Feb. 5, 2025

Publications

Working Paper for 📺Overhang

🚧Dans le silence des textes, vers qui se tourner en cas de manquement à une disposition du Droit de la Compliance ?

by Marie-Anne Frison-Roche

complianceTech®️ pour lire ce document de travail en français⤴️cliquer sur le drapeau français

🌐follow Marie-Anne Frison-Roche sur LinkedIn

🌐subscribe to the Newsletter MAFR Regulation, Compliance, Law 

🌐subscribe to the Video Newsletter MAFR Surplomb

____

 Full ReferenceM.-A. Frison-RocheWho is responsible for making the Compliance provision effective? Is it the company or the public authority? Example of data: CE, 27 January 2025, B. c/ CNIL, Working Paper, February 2025.

 

____

🎤 This Working Paper was developed as a basis for the Overhang👁 video  on 8 February 2025 : click HERE (in French)

____

🎬🎬🎬In the collection of the Overhangs👁 It falls into the News category.

Watch the complete collection of the Overhangs👁 : click HERE

____

 Summary of this Working Paper: In its decision of 27 January 2025, B. v CNIL, the French Administrative Supreme Court (Conseil d'État ) had to provide a solution to a case that the Compliance rules applicable to data had not expressly provided for. Can a person who believes that another person has failed to fulfill their obligations under the GDPR refer the matter to the French Data Protection Regulator (CNIL) and not the data controller?

The Conseil d'État considers that the question is clear and that there is no point in referring a preliminary question to the ECJ. Indeed, the texts require the person alleging that his or her right has been infringed to first contact the data controller to have the information deleted before subsequently referring the matter to the CNIL. Furthermore, this case involved personal information inserted by doctors in an expert report submitted to a court. The Conseil d'Etat agreed with the CNIL that it was not required to review and assess the evidence, which is the role of the court.

This shows that, while the right to alert can be used to refer cases directly to the administrative authorities, here the specific takes precedence over the general, with the spirit of the Law entrusting the direct preservation of rights to the data controller, with the CNIL's supervisory and sanctioning role coming only at a later stage. This illustrates the more general nature of Compliance Law, which relies primarily on the operators themselves. Furthermore, as a melting pot of various subjective rights, in this case the right to erasure but also the right to contribute to the debates, the Conseil d'Etat stresses that it is the role of the judicial judge to ensure the fairness of the debates.

____

🔓read the developments below⤵️

 

In its decision of 27 January 2025, B. v CNIL, the French Conseil d'Etat had to provide a solution to a case that the Compliance rules applicable to data had not expressly provided for.  Texts can never provide for everything.

 

I. THE CASE

The case is as follows. A person was in dispute with her insurer over a road accident in which shed had been involved. At the insurer's request, two doctors carried out a medical assessment of his condition. Subsequently, the victim applied to the CNIL to ensure that the personal information about her health contained in this report could no longer be used, and that it was consequently also withdrawn from the court proceedings in which it was mentioned by the insurance company.

To this end, she invokes Articles 17 and 21 of the GDPR.

The CNIL rejected these requests, qualifying them as unfounded because, on the one hand, it was the data controller that the interested party should contact before referring the matter to the CNIL and, on the other hand, the CNIL "n'est pas habilitée à contrôler ou apprécier la pertinence des informations médicales communiquées à titre de preuves dans le cadre d'un débat judiciaire" ("is not empowered to control or assess the relevance of medical information communicated as evidence in legal proceedings").

The individual brought an action before the Conseil d'État and asked the Conseil d'État to refer a question to the European Court of Justice for a preliminary ruling on the interpretation of the  GDPR.

The Conseil d'État dismissed the appeals in a single decision. The decision is structured as follows:

 

 

 

 

  • Firstly, it follows from the provisions that "underpin the rights" of the data subject that it is the data controller that the latter must turn to in order to obtain the deletion of the data. Only then, and in the event of difficulty, could the CNIL have been contacted. Once the matter has been referred to it, the CNIL is not obliged to invite the complainant to rectify his complaint or to ask the data controller to erase the data. Indeed, "le défaut de saisine préalable des responsables des traitements a pour conséquence non pas d'entacher les plaintes  d'un simple vice de forme ou de procédure ...., mais de les priver de leur objet" ("failure to refer complaints to data controllers in advance does not have the effect of tainting complaints with a mere formal or procedural defect ...., but of depriving them of their purpose").

 

  • Secondly, the processing of personal data is legitimate, and a request for deletion cannot be an obstacle to it where a legal right before a court is at stake (which is the case here).

 

  • Thirdly, the Conseil d'Etat reiterated the CNIL's assertion that, under the Code of Civil Procedure, it is up to the judge to ensure that the fairness of evidence and debates is respected, and that it is not up to the CNIL to assess the relevance of medical assessments communicated as evidence in legal proceedings.

 

The sollicitation for a preliminary ruling is rejected because the applicable legal rule is clear.

 

 

II. THE PRINCIPE OF THE FIRST RESPONSABILITY OF THE DATE CONTROLLER

+L'on aurait pu imaginer la solution contraire. Par exemple en affirmant que la méconnaissance d'un droit constitue un manquement dont l'on pourrait directement se plaindre auprès de l'Autorité. L'on aurait pu d'autant plus l'imaginer que, depuis la loi du 21 mars 2022 concernant le droit d'alerte, celui qui veut alerter sur un manquement et/ou la violation d'un droit peut choisir d'opérer un signalement à l'extérieur auprès d'autorités sans en avoir préalablement signalé le dysfonctionnement en interne.

Si le Conseil d'Etat ne fait pas un tel raisonnement, et ne sollicite pas la CJUE pour savoir si le RGPD l'aurait pu l'ouvrir, cela tient au fait que pour lui d'une part le droit d'effacement est un droit spécial régi par un texte spécial qui n'ouvre pas cette procédure directe.

D'autre part et d'une façon plus essentielle, cela tient au fait que la concrétisation des différents droits dont les personnes sont titulaires (droit d'accès, droit de modification, droit d'effacement, etc.), voient leur concrétisation confiée par la Loi au responsable du traitement. L'Autorité administrative, la CNIL, n'en est pas en charge directe. Elle régule le système et supervise les opérateurs dans cette concrétisation. S'il y a manquement dans cette fonction, c'est alors, et dans un second temps, qu'elle peut être saisie. 

 

III. LES INFORMATIONS PROBANTES RESTENT GOUVERNÉES PAR LE JUGE

Par ailleurs, le Conseil d'Etat rappelle que s'il y a confrontation entre le droit subjectif d'effacement et les techniques procédurales de production de preuve, ici le rapport médical d'expertise, cela ne relève pas de l'Autorité de protection des données d'en connaître.

 

C'est une question de loyauté de la preuve : de cela, c'est le juge qui est garant, en l'espèce le juge judiciaire, le Conseil d'Etat visant le Code de procédure civile applicable.

 

IV. DROIT AU SECRET, DROIT À LA PREUVE : LE DROIT DE LA COMPLIANCE COMME CREUSET DES DROITS SUBJECTIFS

A travers cette décision brève et ferme, l'on observe que le Conseil d'Etat choisit de désigner comme premier garant du système de protection des données l'entreprise et non pas l'Autorité administrative, qui a rôle de superviseur.

Cela vaut pour la Compliance des données. Cela vaut aussi pour le Droit de la Compliance, dont la mise en oeuvre est confiée aux entités, principalement les entreprises.

La référence faite à l'enjeu probatoire et au juge civil nous montre que le système probatoire de la Compliance est en train de se construire. Progressivement.

________

comments are disabled for this article