Conseil d'État, 10ème chambre, 07/06/2018, 417817, Inédit au recueil Lebon

Date: 07/06/2018
Numéro: 417817

Laissez nos agents IA travailler pour vous

Essayer gratuitement
Résumé de la décision

Résumé de la décision :


La décision porte sur la requête de M. B..., qui contestait deux décisions de la Commission nationale de l'informatique et des libertés (CNIL) concernant sa plainte contre la caisse primaire d'assurance maladie (CPAM) de Seine-et-Marne. Il avait demandé la communication de ses données personnelles et des garanties relatives à leur sécurité. Après avoir reçu des documents de la CPAM, M. B... a estimé que la CNIL n'avait pas correctement répondu à sa demande et a fait un recours gracieux, qui a été rejeté. La CNIL a décidé de clore la plainte de M. B..., en considérant que la CPAM avait respecté ses obligations de communication et de sécurité des données. La requête de M. B... est finalement rejetée.

---

Arguments pertinents :


1. Pouvoir d'appréciation de la CNIL : La CNIL a un large pouvoir d'appréciation pour examiner les réclamations. Elle peut tenir compte de l'ensemble des intérêts généraux dont elle a la charge. La décision précise que « la commission [...] décide des suites à donner » aux plaintes, ce qui lui confère une certaine latitude dans son appréciation des faits.

2. Existence des traitements automatisés : M. B... n'a pas obtenu les informations relatives à un traitement spécifique. Cependant, la CNIL a souligné que le traitement mentionné (Echanges inter-régimes de retraites) relève de la compétence de la caisse nationale d'assurance vieillesse, ce qui invalidait l'argument de M. B... qui prétendait ne pas avoir reçu l’information appropriée. L'article R. 161-69-1 du code de la sécurité sociale est cité pour établir cette distinction.

3. Communication des données : La CNIL a établi que la CPAM avait bien informé sur les mesures de sécurité mises en œuvre pour protéger les données personnelles. Les courriers de réponse de la CPAM ont démontré que celle-ci a pris les mesures nécessaires, ce qui a conduit la CNIL à conclure qu'il n'y avait pas d'erreur d’appréciation dans sa décision de clôturer la plainte.

---

Interprétations et citations légales :


1. Article 11 de la Loi n° 78-17 (Informatique et Libertés) :
- Interprétation: Cet article établit clairement que la CNIL a la responsabilité de veiller à la conformité des traitements de données personnelles et d'examiner les plaintes.
- Citation: « La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle exerce les missions suivantes : ... Elle reçoit les réclamations, pétitions et plaintes relatives à la mise en œuvre des traitements de données à caractère personnel... »

2. Article R. 161-69-1 du Code de la sécurité sociale :
- Interprétation: Cet article précise que certains traitements de données ne relèvent pas de la responsabilité des CPAM, ce qui est essentiel pour comprendre les limites des demandes de M. B...
- Citation: Ce traitement n'est pas géré par les caisses primaires d'assurance maladie mais par la caisse nationale d'assurance vieillesse, ce qui a permis de rejeter l’argument de M. B... concernant la mauvaise communication des traitements.

3. Article 31 de la Loi n° 78-17 :
- Interprétation: Cet article souligne la transparence requise concernant les traitements automatisés de données, mais ne garantit pas à chaque usager d'obtenir des informations sur chaque traitement si elles relèvent d'autres autorités.
- Citation: « La commission met à la disposition du public, dans un format ouvert et aisément réutilisable, la liste des traitements automatisés... »

Cette analyse montre comment la CNIL a exercé son pouvoir d’appréciation tout en appliquant les dispositions légales pertinentes pour trancher la situation de M. B... et pourquoi sa requête a été rejetée.

Demander à Query Juriste IA

Quelles autres juridictions ont abordé ce point de droit de manière similaire ou divergente? Comment cette décision affecte ma situation? Trouver des décisions similaires

Créez un compte gratuit pour débloquer les fonctionnalités IA

Texte intégral

Vu :

- le code de la sécurité sociale ;

-la loi n° 78-17 du 6 janvier 1978 ;

- le code de justice administrative ;

Après avoir entendu en séance publique :

- le rapport de M. Pierre Ramain, maître des requêtes,

- les conclusions de M. Edouard Crépey, rapporteur public ;

Vu la note en délibéré présentée par M.B..., enregistrée le 30 mai 2018 ;
Considérant ce qui suit :

1. Il ressort des pièces du dossier que, par une plainte déposée le 6 novembre 2015, M. B... a demandé à la Commission nationale de l'informatique et des libertés (CNIL) d'une part, que lui soient communiquées les données personnelles, gérées par la caisse primaire d'assurance maladie (CPAM) de Seine-et-Marne, relatives à son dossier de demande d'allocation supplémentaire d'invalidité depuis le 1er janvier 2014, et, d'autre part, que lui soient apportées les garanties relatives à la sécurité et à la protection des données gérées par la caisse dans ce cadre. Après avoir été rappelée par la CNIL à ses obligations de communication des données à caractère personnel et de sécurité par un courrier du 13 février 2017, la CPAM de Seine-et-Marne a transmis les documents à M.B..., qui a demandé la communication de données complémentaires. Ces dernières lui ont été adressées le 24 juillet 2017. La présidente de la CNIL a, par une décision du 25 août 2017, clôturé la plainte de M.B.... Le 6 décembre 2017, elle a rejeté le recours gracieux formé par ce dernier contre la décision de clôture de plainte. M. B... demande l'annulation pour excès de pouvoir de ces deux décisions.

2. Aux termes de l'article 11 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle exerce les missions suivantes : / (...) 2° Elle veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi. / A ce titre, / (...) c) Elle reçoit les réclamations, pétitions et plaintes relatives à la mise en oeuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci. (...) ". Aux termes de l'article 31 de cette même loi : " La commission met à la disposition du public, dans un format ouvert et aisément réutilisable, la liste des traitements automatisés ayant fait l'objet d'une des formalités prévues par les articles 23 à 27, à l'exception de ceux mentionnés au III de l'article 26 ". Il résulte de ces dispositions qu'il appartient à la CNIL, lorsqu'elle est saisie d'une demande tendant à la mise en oeuvre de ses pouvoirs, de procéder à l'examen des faits qui sont à l'origine de la plainte et de décider des suites à leur donner. Elle dispose, à cet effet, d'un large pouvoir d'appréciation et peut tenir compte de l'ensemble des intérêts généraux dont elle a la charge.

3. En premier lieu, il ressort des pièces du dossier que, par son courrier en date du 6 décembre 2017 portant rejet du recours gracieux de M. B...contre la décision du 25 août 2017 clôturant sa plainte, la CNIL a, d'une part, communiqué à ce dernier la liste des traitements automatisés de la CPAM de Seine-et-Marne ayant fait l'objet d'une déclaration ou d'une autorisation et, d'autre part, l'a invité à consulter en ligne le site internet de l'assurance maladie, qui tient à la disposition du public l'ensemble des traitements automatisés gérés par les caisses primaires d'assurance maladie. Si M. B...reproche à la CNIL de ne pas l'avoir informé de l'existence du traitement dénommé " Echanges inter-régimes de retraites ", il résulte des dispositions de l'article R. 161-69-1 du code de la sécurité sociale que ce traitement, qui a pour seul objet de calculer le montant des prestations de vieillesse, n'est pas géré par les caisses primaires d'assurance maladie mais par la caisse nationale d'assurance vieillesse. Par suite, le moyen tiré de ce que M. B...n'aurait pas obtenu la communication de la liste des traitements automatisés gérés par la CPAM de Seine-et-Marne ne peut qu'être écarté.

4. En second lieu, il ressort des pièces du dossier que, par un courrier du 13 février 2017, la CNIL d'une part, a rappelé à la CPAM de Seine-et-Marne ses obligations en matière de communication des données personnelles et de préservation et de sécurité de ces données, et, d'autre part, l'a invitée à lui rendre compte des mesures mises en oeuvre pour assurer l'intégrité et la sécurité des données qu'elle gère. Dans ses courriers en réponse des 6, 20 et 21 juillet 2017 et du 30 janvier 2018, la CPAM a apporté les informations utiles et présenté les garanties prises tant pour la communication au requérant de l'intégralité des données le concernant que pour le respect de l'intégrité et de la sécurité des données saisies dans les traitements qu'elle gère. Il s'ensuit qu'en décidant, au vu de ces précisions, de clôturer la plainte de M. B...et de rejeter son recours gracieux, la CNIL n'a commis aucune erreur manifeste d'appréciation.

5. Il résulte de tout ce qui précède que la requête de M. B...doit être rejetée.
D E C I D E :

--------------

Article 1er : La requête de M. B...est rejetée.

Article 2 : La présente décision sera notifiée à M. A...B...et à la Commission nationale de l'informatique et des libertés.

Décisions connexes

Accédez à la puissance de l'IA générative

Recevez des rapports complets et argumentés

Résumés intelligents des décisions
Analyse approfondie et contextualisée de votre situation
Analyses juridiques personnalisées