Vu la procédure suivante :
Par une requête et un nouveau mémoire, enregistrés les 2 octobre 2023 et 11 juin 2024 au secrétariat du contentieux du Conseil d'Etat, M. B... A... demande au Conseil d'Etat :
1°) à titre principal, d'annuler pour excès de pouvoir la décision du 7 août 2023 par laquelle la Commission nationale de l'informatique et des libertés (CNIL) a procédé à la clôture de la plainte formée par M. A... et Mme D... A... relative aux difficultés rencontrées dans l'exercice du droit d'accès aux données de santé de Mme A... et à l'absence de consentement effectif à la transmission de ces données ;
2°) à titre subsidiaire, de saisir la Cour de justice de l'Union européenne de la question préjudicielle suivante : " Les médecins libéraux qui interviennent dans le processus de mise en œuvre des garanties d'un contrat d'assurance sont-ils des distributeurs au sens de la directive (UE) 2016/97 du 20 janvier 2016 sur la distribution d'assurance ' ".
Il soutient que :
- la décision a été rendue en violation du paragraphe 1 de l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales en raison d'une méconnaissance du droit à une procédure contradictoire, à une décision motivée, à un procès public et à voir son affaire jugée dans un délai raisonnable ;
- la décision est irrégulière, en raison des défauts de gouvernance interne et externe de la CNIL remettant en cause son impartialité ;
- la décision est entachée d'une erreur de droit tirée de ce que la CNIL s'est abstenue de prendre une mesure correctrice figurant au paragraphe 2 de l'article 58 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) et n'a pas recueilli les informations pertinentes pour justifier sa décision ;
- la CNIL a commis une erreur manifeste d'appréciation et une erreur de droit au regard de l'article 40 du code de procédure pénale en s'abstenant de signaler au parquet les délits graves commis par la société CNP Assurances relatifs au traitement de données de santé sans le consentement de la personne concernée et au défaut de respect par le médecin des exigences pesant sur les intermédiaires d'assurance.
Par un mémoire en défense, enregistré le 15 février 2024, la CNIL conclut au rejet de la requête. Elle soutient que les moyens soulevés par le requérant ne sont pas fondés.
Vu les autres pièces du dossier ;
Vu :
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- la directive (UE) 2016/97 du Parlement européen et du Conseil du 20 janvier 2016 ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- le code des assurances ;
- le code de procédure pénale ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Sophie Delaporte, conseillère d'Etat,
- les conclusions de Mme Esther de Moustier, rapporteure publique ;
Considérant ce qui suit :
1. Il ressort des pièces du dossier que, par une plainte déposée le 13 décembre 2019, M. et Mme A..., assurés auprès de la société CNP Assurances dans le cadre d'un prêt immobilier, ont demandé à la Commission nationale de l'informatique et des libertés (CNIL) de faire respecter par cette société les dispositions relatives aux données de santé du règlement du 27 avril 2016 dit règlement général sur la protection des données (RGPD) et d'obtenir qu'elle reprenne le remboursement, interrompu à la suite d'un contrôle médical ayant conduit à la transmission de données relatives à l'état de santé de Mme A... à la société, des échéances du prêt pour la part qui lui incombe. Par un courrier notifié le 10 août 2023, la CNIL a informé M. A... de ce qu'elle avait identifié un manquement au principe d'interdiction de traitement des données de santé du fait de l'absence de recueil effectif du consentement de Mme A... lors du contrôle médical et effectué un rappel aux obligations légales à destination de la société CNP Assurances ainsi qu'au médecin contrôleur mandaté par la société CNP Assurances. la CNIL a, par cette même décision, procédé à la clôture de sa plainte. M. A... demande l'annulation de cette décision.
2. Aux termes de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " I.- La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes :/ (...) / 2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France. À ce titre :/ (...) / d) Elle traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire (...) ".
3. Il résulte des dispositions mentionnées au point 2 qu'il appartient à la CNIL de procéder, lorsqu'elle est saisie d'une plainte ou d'une réclamation tendant à la mise en œuvre de ses pouvoirs, à l'examen des faits qui en sont à l'origine et de décider des suites à leur donner. Elle dispose, à cet effet, d'un large pouvoir d'appréciation et peut tenir compte de la gravité des manquements allégués au regard de la législation ou de la réglementation qu'elle est chargée de faire appliquer, du sérieux des indices relatifs à ces faits, de la date à laquelle ils ont été commis, du contexte dans lequel ils l'ont été et, plus généralement, de l'ensemble des intérêts généraux dont elle a la charge. L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus de la CNIL d'y donner suite. Il appartient au juge de censurer celui-ci, le cas échéant, pour un motif d'illégalité externe et, au titre du bien-fondé de la décision, en cas d'erreur de fait ou de droit, d'erreur manifeste d'appréciation ou de détournement de pouvoir.
4. En premier lieu, lorsque la CNIL procède à la clôture d'une plainte, elle n'intervient pas en tant que tribunal au sens de l'article 6 paragraphe 1 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentale mais prend une décision administrative qui ne présente pas, en outre, le caractère d'une sanction. Par suite, le moyen tiré de ce que la décision attaquée aurait été rendue en méconnaissance du droit à une procédure contradictoire, à une décision motivée, à un procès public et à voir son affaire jugée dans un délai raisonnable, garanti par l'article 6 de la convention, ne peut, en tout état de cause, qu'être écarté.
5. En deuxième lieu, il n'entre pas dans l'office du juge administratif, saisi d'un recours pour excès de pouvoir, de " constater les défauts de gouvernance de l'autorité administrative " à l'origine de la décision. Les moyens présentés à ce titre ne peuvent, par suite, qu'être rejetés.
6. En troisième lieu, d'une part, aux termes du paragraphe 2 de l'article 58 du RGPD : " Chaque autorité de contrôle dispose du pouvoir d'adopter toutes les mesures correctrices suivantes : (...) / b) rappeler à l'ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du présent règlement. " D'autre part, aux termes du paragraphe 1 du même article : " Chaque autorité de contrôle dispose de tous les pouvoirs d'enquête suivants : a) ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant du responsable du traitement ou du sous-traitant, de lui communiquer toute information dont elle a besoin pour l'accomplissement de ses missions. (...) ". Contrairement à ce que soutient le requérant, la CNIL a décidé, après avoir recueilli les observations de la société CNP Assurances sur le traitement des données de santé de Mme A..., de prendre une mesure de rappel à l'ordre figurant parmi les mesures correctrices prévues par le RGPD. Le moyen tiré de la violation de l'article 58 du RGPD doit, par suite, être écarté.
7. En dernier lieu, il ressort des pièces du dossier que, après avoir instruit la plainte de M. et Mme A..., la CNIL a rappelé à l'ordre la CNP Assurances qui a pris des mesures afin de renforcer la vérification du recueil effectif du consentement des assurés au traitement de leurs données de santé lors des contrôles médicaux. Par suite, en estimant que les infractions invoquées par M. A..., mentionnées au point 1, n'étaient pas suffisamment établies et ne portaient pas une atteinte suffisamment caractérisée aux dispositions dont elle a pour mission d'assurer l'application pour justifier une transmission au parquet, la CNIL n'a pas commis d'erreur manifeste d'appréciation.
8. Il résulte de tout ce qui précède, et sans qu'il soit besoin de saisir la Cour de Justice de l'Union européenne en l'absence, en tout état de cause, de doute raisonnable quant à l'interprétation du droit de l'Union européenne, que M. A... n'est pas fondé à demander l'annulation de la décision qu'il attaque.
D E C I D E :
--------------
Article 1er : La requête de M. A... est rejetée.
Article 2 : La présente décision sera notifiée à M. B... A... et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 13 juin 2024 où siégeaient : M. Olivier Yeznikian, conseiller d'Etat, présidant ; Mme Rozen Noguellou, conseillère d'Etat et Mme Sophie Delaporte, conseillère d'Etat-rapporteure.
Rendu le 12 juillet 2024.
Le président :
Signé : M. Olivier Yeznikian
La rapporteure :
Signé : Mme Sophie Delaporte
La secrétaire :
Signé : Mme Claudine Ramalahanoharana
