Par Haas Avocats
L’un des principes au cœur des préoccupations des responsables de traitement doit concerner l’exactitude des données personnelles. En ce sens, ces dernières doivent être « exactes et, si nécessaires, tenues à jour » ; dans le cas contraire, toutes les mesures raisonnables doivent être prises pour que ces données « soient effacées ou rectifiées sans tarder »[1].
En effet, le responsable de traitement doit pouvoir justifier qu’il garantit l’exactitude des données. La personne dont les données sont traitées doit, quant à elle, pouvoir demander la rectification de ses données si tel n’est pas le cas.
A cet effet, le RGPD met à la charge de l’organisme responsable de traitement une obligation d’information à l’égard de la personne dont les données sont collectées, l’informant de son droit de demander la rectification ou l’effacement de ses données[2].
Tous les organismes traitant des données à caractère personnel sont concernés par cette obligation d’information, même les hôpitaux. C’est ce qu’a confirmé la Cour administrative d’appel de Paris dans un arrêt rendu le 11 avril 2023[3]. La Cour a ainsi considéré que l’Assistance publique – Hôpitaux de Paris (AP-HP), centre hospitalier universitaire d’Ile-de-France, avait commis une faute à l’égard d’une patiente en s’abstenant de l’informer de son droit à demander la rectification des données personnelles présentes dans son dossier médical. Cette faute était de nature à engager sa responsabilité.
Pour autant, le responsable de traitement ne doit pas systématiquement accéder à la demande de la personne concernée.
En effet, dans un régime de responsabilité lié à une faute de l’auteur du dommage, la personne concernée doit établir qu’elle a subi un préjudice causé par cette faute.
Ainsi, si l’organisme qui n’informe pas la personne dont les données sont traitées de son droit à rectification commet une faute, encore faut-il que la personne concernée par cet oubli parvienne à démontrer qu’il en a résulté pour elle un préjudice.
A cet égard, la personne concernée pourra notamment démontrer qu’elle a subi un préjudice lié à l’atteinte à l’intimité de sa vie privée. Concernant des données particulièrement sensibles telles que des données de santé, on peut imaginer que leur accessibilité peut entrainer un préjudice réputationnel.
Toutefois, selon la Cour administrative d’appel de Paris dans l’arrêt précité, un hôpital peut refuser de rectifier des données médicales sans qu’il ne résulte un préjudice pour la personne concernée.
Pour quelles raisons ?
Ainsi, ce n’est pas parce que les données litigieuses peuvent être considérées comme « sensibles » (tels que des antécédents psychiatriques) qu’elles doivent impérativement être rectifiées. Il importe simplement de vérifier que la personne concernée a pu effectivement demander leur rectification.
Cette décision montre avec nuance l’importance accordée au préjudice et à la réelle utilité de conserver les antécédents médicaux. Même s’il s’agit d’un cas d’espèce très spécifique, les notions de préjudice et d’intérêt des données personnelles pour la personne concernée pourraient être réutilisés dans des cas similaires. A méditer…
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de vingt-cinq ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit et notamment dans le domaine de la concurrence numérique : il accompagne en effet ses clients dans la sécurisation de leurs activités au regard de règles juridiques en mutation et en cours de construction. Il accompagne également les acteurs de l’innovation dans la conformité juridique de leurs projets numériques en santé. Pour en savoir plus sur les activités de notre département E-santé et nous contacter cliquez ici.
[1] Article 5.d) du RGPD
[2] Article 13 2. Du RGPD
[3] CAA de Paris, 8ème chambre, 11 avril 2023, 22PA01320
[4] In fine, la conservation et l’inaltérabilité de ces données pourraient même permettre une meilleure prise en charge médicale