Conseil d'État, 10ème - 9ème chambres réunies, 07/06/2017, 399446

Date: 07/06/2017
Numéro: 399446

Laissez nos agents IA travailler pour vous

Essayer gratuitement
Résumé de la décision

Résumé de la décision


A la suite d'un accident de circulation ayant causé le décès de Mme B..., son fils, M. A...B..., a demandé à la mutuelle d'assurance MAIF l'accès à des données à caractère personnel concernant sa mère. La MAIF a répondu par un tableau récapitulatif des communications liées à cet accident, mais M. B... a estimé que la réponse n'était pas satisfaisante et a saisi la Commission nationale de l'informatique et des libertés (CNIL) le 2 février 2016. La CNIL a clos la plainte, soutenant que M. B... ne pouvait pas être considéré comme "personne concernée" par les données de sa mère, en raison de la nature personnelle de ce droit d'accès selon la loi du 6 janvier 1978. M. B... a alors demandé l'annulation de cette décision. Le Conseil d’Etat a jugé que la CNIL a commis une erreur en tenant compte de la qualité d'ayant droit de M. B..., et a annulé sa décision.

Arguments pertinents


Dans sa décision, le Conseil d’État a retenu plusieurs arguments essentiels :
1. Droit d'accès personnel : La loi du 6 janvier 1978 stipule que le droit d’accès aux données à caractère personnel est un droit strictement personnel qui ne se transmet pas aux héritiers. Cela est clairement exprimé dans l'article 39 de cette loi, qui définit que "la communication de données à caractère personnel n'est possible qu'à la personne concernée".

2. Transmission du droit à réparation : Toutefois, le Conseil d’État a souligné que si le droit à la réparation du préjudice est transmis aux héritiers du défunt, ceux-ci peuvent être considérés comme "personnes concernées" lorsqu'ils cherchent à établir le préjudice pour le compte du défunt. En effet, "lorsque la victime a engagé une action en réparation avant son décès... ces derniers doivent être regardés comme des 'personnes concernées'".

3. Erreur de droit : La présidente de la CNIL a commis une "erreur de droit" en concluant que M. B... ne pouvait pas être considéré comme une personne concernée, alors que "le droit à réparation du dommage subi... avait été transféré en leur qualité d'héritiers".

Interprétations et citations légales


La décision repose principalement sur l'interprétation de la loi du 6 janvier 1978. Voici les articles pertinents :

- Loi n° 78-17 du 6 janvier 1978 - Article 2 : "La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement". Cet article définit la portée du terme "personne concernée".

- Loi n° 78-17 du 6 janvier 1978 - Article 39 : "Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir... la communication... des données à caractère personnel qui la concernent". Ce passage précise que le droit d’accès est limité à la personne concernée.

- Code civil - Article 724 : "Les héritiers sont saisis de plein droit de tous les biens, droits et actions du défunt". Cet article souligne que le droit à réparation en cas de décès est transmis aux héritiers, leur conférant une forme d'accès aux informations nécessaires à la réparation.

En conclusion, cette décision illustre la nécessité de trouver un équilibre entre la protection des données personnelles et les droits des héritiers à l’information concernant les préjudices subis par leurs aînés. La qualification de "personne concernée" est donc étroitement liée au contexte de la demande d'accès aux données.

Demander à Query Juriste IA

Quelles autres juridictions ont abordé ce point de droit de manière similaire ou divergente? Comment cette décision affecte ma situation? Trouver des décisions similaires

Créez un compte gratuit pour débloquer les fonctionnalités IA

Texte intégral

- le code civil ;

- le code de la santé publique ;

- la loi n°78-17 du 6 janvier 1978 ;

- loi n°2002-303 du 4 mars 2002 ;

- le décret n°2005-1309 du 20 octobre 2005;

- le code de justice administrative ;

Après avoir entendu en séance publique :

- le rapport de Mme Isabelle Lemesle, conseiller d'Etat,

- les conclusions de M. Edouard Crépey, rapporteur public ;

Considérant ce qui suit :

1. Il ressort des pièces du dossier qu'à la suite d'un accident de circulation, une procédure judiciaire a été engagée afin de déterminer la réparation du préjudice subi par Mme B..., laquelle est entre-temps décédée. M. A...B..., son fils, a demandé à la mutuelle d'assurance des instituteurs de France (MAIF), par une lettre du 19 octobre 2015, de lui donner accès aux traitements informatisés concernant les suites de cet accident et comportant des informations concernant sa mère, sa soeur ou lui-même. Le 18 décembre 2015, la MAIF lui a transmis par courriel un tableau résumant sur huit pages la teneur des courriers, courriels et appels téléphoniques relatifs à ce sinistre, avec leur date et le nom des intervenants, échangés entre le 27 février 2007, date du sinistre, et le 20 octobre 2015. M. B...estimant qu'il n'avait pas été répondu à sa demande a adressé une plainte auprès de la Commission nationale de l'informatique et des libertés le 2 février 2016, que sa présidente a clôturée, par une lettre du 17 mars 2016, au motif que le droit d'accès conféré aux personnes physiques par l'article 39 de la loi du 6 janvier 1978 est un droit personnel qui ne se transmet pas aux héritiers. M. B...demande l'annulation de cette décision.

2. Aux termes du dernier alinéa de l'article 2 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement ". Aux termes de l'article 39 de cette même loi : " I. Toute personne physique justifiant de son identité a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir : / (...) 4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci (...) ". Il résulte de ces dispositions que la communication de données à caractère personnel n'est possible qu'à la personne concernée par ces données. Par suite, la seule qualité d'ayant droit d'une personne à laquelle se rapportent des données ne confère pas la qualité de " personne concernée " par leur traitement au sens des articles 2 et 39 de la loi du 6 janvier 1978.

3. Toutefois, lorsque la victime d'un dommage décède, son droit à la réparation de ce dommage, entré dans son patrimoine, est transmis à ses héritiers, saisis de plein droit des biens, droits et actions du défunt en application du premier alinéa de l'article 724 du code civil. Par suite, lorsque la victime a engagé une action en réparation avant son décès ou lorsque ses héritiers ont ultérieurement eux-mêmes engagé une telle action, ces derniers doivent être regardés comme des " personnes concernées " au sens des articles 2 et 39 de la loi du 6 janvier 1978 pour l'exercice de leur droit d'accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l'établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l'instance engagée.

4. Il suit de là que la présidente de la Commission nationale de l'informatique et des libertés a commis une erreur de droit en clôturant la plainte ouverte à l'encontre de la MAIF au motif qu'en sa qualité d'ayant droit et de mandataire de sa soeur, également ayant droit, M. B...ne pouvait être regardé comme " une personne concernée ", au sens des articles 2 et 39 de la loi du 6 janvier 1978, par les données relatives à l'accident dont sa mère a été la victime, alors que le droit à réparation du dommage subi par cette dernière leur avait été transféré en leur qualité d'héritiers.

5. Il résulte de ce qui précède que M. B...est fondé à demander l'annulation de la décision qu'il attaque, sans qu'il soit besoin d'examiner les autres moyens de sa requête.
D E C I D E :

--------------

Article 1er : La décision de la présidente de la Commission nationale de l'informatique et des libertés du 17 mars 2016 est annulée.

Article 2 : La présente décision sera notifiée à M. A...B...et à la Commission nationale de l'informatique et des libertés.

Copie en sera adressée au Premier ministre.

Décisions connexes

Accédez à la puissance de l'IA générative

Recevez des rapports complets et argumentés

Résumés intelligents des décisions
Analyse approfondie et contextualisée de votre situation
Analyses juridiques personnalisées