Dans une décision très surprenante du 6 décembre dernier, la Cour d’Appel de Rennes a considéré que les pièces, exemptes de données « nominatives », remises à un expert pour un avis technique ne constituent pas des « données médicales » (CA Rennes, 5ème Chambre, 6 décembre 2023, RG n° 23/02428).
Evoquer des données nominatives paraît quelque peu anachronique, l’expression ayant disparu du droit français en 2004. La notion de donnée à caractère personnel est en effet nettement plus large, comme en témoigne la rigueur des autorités en matière d’anonymat (G29 – Avis 05/2014 sur les Techniques d’anonymisation).
Et cet anachronisme n’est pas sans conséquence, en l’occurrence. En effet, à supposer que le juge des référés ait ici valablement écarté le droit d’accès au dossier médical prévu par notre Code de la Santé Publique, l’absence de données nominatives dans le document n’aurait pas dû permettre de rejeter le droit d’accès RGPD. En effet, la décision démontre clairement que l’expert en cause savait à qui rattacher les documents médicaux en sa possession.
A l’autre extrémité de la chaîne, une décision à peine plus ancienne de la CNIL italienne vient sanctionner un organisme de formation pour ne pas avoir assuré la sécurité d’un avis d’expert réputé anonyme. Réputé? Le caractère topique des faits et – surtout – une erreur dans la pseudonymisation du document écartaient la qualification d’anonymat. Résultat, une amende de 18 000 euros.
Qu’aurait dû faire l’organisme pour l’éviter? Vérifier la correcte anonymisation des données par le formateur et assurer la confidentialité des documents « au cas où ».
Ces deux décisions sont révélatrices de l’importante marge d’interprétation des textes, ici entre un juge et une autorité de protection des données. Surtout, elles mettent en lumière le hiatus entre les droits prévus par le RGPD et des droits proches, issus d’autres législations.
Quel est votre point de vue sur ces décisions ? Partagez vos observations et expériences en commentaires.
Vous avez des doutes sur la conformité de vos procédures d’anonymisation ou d’accès aux données ? N’hésitez pas à me contacter.