Droit d’accès aux données d’une personne au bénéfice de son ayant droit

Le fils d’une victime d’accident de la circulation avait demandé à une compagnie d’assurance de lui donner accès aux traitements informatisés concernant les suites de l’accident et comportant des informations sur la victime. Insatisfait de la réponse apportée par l’assureur, il a saisi la CNIL d’une plainte, clôturée par cette dernière au motif que “le droit d’accès conféré aux personnes physiques [par la loi Informatique et Libertés] est un droit personnel qui ne se transmet pas aux héritiers”. Par un arrêt du 7 juin 2017, le Conseil d’État a estimé que “la seule qualité d’ayant droit d’une personne à laquelle se rapportent des données ne [conférait] pas la qualité  de “personne concernée” par  leur traitement”. Néanmoins, il a considéré que, le droit à réparation d’un dommage étant transmis aux héritiers, ceux-ci devaient “être regardés comme des “personnes concernées” au sens [de la loi Informatique et Libertés] pour l’exercice de leur droit d’accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l’établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l’instance engagée”.

Pour lire l'arrêt du Conseil d'État

Sanction pour manquement au droit d’accès et non-coopération avec la CNIL

Une personne avait demandé la transmission de son dossier médical à son ancien cabinet dentaire. En l’absence de réponse de sa part, elle a porté plainte auprès de la CNIL sur le fondement de “l’absence de réponse à sa demande d’accès aux données à caractère personnel contenues dans son dossier médical”. Face à l’absence de réponse du cabinet médical aux sollicitations de la CNIL, une procédure de sanction a été engagée. Par une délibération du 18 mai 2017, la formation restreinte de la CNIL a estimé que le cabinet dentaire avait effectivement manqué à l’obligation de respecter le droit d’accès de son ancien patient. Elle estime que “le secret médical ne [pouvait] s’opposer, en l’espèce, à la communication au patient des données le concernant et contenues dans son dossier médical” et que “le comportement [belliqueux] du plaignant [était] sans incidence” au contraire de ce que faisait valoir le cabinet médical. La CNIL relève également un manquement aux obligations de répondre à ses demandes puisque ses “cinq courriers (…) sont restés sans réponse”. Eu égard aux manquements relevés, le cabinet dentaire a été condamné à une sanction pécuniaire de 10 000 € et à la publication de la délibération.

Pour lire la délibération de la formation restreinte de la CNIL

Droit d’accès aux logs de connexion incluant des adresses IP

Par une ordonnance en référé du 17 juillet 2014, le TGI de Paris a fait droit à la demande d’une cliente d’un établissement bancaire d’accéder à l’historique des logs de connexion à ses comptes. En l’espèce, la cliente avait été mise en copie d’un email de la banque l’informant que son compte était débiteur, alors que le destinataire principal était un tiers. Suspectant une intrusion frauduleuse dans ses comptes en ligne, elle a demandé à la banque de lui fournir les logs de connexion, incluant les adresses IP. Toutefois, la banque estimait que les données en cause étaient celles du tiers et refusait donc d'accéder à sa demande. Le TGI a considéré "qu'en sollicitant la communication des logs de connexion de ses comptes en ligne, [la cliente] interroge[ait] sa banque sur l'accès à ses propres comptes et, ainsi, sur des données qui lui sont personnelles, et l’éventualité que cette communication révélerait une utilisation frauduleuse ne saurait la priver du droit que lui confère l’article 39-1 de la loi du 6 janvier 1978 d’obtenir que lui soient communiquées les données personnelles qu’elle sollicite".

Pour lire l'ordonnance sur Legalis.net

Plainte en ligne pour la suppression de données personnelles

La CNIL permet désormais à toute personne souhaitant faire supprimer des données personnelles la concernant de recourir à ses services. Ce système complète le dispositif existant de plainte en cas de non-respect du droit d’accès à ses données personnelles. Il permet à l’internaute d’obtenir le concours de la CNIL ou de plateformes de signalement spécialisées lorsque, après s’être adressé au site internet ou au responsable du traitement, aucune réponse ne lui est parvenue dans un délai de deux mois. La demande s’effectue par le biais d’un formulaire sécurisé. Pour consulter l'article de la CNIL sur ce sujet