🚧Qui est en charge de rendre effectif le disposition de Compliance ? Plutôt l'entreprise ou plutôt l'Autorité publique ? Exemple des données : CE, 27 janvier 2025, B. c/ CNIL

Dans sa décision du 27 janvier 2025, le Conseil d'Etat a dans sa décision du 27 janvier 2025, B. c/ CNIL, eut à apporter une solution à un cas que les règles de Compliance applicable en matière de données n'avaient pas expressément prévu.  Les textes ne peuvent jamais tout prévoir.

I. LE CAS

Le cas est le suivant. Une personne est en litige avec son assureur à propos d'un accident de la circulation dont elle a été victime. Deux médecins avaient réalisé à la demande de l'assureur une expertise médicale de son état. Par la suite, la victime saisit la CNIL à ce que les éléments d'information personnelle concernant sa santé contenues dans ce rapport ne puissent plus être utilisés et que cela soit en conséquences également retiré des débats judiciaires où il en est fait mention par la compagnie d'assurances.  

Elle invoque pour cela les articles 17 et 21 du RGPD. 

La CNIL rejette ces demandes en les qualifiant d'infondées car d'une part c'est auprès du responsable du traitement des données que l'intéressée doit se tourner avant d'aller saisir la CNIL et d'autre par celle-ci "n'est pas habilitée à contrôler ou apprécier la pertinence des informations médicales communiquées à titre de preuves dans le cadre d'un débat judiciaire.

La personne forme un recours pour excès de pouvoir devant le Conseil d'État et demande à celui-ci de former une question préjudicielle auprès de la Cour de justice de l'Union européenne pour avoir l'interprétation du RGPD qu'il convient de retenir.

Le Conseil d'État rejette les recours pour une seule et même décision. Celle-ci  est construite de la façon suivante :

• En premier lieu, il découle des dispositions qui "fondent les droits" de l'intéressé que c'est auprès du responsable du traitement des données que celui-ci doit se tourner pour obtenir l'effacement de celles-ci. Ce n'est qu'ensuite et en cas de difficulté que, dans un second stade que la CNIL aurait pu être saisie. Une fois saisie, celle-ci n'est  ni obligée à l'inviter régulariser sa plainte ni à demander au responsable du traitement des données de procéder à cet effacement. En effet, "le défaut de saisine préalable des responsables des traitements a pour conséquence non pas d'entacher les plaintes  d'un simple vice de forme ou de procédure ...., mais de les priver de leur objet".

• En deuxième lieu, le traitement des données personnelles est légitime, et une demande d'effacement ne peut y avoir obstacle, lorsqu'un droit en justice est en jeu (ce qui est ici le cas).

• En troisième lieu, le Conseil d'Etat reprend l'affirmation de la CNIL selon laquelle c'est au juge, selon le Code de procédure civile, de faire respecter la loyauté de la preuve et des débats et qu'il ne lui appartient pas d'apprécier la pertinence des appréciations médicales communiqués à titre de preuve dans le cadre de débats judiciaires.

La demande de question préjudicielle est rejetée, car le Droit applicable est clair.

II. LE PRINCIPE DE LA RESPONSABILITÉ PREMIÈRE DU "RESPONSABLE DU TRAITEMENT DES DONNÉES"

L'on aurait pu imaginer la solution contraire. Par exemple en affirmant que la méconnaissance d'un droit constitue un manquement dont l'on pourrait directement se plaindre auprès de l'Autorité. L'on aurait pu d'autant plus l'imaginer que, depuis la loi du 21 mars 2022 concernant le droit d'alerte, celui qui veut alerter sur un manquement et/ou la violation d'un droit peut choisir d'opérer un signalement à l'extérieur auprès d'autorités sans en avoir préalablement signalé le dysfonctionnement en interne.

Si le Conseil d'Etat ne fait pas un tel raisonnement, et ne sollicite pas la CJUE pour savoir si le RGPD l'aurait pu l'ouvrir, cela tient au fait que pour lui d'une part le droit d'effacement est un droit spécial régi par un texte spécial qui n'ouvre pas cette procédure directe.

D'autre part et d'une façon plus essentielle, cela tient au fait que la concrétisation des différents droits dont les personnes sont titulaires (droit d'accès, droit de modification, droit d'effacement, etc.), voient leur concrétisation confiée par la Loi au responsable du traitement. L'Autorité administrative, la CNIL, n'en est pas en charge directe. Elle régule le système et supervise les opérateurs dans cette concrétisation. S'il y a manquement dans cette fonction, c'est alors, et dans un second temps, qu'elle peut être saisie. 

III. LES INFORMATIONS PROBANTES RESTENT GOUVERNÉES PAR LE JUGE

Par ailleurs, le Conseil d'Etat rappelle que s'il y a confrontation entre le droit subjectif d'effacement et les techniques procédurales de production de preuve, ici le rapport médical d'expertise, cela ne relève pas de l'Autorité de protection des données d'en connaître.

C'est une question de loyauté de la preuve : de cela, c'est le juge qui est garant, en l'espèce le juge judiciaire, le Conseil d'Etat visant le Code de procédure civile applicable.

IV. DROIT AU SECRET, DROIT À LA PREUVE : LE DROIT DE LA COMPLIANCE COMME CREUSET DES DROITS SUBJECTIFS

A travers cette décision brève et ferme, l'on observe que le Conseil d'Etat choisit de désigner comme premier garant du système de protection des données l'entreprise et non pas l'Autorité administrative, qui a rôle de superviseur.

Cela vaut pour la Compliance des données. Cela vaut aussi pour le Droit de la Compliance, dont la mise en oeuvre est confiée aux entités, principalement les entreprises.

La référence faite à l'enjeu probatoire et au juge civil nous montre que le système probatoire de la Compliance est en train de se construire. Progressivement.

________