute personne peut accéder à ces informations directement ou par l’intermédiaire d’un médecin qu’elle désigne et en obtenir communication .

Ce même article prévoit un délai dérogatoire quant à la communication de ces informations : au plus tard dans les huit jours suivant sa demande et au plus tôt après qu'un délai de réflexion de quarante-huit heures aura été observé. Ce délai est porté à deux mois lorsque les informations médicales datent de plus de cinq ans […] .

Ainsi, le secret médical ne saurait s’opposer, en l’espèce, à la communication au patient des données le concernant et contenues dans son dossier médical.

La formation restreinte estime également que le comportement du plaignant est sans incidence sur l’application des articles 39 et 43 de la loi Informatique et Libertés susvisée, qui constituent un droit pour la personne, sauf en cas de demande manifestement abusive, ce qui n’était pas le cas en l’espèce.

En conséquence, la formation restreinte considère que le manquement aux obligations découlant de l’article 39 I 4° de la loi du 6 janvier 1978 modifiée est caractérisé, le cabinet X ne s’étant pas conformé à la décision de la Présidente de la CNIL n° 2016-071 du 24 octobre 2016 dans le délai imparti.

  1. Sur le manquement à l’obligation de répondre aux demandes de la CNIL

L’article 21 de la loi du 6 janvier 1978 modifiée dispose que Les ministres, autorités publiques, dirigeants d'entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s'opposer à l'action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche .

Le rapport de sanction de Mme PEUGEOT relève que le cabinet X n’a apporté aucune réponse aux trois courriers des 25 janvier, 1er mars et 14 avril 2016 qui lui avaient été adressés dans le cadre de l’instruction de la plainte, ni à la mise en demeure de la Présidente de la CNIL du 24 octobre 2016 et au courrier de relance du 16 décembre suivant.

En défense, X indique qu’elle a pris attache auprès de ses confrères concernant la demande du plaignant, notamment eu égard à ses obligations en matière de secret médical.

Elle fait également valoir qu’elle a facilité sa tâche [celle de la CNIL] en prenant l’initiative de l’envoi du dossier .

La formation restreinte relève que le cabinet X n’a jamais adressé aucune réponse à la CNIL que ce soit dans le cadre de l’instruction de la plainte ou dans les suites de la mise en demeure de la Présidente. Ce sont donc cinq courriers de la CNIL qui sont restés sans réponse entre le 25 janvier 2016 et le 16 décembre 2016. Ce n’est qu’à la suite de la notification du rapport de sanction que le cabinet X a apporté des éléments de réponse à la Commission et a fait droit à la demande d’accès du plaignant.

La formation restreinte considère que ce comportement démontre un défaut manifeste de prise en compte des questions Informatique et Libertés liées au traitement des données à caractère personnel.

La formation restreinte estime, dès lors, que le manquement à l’article 21 de la loi du 6 janvier 1978 modifié est constitué.

  • Sur la sanction et la publicité

Compte tenu des faits, qui ont notamment privé pendant plusieurs mois le plaignant de la possibilité de transmettre les données relatives à son état de santé dentaire à un nouveau praticien, une sanction d’un montant de 10.000 euros apparaît justifiée à l’encontre du cabinet X.

Par ailleurs, au regard de la persistance dans le temps des manquements formulés à son encontre malgré les nombreuses diligences effectuées à son égard par les services de la CNIL, la formation restreinte décide de rendre publique sa décision. Elle estime nécessaire de sensibiliser les personnes et les responsables de traitement aux droits et obligations issus de la loi Informatique et Libertés , en particulier, à l’importance de répondre aux demandes de la Présidente et de mettre effectivement en œuvre les mesures requises.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide :

  • de prononcer à l’encontre de la société d’exercice libéral à responsabilité X une sanction pécuniaire d’un montant de 10.000 € ;
  • de rendre publique sa délibération de façon anonymisée.

Le Président

Jean-François CARREZ

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification.




Nature de la délibération: SANCTION
Date de la publication sur legifrance: 13 juin 2017