La CPAM est en droit de ne pas faire droit à une demande d’effacement des données personnelles de l’assuré social si ledit refus est justifié par l’existence d’un contentieux en cours.

Position de la CNIL

Par décision du 10 avril 2019, la présidente de la CNIL a clôturé la plainte d’un assuré social au motif que la CPAM de Seine-et-Marne lui avait opposé un rejet de ses demandes, le maintien du traitement (« SCAPIN ») étant justifié par la défense des droits en justice de la CPAM, les données concernées étant en lien avec des procédures contentieuses en cours.

Article 17 du RGDP  

L’article 17 du règlement du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques (RGDP)  prévoit que le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel ne s’applique pas lorsque ce traitement est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice.

Pouvoirs de la CNIL

Il appartient à la CNIL de procéder, lorsqu’elle est saisie d’une plainte ou d’une réclamation tendant à la mise en oeuvre de ses pouvoirs, à l’examen des faits qui sont à l’origine de la plainte ou de la réclamation et de décider des suites à lui donner. Elle dispose, à cet effet, d’un large pouvoir d’appréciation et peut tenir compte de la gravité des manquements allégués au regard de la législation ou de la réglementation qu’elle est chargée de faire appliquer, du sérieux des indices relatifs à ces faits, de la date à laquelle ils ont été commis, du contexte dans lequel ils l’ont été et, plus généralement, de l’ensemble des intérêts généraux dont elle a la charge.

Le I de l’article 40 de la loi du 6 janvier 1978, dans sa rédaction applicable à la date de la décision attaquée, dispose que : « Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite ». Lorsque l’auteur de la plainte se fonde sur la méconnaissance des droits qu’il tient de cet article, notamment du droit de rectification de ses données personnelles, le pouvoir d’appréciation de la CNIL pour décider des suites à y donner s’exerce, eu égard à la nature des droits individuels en cause, sous l’entier contrôle du juge de l’excès de pouvoir.

Il ne ressortait pas des pièces du dossier que la présidente de la CNIL avait fait une inexacte application des dispositions précitées applicables au litige, en estimant que les demandes de rectification et d’effacement présentées par l’assuré social n’étaient pas de nature à justifier l’engagement d’une procédure sur le fondement du II de l’article 45 de la loi du 6 janvier 1978. Télécharger la décision

Laisser un commentaire

Your email address will not be published.

Please fill the required fields*