Conseil 20184657 Séance du 17/05/2019

La commission d'accès aux documents administratifs a examiné dans sa séance du 17 mai 2019 votre demande de conseil relative à la conformité des dispositions de l'article L. 1111-7 du code de la santé publique prévoyant la mise à la charge d'une personne demandant l'accès à un document administratif de frais correspondant au coût de reproduction et d'envoi, avec l'article 12-5 du règlement n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit règlement général sur la protection des données « RGPD »). En premier lieu, la commission souligne que l'entrée en vigueur du RGPD n'a, par elle-même, pas entraîné de modification des dispositions du code des relations entre le public et l'administration relatives au droit d'accès aux documents administratifs comportant des données personnelles, ainsi que le prévoit d'ailleurs l'article 86 du RGPD. Ainsi, si la communication par transmission, la diffusion ou toute autre forme de mise à disposition portant sur des données à caractère personnel constitue un traitement de données au sens de l'article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (« loi CNIL ») et de l’article 4 du RGPD et une administration répondant à une demande d’accès à un document administratif contenant des données de cette nature regardée comme un responsable de traitement, elle est toutefois dispensée de requérir, ainsi que l'ont déjà relevé la commission d'accès aux documents administratifs et la commission nationale de l'Informatique et des Libertés le consentement préalable des personnes concernées (conseil n° 20180650 du 13 septembre 2018). En second lieu, la commission rappelle qu’aux termes de l'article 12, paragraphe 5 du RGPD : « Aucun paiement n'est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l'article 34. Lorsque les demandes d'une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut:/ a) exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées; ou/ b) refuser de donner suite à ces demandes./Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande ». La commission relève que les articles 13 et 14 définissent les obligations d'information à la charge d'un responsable de traitement lorsqu'il collecte des données personnelles, selon que cette collecte a été effectuée ou non auprès de la personne concernée, que les articles 15 à 22 portent sur les droits d'accès, de rectification, d'effacement, de limitation du traitement, de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement, de portabilité des données, d'opposition, et de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire, et, enfin, que l'article 34 garantit le droit d'être informé d'une violation de données à caractère personnel susceptible d'engendrer un risque élevé pour ses droits et libertés en tant que personne physique. Il résulte de ces dispositions que l'administration, en tant que responsable de traitement ne peut exiger aucun paiement, d'une part, lorsqu'elle informe des personnes qu'elle a collecté leurs données personnelles, d'autre part, lorsqu'elle met en œuvre les droits et garanties prévus par les articles 13 à 22 et l'article 34 du RGPD. La commission relève à cet égard que l’article 15 du RGPD, relatif à l’accès, dispose que « Le responsable du traitement fournit une copie des données à caractère personnel faisant l'objet d'un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée ». Elle en déduit que la communication initiale des données à caractère personnel à la personne intéressée ne peut donc être conditionnée à un paiement. La commission relève, en troisième lieu, que les dispositions de l’article L. 1111-7 du code de la santé publique sur lesquelles vous avez saisi la commission prévoient que toute personne a accès à l'ensemble des informations concernant sa santé détenues, à quelque titre que ce soit, par des professionnels de santé et son dernier alinéa que « La consultation sur place des informations est gratuite. Lorsque le demandeur souhaite la délivrance de copies, quel qu'en soit le support, les frais laissés à sa charge ne peuvent excéder le coût de la reproduction et, le cas échéant, de l'envoi des documents. » Si, ainsi qu’il a été dit, ces dispositions ne posent a priori pas de difficulté d’articulation avec le règlement général sur la protection des données en tant qu’elles concernent des informations médicales détenues par un établissement public de santé, le droit d’accès à ce dossier médical administratif ne relevant pas du règlement, ce droit d’accès, sur lequel la Commission d’accès aux documents administratif a été rendue compétente par le 14° du A de l’article L342-2 du code des relations entre le public et l'administration, n’est pas exclusif de la procédure d’accès aux données à caractère personnel ouverte à la personne intéressée par l’article 39 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique et aux libertés. Jusqu’à présent, cette double procédure permettant l’accès à une même réalité matérielle selon que l’on sollicitait le dossier médical ou son contenu, connaissait des modalités de tarification identique. Elle permettait, notamment, aux personnes d’obtenir les informations médicales détenues par les professionnels de santé n’officiant pas dans une structure publique ou n’étant pas chargée d’une mission de service public et avait, s’agissant de ces dernières structures, un objet potentiellement plus vaste que la seule communication du dossier médical. Avec l’entrée en vigueur du RGPD, qui impose, sous réserve de la mobilisation par les autorités françaises d’une marge de manœuvre, la gratuité de l’accès aux données à caractère personnel par la personne intéressée, la coexistence de ces deux voies d’accès, bien que leurs champs ne soient pas totalement concordants, pose une difficulté pratique, l’accès étant tantôt gratuit, tantôt payant pour les établissements publics de santé et ceux participant au service public hospitalier selon la procédure choisie par le demandeur alors qu’elles peuvent tendre à la communication des mêmes informations médicales. L’ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel montre la volonté du législateur de consacrer le principe de la gratuité de l’accès aux données à caractère personnel en supprimant les dispositions de l’article 39 et en créant un nouvel article 49 qui renvoie directement au RGPD. Reste que le nouvel article 64 de la loi du 6 janvier 1978 créé par cette même ordonnance, qui entrera en vigueur le 1er juin 2019, continue de renvoyer aux dispositions du code de la santé publique : « Lorsque l'exercice du droit d'accès s'applique à des données de santé à caractère personnel, celles-ci peuvent être communiquées à la personne concernée, selon son choix, directement ou par l'intermédiaire d'un médecin qu'elle désigne à cet effet, dans le respect des dispositions de l'article L. 1111-7 du code de la santé publique. » Cette difficulté d’articulation entre les dispositions du code de la santé publique et le règlement général sur la protection des données appelle a minima une clarification de la part du Gouvernement. La Commission nationale de l’informatique et des libertés a également été saisie de cette difficulté dont elle a alerté la ministre chargée de la santé, Dans l’attente d’une clarification du cadre juridique applicable, et afin de prévenir toute éventuelle contestation de la tarification de la délivrance des informations médicales à la personne intéressée, la Commission vous suggère de ne pas facturer la communication de la première copie du dossier médical, les dispositions de l’article L1111-7 ne rendant d’ailleurs pas cette facturation obligatoire.