Communication d’informations personnelles à un tiers

Rappel de l'objet de la demande

Un IME est-il en mesure de communiquer des informations sur des mineurs pris en charge il y a plusieurs années à des services de police qui en font la demande ?

Textes de référence

• Règlement de la protection des données à caractère personnels (RGPD), article 4-9°, 5-1-f° et 32 ;
• Code de procédure pénale : article 77-1-1 ;
• Code pénal : article 226-13 ;

Réponse

Principe d’interdiction de communication de données personnelles : respect du secret professionnel et du droit au respect de la vie privée

L’article 8 al.1 de la Convention européenne des droits de l’homme et du citoyen (CEDH) dispose que :

« Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. »

Le secret professionnel est l’interdiction faite à certaines personnes de révéler ce qu’elles ont appris dans le cadre professionnel sous peine de sanctions pénales.

En effet, l’article 226-13 du Code pénal prévoit que :

« La révélation d’une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d’une fonction ou d’une mission
temporaire, est punie d’un an d’emprisonnement et de 15 000 euros d’amende. »

En l’espèce, la direction de l’établissement a été sollicitée afin de communiquer au service de police l’adresse de domicile de deux anciens résidents mineurs à l’époque dans le cadre d’une enquête afin qu’ils puissent être convoqués en tant que témoins. En principe la direction est soumise au secret professionnel car l’adresse de domicile d’un résident est une information personnelle qui ne peut être révélée, d’autant plus que ces données relèvent du droit au respect de la la vie privée de la personne. Toutefois, il existe certaines exceptions, notamment en cas de réquisition par un OPJ (officier de police judiciaire) ou à défaut d’un APJ (agent police judiciaire) sur autorisation du Procureur de la République, dans lesquelles il n’est pas possible de refuser de communiquer certaines informations personnelles au nom du secret professionnel.

Les exceptions « les tiers autorisés »

A cet effet, un certain nombre d’autorités ont, en vertu de dispositions législatives et plus rarement réglementaires, le pouvoir d’exiger la transmission de documents ou de renseignements.

L’article 8 al. 2 de la CEDH concernant le droit à la vie privée de chacun précise notamment :

« Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans
une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui. »

Ainsi, il existe des situations dans lesquelles notamment en raison de la prévention des infractions pénales, des informations sur la vie privée d’une personne peuvent être communiquées si cette ingérence est prévue par la loi.

De telles demandes impliquent fréquemment la transmission de données à caractère personnel par le responsable de traitement sollicité.

NOTA BENE : Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.

En l’espèce, la direction d’un IME est la responsable de traitement à qui les informations personnelles des anciens résidents ont pu être sollicitées par le service de police.

L’article 4-9° du RGPD relatif à la notion de « destinataire » qui mentionne l’existence de cette catégorie d’acteurs susceptibles de recevoir communication de données « dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ».

Ces acteurs sont communément appelés « tiers autorisés » en raison de leur pouvoir leur permettant de prendre connaissance, et au besoin copie ou saisie, d’informations et de documents détenus par des organismes de toute nature (de mettre en œuvre, en d’autres termes, un droit de communication). Concrètement, les tiers autorisés sont l’ensemble des autorités et organismes (publics le plus souvent) disposant, en vertu de l’intérêt public qui s’attache à l’accomplissement de leur mission, du pouvoir de solliciter l’obtention de données à caractère personnel issues de fichiers détenus par des personnes ou organismes publics et privés.

A ce titre, l’article 77-1-1 du Code de procédure pénale ajoute que :

« Le procureur de la République ou, sur autorisation de celui-ci, l’officier ou l’agent de police judiciaire, peut, par tout moyen, requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique qui sont susceptibles de détenir des informations intéressant l’enquête, y compris celles issues d’un système informatique ou d’un traitement de données nominatives, de lui remettre ces informations, notamment sous forme numérique, le cas échéant selon des normes fixées par voie réglementaire, sans que puisse lui être opposée, sans motif légitime, l’obligation au secret professionnel. Lorsque les réquisitions concernent des personnes mentionnées aux articles 56-1 à 56-5, la remise des informations ne peut intervenir qu’avec leur accord. »

L’établissement a été sollicité par les services de police afin de communiquer des informations personnelles (adresses du domicile) de deux anciens résidents mineurs au moment des faits.

Les services de police doivent être considérés comme des « tiers autorisés ». En effet, dans le cadre d’une enquête préliminaire les OPJ ou APJ sur autorisation du procureur de la République disposent d’un pouvoir de réquisition.

En tant que RT d’un établissement, et sauf « motif légitime » la direction d’un établissement doit communiquer ces informations personnelles au service de police sous certaines réserves et ne peut s’y opposer en raison du secret professionnel.

La communication de données personnelles aux tiers autorisés

Au regard du RGPD, l’enjeu principal pour un responsable de traitement recevant une telle demande est double :

• veiller à se conformer aux demandes prévues par les dispositions légales ;
• garantir la sécurité des données à caractère personnel traitées.

En application des articles 5-1-f et 32 du RGPD, tout responsable de traitement doit en effet assurer la confidentialité des données en veillant à limiter les accès et transmissions aux seuls acteurs habilités ou autorisés (dont font partie les tiers autorisés lorsqu’une disposition législative ou réglementaire le prévoit).

En l’occurence, en tant que responsable de traitement la direction de l’établissement doit impérativement vérifier plusieurs étapes avant la communication de ces informations :

• Vérification de l’existence d’un fondement légal autorisant la demande et la communication de données (article 77-1-1 du CPP en l’espèce.)
• Vérification de la qualité de l’organisme à l’origine de la demande et du périmètre des informations ciblées ;
• Sécurisation de la communication des données ou des modalités d’accès par le tiers autorisé.