ÉVITER LA SANCTION POUR NON COOPÉRATION AVEC LA CNIL

 

Amélie SZCZEPANSKI
 Consultante Juriste RGPD

 

Face à un contrôle de la CNIL, le risque de sanction ne vient pas seulement d’un défaut d’application de la législation, ni de la violation de la protection des données au travers d’une faille. Il peut également parvenir de l’absence de réaction de la structure contrôlée face aux demandes de la CNIL. En effet, ces dernières années, la CNIL s’est montrée beaucoup plus vive en ce qui concerne le défaut de coopération avec ses services à l’occasion de ses contrôles.

Dans une décision en date du 13 juin 2017(1), la CNIL a en effet sanctionné un cabinet dentaire pour défaut de coopération. Dans les faits, un patient souhaitait récupérer son dossier médical, en possession du dentiste. N’arrivant pas à obtenir satisfaction, c’est en 2015 que l’ancien patient du dentiste décide de porter plainte auprès de la CNIL pour violation de son droit d’accès à ses données. Se saisissant de l’affaire, la CNIL tente de contacter à plusieurs reprises le cabinet dentaire afin qu’il fasse droit à la demande légitime de la personne concernée. Gardant toujours le silence face aux courriers, une mise en demeure est alors prononcée à l’encontre du cabinet. La CNIL entrant alors en procédure précontentieuse. A nouveau, le silence fut la seule réponse que la CNIL obtint de la part du professionnel. Ce silence eut pour conséquence le début de la procédure de sanction.

Le cabinet tenta de se défendre par le secret médical pour ne pas avoir fait droit à la demande du patient. Dans sa décision sanctionnant le professionnel à hauteur de 10 000 euros, la CNIL rappelle que le secret médical ne saurait justifier l’accès à la personne concernée à ses propres données. Mais elle relève également aucune justification au regard du défaut de coopération. Le cabinet « n’a jamais adressé aucune réponse à la CNIL que ce soit dans le cadre de l’instruction de la plainte ou dans les suites de la mise en demeure de la Présidente. Ce sont donc cinq courriers de la CNIL qui sont restés sans réponse entre le 25 janvier 2016 et le 16 décembre 2016. Ce n’est qu’à la suite de la notification du rapport de sanction que le cabinet a apporté des éléments de réponse à la Commission et a fait droit à la demande d’accès du plaignant ».

Pour rappel, la coopération avec la CNIL résulte d’une obligation présente à l’article 21 de la Loi Informatique et Libertés modifiée de 1978 toujours en vigueur et à l’article 31 du Règlement européen sur la protection des données personnelles. En effet, les responsables de traitement se doivent de prendre « toutes mesures utiles » afin de faciliter la tâche de la Commission lors de ses actions. A l’article de préciser que « sauf dans les cas où elles sont astreintes au secret professionnel, les personnes interrogées dans le cadre des vérifications faites par la commission […] sont tenues de fournir les renseignements demandés par celle-ci pour l’exercice de ses missions»

Cette affaire illustre parfaitement l’importance pour un Responsable de traitement de mettre en place, au sein de sa structure, une procédure de contrôle CNIL qui permet à chaque intervenant de savoir comment réagir face aux demandes formulées par la CNIL et d’éviter ainsi la sanction. La mise en place et l’application d’une telle procédure permet d’assurer de respecter les principes majeurs dans le cadre de la protection des données et de réagir au plus vite face à l’organisme de contrôle.

 

(1)CNIL, “SAN-2017-008 du 18 mai 2017 prononçant une sanction pécuniaire à l’encontre de la société d’exercice libéral à responsabilité limitée X”


accueil Blog Actu-CIL