Envelope Phone
Retour à la liste des articles

Marge d’appréciation de la CNIL dans le choix des mesures correctrices

  • 14 août 2024

Défaut de consentement effectif pour le traitement de données de santé : rappel de la marge d’appréciation de la CNIL dans le choix des mesures correctrices

Par un arrêt du 12 juillet 2024, le Conseil d’État rappelle la marge d’appréciation dont dispose la CNIL dans le choix des mesures correctrices en cas de manquement au RGPD, en l’occurence, le défaut de recueil effectif du consentement pour le traitement de données de santé.

Dans cette affaire, la plaignante avait souscrit un prêt immobilier assuré par la société CNP Assurances. Dans ce contexte, elle a fait l’objet d’un contrôle médical qui a conduit à la transmission de données relatives à son état de santé par le médecin contrôleur mandaté par la société CNP Assurances vers la cette dernière. 

L’assurée s’est plainte auprès de la CNIL d’une part, des difficultés rencontrées dans l’exercice du droit d’accès aux données de santé et d’autre part, de l’absence de recueil « effectif » de son consentement lors du contrôle médical. 

Après avoir instruit la plainte, la CNIL a rappelé à l’ordre la CNP Assurances qui a pris des mesures afin de renforcer la vérification du recueil effectif du consentement des assurés au traitement de leurs données de santé lors de contrôles médicaux.

La plaignante a demandé au Conseil d’État d’annuler la décision de la CNIL du 7 août 2023 clôturant la plainte considérant notamment que la CNIL s’était abstenue de prendre une mesure correctrice telle que prévue par le RGPD et qu’elle a commis une erreur d’appréciation et une erreur de droit en s’abstenant de signaler au parquet les délits graves commis par la CNP Assurances relatifs au traitement de données de santé sans le consentement de la personne concernée et au défaut de respect par le médecin des exigences pesant sur les intermédiaires d’assurance.

  • Rappel des principes applicables au traitement de données de santé


Pour mémoire, les données dites « sensibles » telles que les données de santé, révélant l’origine raciale ou ethniques, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, biométriques ou concernant l’orientation sexuelle d’une personne font l’objet d’un régime spécifique. Par principe, le traitement de ce type de données est interdit, sauf à justifier de l’une des exceptions prévues par l’article 9.2) du RGPD. Parmi ces exceptions, un traitement de données sensibles peut être réalisé sous réserve d’avoir collecté le consentement de la personne concernée. 

Rappelons que pour être valable, le consentement doit être libre, spécifique, éclairé et univoque et qu’il appartient au responsable de traitement de démontrer qu’il a collecté, en tant que de besoin, un tel consentement. 

Au cas présent, par la référence à l’absence de caractère « effectif » du consentement, il semblerait que le responsable de traitement n’ait pas été en mesure de démontrer l’existence d’un tel consentement, ce qui a ainsi donné lieu à un rappel à l’ordre, manifestement considéré insuffisant par la plaignante.

  • Sur les mesures correctrices susceptibles d’être prononcées par la CNIL

Les mesures correctrices susceptibles d’être prononcées par les autorités de contrôles sont prévues par l’article 58 du RGPD, lequel prévoit les sanctions (notamment) suivantes : 

  • Avertir un responsable de traitement ou un sous-traitant du fait que les opérations de traitements sont susceptibles de violer les dispositions du RGPD ; 
  • Rappeler à l’ordre un acteur lorsque les opérations de traitement ont entrainé une violation des dispositions du RGPD ; 
  • Imposer une limitation temporaire ou définitive du traitement ;
  • Imposer une amende administrative en complément ou à la place des autres mesures correctrices.

Au cas présent, la plaignante reprochait ainsi à la décision de la CNIL de ne pas avoir prononcé de mesure correctrice, considérant, probablement, que le rappel à l’ordre était ainsi insuffisant. 

Par un arrêt du 12 juillet 2024, le Conseil d’État rappelle la marge d’appréciation dont dispose la Commission Nationale de l’Informatique et des Libertés dans le choix des sanctions infligées aux responsables de traitement en cas de manquement au Règlement général sur la protection des données (RGPD).

Dans cette affaire, la plaignante avait souscrit un prêt immobilier assuré par la société CNP Assurances. Dans ce contexte, elle a fait l’objet d’un contrôle médical qui a conduit à la transmission de données relatives à son état de santé par le médecin contrôleur mandaté par la société CNP Assurances vers la cette dernière. 

L’assurée s’est plainte auprès de la CNIL d’une part, des difficultés rencontrées dans l’exercice du droit d’accès aux données de santé et d’autre part, de l’absence de recueil « effectif » de son consentement lors du contrôle médical. 

Après avoir instruit la plainte, la CNIL a rappelé à l’ordre la CNP Assurances qui a pris des mesures afin de renforcer la vérification du recueil effectif du consentement des assurés au traitement de leurs données de santé lors de contrôles médicaux.

La plaignante a demandé au Conseil d’État d’annuler la décision de la CNIL du 7 août 2023 clôturant la plainte considérant notamment que la CNIL s’était abstenue de prendre une mesure correctrice telle que prévue par le RGPD et qu’elle a commis une erreur d’appréciation et une erreur de droit en s’abstenant de signaler au parquet les délits graves commis par la CNP Assurances relatifs au traitement de données de santé sans le consentement de la personne concernée et au défaut de respect par le médecin des exigences pesant sur les intermédiaires d’assurance.

  • Rappel des principes applicables au traitement de données de santé

Pour mémoire, les données dites « sensibles » telles que les données de santé, révélant l’origine raciale ou ethniques, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, biométriques ou concernant l’orientation sexuelle d’une personne font l’objet d’un régime spécifique. Par principe, le traitement de ce type de données est interdit, sauf à justifier de l’une des exceptions prévues par l’article 9.2) du RGPD. Parmi ces exceptions, un traitement de données sensibles peut être réalisé sous réserve d’avoir collecté le consentement de la personne concernée. 

Rappelons que pour être valable, le consentement doit être libre, spécifique, éclairé et univoque et qu’il appartient au responsable de traitement de démontrer qu’il a collecté, en tant que de besoin, un tel consentement. 

Au cas présent, par la référence à l’absence de caractère « effectif » du consentement, il semblerait que le responsable de traitement n’ait pas été en mesure de démontrer l’existence d’un tel consentement, ce qui a ainsi donné lieu à un rappel à l’ordre, manifestement considéré insuffisant par la plaignante.

  • Sur les mesures correctrices susceptibles d’être prononcées par la CNIL

Les mesures correctrices susceptibles d’être prononcées par les autorités de contrôles sont prévues par l’article 58 du RGPD, lequel prévoit les sanctions (notamment) suivantes : 

  • Avertir un responsable de traitement ou un sous-traitant du fait que les opérations de traitements sont susceptibles de violer les dispositions du RGPD ; 
  • Rappeler à l’ordre un acteur lorsque les opérations de traitement ont entrainé une violation des dispositions du RGPD ; 
  • Imposer une limitation temporaire ou définitive du traitement ;
  • Imposer une amende administrative en complément ou à la place des autres mesures correctrices.

Au cas présent, la plaignante reprochait ainsi à la décision de la CNIL de ne pas avoir prononcé de mesure correctrice, considérant, probablement, que le rappel à l’ordre était ainsi insuffisant. 

Néanmoins, le Conseil d’État énonce qu’en prenant une mesure de rappel figurant parmi les mesures prévues par l’article 58 du RGPD, la CNIL n’avait pas commis de violation de l’article 58 du RGPD. Le Conseil d’État poursuit en considérant qu’en estimant que les infractions invoquées par la plaignante n’étaient pas suffisamment établies et ne portaient pas une atteinte suffisamment caractérisée aux dispositions dont la CNIL a pour mission d’assurer l’application pour justifier une transmission au parquet, la CNIL n’a pas commis d’erreur manifeste d’appréciation.

En effet, pour mémoire, l’article 226-19 du Code pénal sanctionne le fait, hors les cas prévu par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données qui, directement ou indirectement, font apparaître des données de santé (notamment) est puni de cinq ans d’emprisonnement et de 300.000 euros d’amende. 

Au surplus, rappelons que les violations des principes de base d’un traitement, y compris les conditions applicables au consentement en vertu de l’article 9 du RGPD, sont susceptibles de donner lieu à une amende administrative pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. 

Cette décision met ainsi en lumière l’importance, pour les organismes, de s’assurer que le consentement des personnes concernées est valablement et effectivement recueilli lorsqu’ils entendent, soit user de cette exception dans le cadre d’un traitement de données dites sensibles, soit, plus largement, lorsqu’ils entendent fonder un traitement de données sur cette base légale.  

Le cabinet MCO AVOCAT se tient à votre disposition afin de vous assister dans la documentation de vos traitements de données à caractère personnel et le choix de vos bases légales. 

En effet, pour mémoire, l’article 226-19 du Code pénal sanctionne le fait, hors les cas prévu par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données qui, directement ou indirectement, font apparaître des données de santé (notamment) est puni de cinq ans d’emprisonnement et de 300.000 euros d’amende. 

Au surplus, rappelons que les violations des principes de base d’un traitement, y compris les conditions applicables au consentement en vertu de l’article 9 du RGPD, sont susceptibles de donner lieu à une amende administrative pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. 

Cette décision met ainsi en lumière l’importance, pour les organismes, de s’assurer que le consentement des personnes concernées est valablement et effectivement recueilli lorsqu’ils entendent, soit user de cette exception dans le cadre d’un traitement de données dites sensibles, soit, plus largement, lorsqu’ils entendent fonder un traitement de données sur cette base légale.  

Le cabinet MCO AVOCAT se tient à votre disposition afin de vous assister dans la documentation de vos traitements de données à caractère personnel et le choix de vos bases légales.

VOUS SOUHAITEZ QUE NOUS
TRAVAILLIONS ENSEMBLE ?

Contactez-nous

31 avenue de Castres, 31500 Toulouse

Mentions légales
Politique de confidentialité
Politique de cookies

VOUS SOUHAITEZ QUE NOUS
TRAVAILLIONS ENSEMBLE ?

Contactez-nous
  • 31 avenue de Castres, 31500 Toulouse
Mentions légales
Politique de confidentialité
Politique de cookies

Ce site utilise des cookies et traceurs techniques et de mesure d’audience qui ne nécessitent pas le consentement de l’internaute. Pour en savoir plus sur les cookies et traceurs utilisés, vous pouvez consulter la Politique de cookies.