La loi « Informatique et Libertés » du 6 janvier 1978, modifiée par la loi du 6 août 2004, définit les principes à respecter lors de la collecte, du traitement et de la conservation des données personnelles, sous le contrôle de la Commission Nationale de l’Informatique et des Libertés (CNIL).
Les mutuelles de santé, en ce qu’elles conservent des informations personnelles relatives à leurs assurés dans un fichier informatique ou « papier », constituent des responsables de traitement de données à caractère personnel soumises aux dispositions de cette loi.
Dans l’arrêt d’espèce, le fils d’une victime d’un accident de la circulation avait demandé à la mutuelle d’assurance des instituteurs de France (MAIF) de lui donner accès aux traitements informatisés concernant les suites de cet accident, afin de pouvoir être indemnisé.
En guise de réponse, la MAIF lui avait adressé un tableau résumant sur huit pages le contenu de l’ensemble des courriers, courriels et appels téléphoniques relatifs à ce sinistre, listant précisément les dates d’intervention et les intervenants.
Le requérant ayant estimé cette transmission d’informations insuffisante, a adressé une plainte auprès de la CNIL. La présidente n’a pas souhaité donner suite, au motif que le droit d’accès conféré aux personnes physiques par l’article 39 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est un droit personnel, qui ne saurait se transmettre aux héritiers.
L’article 39 de la loi du 6 janvier 1978 dispose que :
« I- Toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir : (…) 4° la communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci (…) ».
Selon le Conseil d’Etat, saisi du litige, il résulte de ces dispositions que la communication de données à caractère personnel n’est possible qu’à la personne concernée par ces données, la seule qualité d’ayant droit d’une personne à laquelle se rapportent des données ne conférant pas ipso facto la qualité de « personne concernée ».
La jurisprudence apporte toutefois une exception à ce principe, dans l’hypothèse où une information relative à une personne décédée concerne également une personne vivante.
Tel est le cas en l’espèce, puisque lorsque la victime d’un dommage décède, son droit à réparation de ce dommage, entré dans son patrimoine, est transmis à ses héritiers. Par suite, lorsque la victime a engagé une action en réparation avant son décès ou lorsque ses héritiers ont ultérieurement eux-mêmes engagé une telle action, ces derniers doivent être considérés comme des « personnes concernées ».
Dans une telle situation, l’accès aux données à caractère personnel du défunt doit rester strictement encadré et se faire dans la mesure nécessaire à l’établissement du préjudice qu’il a subi, en vue de sa réparation et pour les seuls besoins de l’instance engagée.
Le Conseil d’Etat a donc sanctionné la CNIL pour avoir commis une erreur de droit en clôturant la plainte ouverte à l’encontre de la MAIF. Il n’est pas à douter que la CNIL fera à l’avenir une recherche au cas par cas du lien entre le demandeur à l’information et le tiers concerné par cette information, pour justifier de son droit d’accès.
Virginie PERDRIEUX
Vivaldi-Avocats
