Ou quand le responsable de traitement doit parfois désobéir pour rester conforme
Un traitement de données peut être imposé par un texte à toute personne, alors érigée en responsable de traitement.
Cette obligation ne sert traditionnellement de base juridique que si la norme est impérative, contraignante et précise et que le traitement est corseté.
Les exemples sont légions:
👉 Le portail transparence.sante.gouv.fr, par exemple.
👉 Le SNIIRAM… après avoir été consacré par la loi.
Pour le responsable de traitement, la situation paraît alors plutôt confortable : « c’est la loi, mon bon monsieur« .
En pratique, les choses ne sont pas si simples.
Pourquoi?
Parce que les textes ne sont pas toujours, disons… limpides
Et là, gare à l’erreur d’interprétation. Elle peut-être sanctionnée (HDPA, 11 avril 2023, n° 33/2023).
Sévère? Oui.
Mais de sévère, il est possible de glisser rapidement vers le rigorisme.
Illustration? cette décision de la CNIL italienne sanctionnant une administration… non pas pour avoir traité des données, mais pour ne pas avoir vérifié la légalité de l’acte administratif lui imposant ce traitement (GPDP, 11 avril 2024, n° 10019523).
Autrement dit : même si un texte l’impose, même clairement, un traitement ne peut être mis en oeuvre sur la base « obligation légale » que si ledit texte est lui-même conforme au droit.
Alors, certes, toute administration – et cela vaut dans toute l’UE, au moins pour le droit de l’Union – se doit de laisser inappliquée une disposition violant la hiérarchie des normes.
Mais dans les faits ? C’est rare.
Rappelez-vous quand l’Autorité de la Concurrence demandait au #CNOM de ne pas faire application de l’interdiction de publicité en faveur d’un médecin
Et en matière #RGPD, cela supposerait donc une analyse proactive de chaque texte…
Et potentiellement d’entrer en conflit, fût-il légitime, avec son autorité de tutelle.
Sincèrement, même DG d’un grand centre hospitalier…
Vous seriez-vous vu indiquer au Ministère que vous refusiez la certification des comptes, parce que le décret du 26 décembre 2018, sur la consultation de dossiers médicaux par le CAC, violait la pyramide de Kelsen ?
Demander aux administrations d’appliquer la loi…
Mais seulement si elle est légale.
Et de le vérifier elles-mêmes.
Contre leur tutelle, même.
Facile!
Avez-vous eu à gérer de telles situations? Des RETEX, des craintes ou des axes de préparation différents? Partagez-les en commentaires.
Des doutes sur la base juridique applicable à vos traitements de données ? N’hésitez pas à me contacter.