Le consentement mis à mal

103. La condition du consentement préalable au traitement des données est posée à l’article 7 de la loi Informatique et Libertés. Cette nécessité n’existait pas dans la version antérieure de la loi. En effet, initialement, elle ne prévoyait qu’une possibilité d’opposition de la personne concernée par les données132. La loi de 2004 modifiant la loi initiale fait désormais du consentement une des conditions permettant la mise en œuvre d’un traitement automatisé de données personnelles. Cependant, le consentement n’est envisagé que comme une alternative parmi d’autres à disposition du responsable du traitement pour légitimer son traitement et non

127 _{Article 8, IV : « ne sont pas soumis à l’interdiction de traitement prévue au I les traitements, automatisés ou}

non, justifiés par l’intérêt public et autorisés dans les conditions prévues au I de l’article 25 ou au II de l’article 26 ».

128

ZORN-MACREZ, Caroline. « Données de santé et secret partagé », op. cit., p. 238.

129

CORNU, Gérard. « Vocabulaire juridique », PUF, coll. « Quadrige Dicos Poche », 8éme éd., 2007.

130 _{La directive 95/46/CE prévoit, en son considérant 34: « Les Etats membres doivent également être autorisés}

à déroger à l’interdiction de traiter les catégories de données sensibles lorsqu’un motif d’intérêt public important le justifie dans des domaines tels que la santé publique et la protection sociale ».

131 _{ZORN-MACREZ, Caroline. « Données de santé et secret partagé », op. cit., p. 239.} 132 _{Article 26 de la loi Informatique et Libertés.}

61

pas une condition nécessaire133 (l’article 7 prévoit : « un traitement de données à caractère

personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes […] »). Ainsi, nonobstant le consentement de la personne concernée, le

traitement pourra quand même être licite s’il remplit une des autres conditions énoncées à l’article 7.

104. La qualité et la forme du consentement ne sont, quant à elles, pas précisées. Contrairement à ce qui est prévu en matière de données sensibles, le législateur n’exige pas de consentement exprès. Ainsi, il pourrait être possible de présumer qu’une simple non opposition pourrait être suffisante. Toutefois, il ne nous semble pas que cela soit la volonté du législateur. Le Groupe de travail de l’article 29 s’est penché sur la question et a apporté quelques pistes de réflexions134. Ainsi, le consentement de la personne concernée par les données doit être un consentement éclairé et, comme le précise la directive européenne en son article 2, il doit être une « manifestation de volonté, libre, spécifique et informée ».

105. Le consentement ne bénéficie pas d’un poids important dans le traitement des données à caractère personnel, dans la mesure où d’autres hypothèses vont venir légitimer le traitement des données, sans que le consentement de la personne ne soit nécessaire. Il s’agit du respect d’une obligation légale incombant au responsable du traitement (c’est le cas, par exemple, de la mise en place d’un dossier médical, rendu obligatoire par l’article R. 1112-2 du Code de la Santé Publique), de la sauvegarde de la vie de la personne concernée, de l’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement, de l’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ou enfin de la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou son destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

106. Il est intéressant ici de s’arrêter sur la dernière exception : l’intérêt légitime du responsable du traitement. Nous ne pouvons que déplorer cette disposition qui nous apparaît

133 _{DE LAMBERTERIE, Isabelle. « La place du consentement dans la collecte et le traitement des informations}

sensibles. La situation en France », op. cit., p. 61.

134

Groupe de travail « article 29 » sur la protection des données, « Document de travail sur le traitement des données à caractère personnel relatives à la santé contenues dans les dossiers médicaux électroniques (D.M.E) »,

62

trop large. En effet, la loi ne propose aucune définition de ce que pourrait être "l’intérêt légitime". Pour sa part, la directive européenne se contente dans son considérant 30 de donner quelques exemples tels que la gestion courante des entreprises, la prospection commerciale ou encore la prospection par une association caritative. Force est de constater que cette exception donne au responsable du traitement une marge de manœuvre assez large, avec pour seules limites le respect de l’intérêt ou des droits de la personne concernée. Alex TÜRK avait déploré dans son rapport le caractère très général de cette dérogation « d’une portée

exceptionnellement large » qui selon lui, « fragilise substantiellement la portée du principe du consentement de la personne, qui ne saurait donc être considéré comme constituant la règle en matière de traitement des données. ». Il appartient donc à la CNIL, grâce à ses pouvoirs de

contrôle, de s’assurer que l’équilibre entre l’intérêt légitime du responsable du traitement et le respect des droits de la personne concernée est établi.

107. Ces exceptions, et notamment la dernière, fragilisent fortement le consentement de la personne concernée par les données et sa valeur s’en trouve amoindrie. Dans les domaines relatifs au traitement des données de santé, rares seront les hypothèses où le consentement du patient sera nécessaire. En effet, à titre d’exemple, la constitution d’un dossier médical à l’hôpital répond à une obligation légale (exception n° 1). D’une manière générale, les traitements des données de santé par un établissement de santé découlent directement de sa mission de service public qui est le soin (exception n° 3) mais permettent également la sauvegarde de la vie de la personne concernée (exception n° 2).

De même, si nous poussons notre raisonnement, les compagnies d’assurance pourraient invoquer un intérêt légitime à la collecte et au traitement de données de santé, ce qui pourrait s’avérer réellement préjudiciable pour le patient.

63