Il y a tout d’abord au niveau national la loi dite « Informatique et Libertés », qui réglemente le traitement des données à caractère personnel en France depuis 1978.
Il y a également les Codes nationaux, qui encadrent une partie des traitements de données à caractère personnel, selon leur catégorie. Concernant les données de santé, il s’agit du Code de la santé publique, qui consacre plusieurs de ses articles à la protection de ces données dites « sensibles ».
Enfin, et à côté des textes réglementaires et législatifs, gravitent tout une série de textes qui relèvent du soft law, c’est-à-dire des recommandations, avis, ou publications, d’autorités européennes et françaises, comme la CNIL, et qui guident les responsables de traitement dans la gestion des données à caractère personnel.
L’arrêt rendu par la deuxième chambre civile de la Cour de cassation, le 30 septembre 2021 (n°19-25045) nous rappelle ainsi que le dispositif national en matière de données de santé, qui est un dispositif antérieur au RGPD, offrait et offre toujours des garanties de protection aux personnes concernées.
Les faits - la demande de communication de données médicales par la victime d’un accident de circulation.
La victime d’un accident de la circulation a fait l’objet d’une expertise médicale dispensée par le médecin conseil de l’assureur. Suite à cette expertise, des « notes techniques », incluant les données de santé de la victime, sont transmises à l’assureur.
La victime et sa famille ont par la suite assigné devant le juge des référés d’un tribunal judiciaire l’assureur, aux fins que soit ordonnée une mesure d’expertise médicale judiciaire destinée à évaluer son préjudice corporel, d’obtenir le versement d’une provision, et la communication des notes techniques du médecin conseil désigné par l’assureur.
Cette affaire a par la suite été portée devant la Cour d’appel de Versailles afin d’aboutir sur le bureau de la Cour de Cassation.
Le droit d’accès à ses données de santé fondé sur le Code de la santé publique et non sur le RGPD.
Afin d’obtenir la communication de ces notes techniques du médecin conseil, qui impliquait la communication de ses propres données de santé, la victime de l’accident s’est fondée sur le Code de la santé publique et son article L1111-7 :
« Toute personne a accès à l’ensemble des informations concernant sa santé détenues (…) par des professionnels et établissements de santé, (…), notamment des résultats d’examen, comptes rendus de consultation, d’intervention, d’exploration ou d’hospitalisation, ( …), correspondances entre professionnels de santé (…) ».
Sur le fondement de cet article, la victime a considéré que le médecin conseil de l’assureur était dans l’obligation de lui communiquer toute information en lien avec ses données de santé.
La Cour d’appel de Versailles, dans son arrêt du 24 octobre 2019 a refusé d’accorder cette demande de droit d’accès pour les motifs suivants :
1- La demande de droit d’accès de la victime n’était pas suffisamment précise en ce qu’elle n’était pas limitée à ses données strictement médicales auxquelles elle doit pouvoir avoir accès, et
2- La victime ne démontrait pas son intérêt légitime à obtenir les documents réclamés, et pour lesquels l’assureur faisait valoir « qu’ils peuvent contenir, outre des éléments médicaux, des informations strictement confidentielles d’ordre administratif et financier destinées à sa seule intention ».
Droit d’accès à ses données de santé : pas de critère d’intérêt légitime requis.
La deuxième chambre civile de la Cour de cassation, dans son arrêt du 30 septembre 2021 (n°19-25045), casse et annule l’arrêt rendu par la Cour d’appel, et reconnait à la victime un droit d’accès de principe sur ses données de santé, qui l’exempt d’avoir à justifier d’un « intérêt légitime ».
La Cour de cassation réaffirme le principe suivant : « toute personne a accès à l’ensemble des informations concernant sa santé » en se fondant, non pas sur le RGPD, mais sur la Convention européenne de sauvegarde des droits de l’Homme et des libertés fondamentales, article 8 : « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ».
Distinction entre droit d’accès du Code de la santé publique et droit d’accès prévu par l’article 15 du RGPD.
Le droit d’accès aux données à caractère personnel est prévu de manière générale par l’article 15 du RGPD. De manière plus spécifique, et concernant les données de santé, ce droit d’accès est organisé par l’article L1111-7 du Code de la santé publique.
Il existe entre ces deux articles des différences notables, à commencer par le délai de réponse à ce droit d’accès imposé au responsable du traitement : le responsable de traitement dispose d’un mois pour répondre à une demande de droit d’accès général, contre huit jours pour une demande de droit d’accès visant des données de santé.
L’article 15 du RGPD organise en pratique la communication de ces données personnelles et prévoit la possibilité d’exiger le paiement de « frais raisonnables » pour ce droit d’accès, basé sur « les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée » (article 15 (3)). L’article L1111-7 du Code de la santé publique reste silencieux sur ces points.
Enfin, le RGPD prévoit une limite à ce droit d’accès, qui ne doit pas porter atteinte aux « droits et libertés d’autrui » (article 15 (4) du RGPD).
En conclusion, cet arrêt de la Cour de cassation nous rappelle qu’au-delà du RGPD, tout un arsenal de textes législatifs, réglementaires, et recommandations sont à notre portée pour encadrer la protection des données à caractère personnel, et notamment des données de santé. Ces textes, souvent plus protecteurs que le RGPD, sont des garde-fous supplémentaires qu’il est important de connaitre.