search Rechercher
Ulys logo
menu MENU

Cabinet d’avocats à Bruxelles et Paris
Leader en droit de l’innovation depuis 30 ans

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Accueil keyboard_arrow_right Actualités keyboard_arrow_right Detail

Le fœtus est-il une personne concernée au sens du RGPD ?

Publié le par 49 vues

Une récente décision de l’Autorité de protection des données confronte le RGPD à une question rarement explorée : les informations relatives à un enfant à naître (un foetus) sont-elles des données personnelles qui le concernent en propre (indépendament donc de la situation des parents) ? Cela l’amène à interroger les frontières de la notion de…

Une récente décision de l’Autorité de protection des données confronte le RGPD à une question rarement explorée : les informations relatives à un enfant à naître (un foetus) sont-elles des données personnelles qui le concernent en propre (indépendament donc de la situation des parents) ? Cela l’amène à interroger les frontières de la notion de « personne physique » au sens du règlement. Derrière un litige apparemment anecdotique se dessine un débat très profond : la protection des données commence-t-elle avant la naissance ?

Les faits

Une patiente enceinte se rend chez une kinésithérapeute, enceinte également et indépendante au sein d’un centre hospitalier.

Au début, leurs échanges dépassent le cadre strictement médical : elles communiquent par WhatsApp, évoquent leurs grossesses respectives et entretiennent une relation manifestement détendue et bienveillante.

Tout bascule à l’occasion d’un message de soutien adressé par la patiente à la kinésithérapeute, qui lui répond et, à cette occasion, révèle à sa patiente le sexe de son enfant à naitre.

Probablement la kinésithérapeute pense-t-elle faire plaisir à sa patiente en lui révélant une information exclusive, mais ça passe mal : les futurs parents avaient précisément choisi de ne pas connaître le sexe de leur enfant avant la naissance. Exit la surprise !

Soupçonnant un accès indu à ses données médicales, la patiente exerce son droit d’accès au dossier patient informatisé. L’analyse des journaux de connexion au Dossier Patient Informatisé (DPI) confirme les faits :

  • La kinésithérapeute a accédé au dossier à trois reprises en l’espace de quatre jours.
  • Ces accès ont porté spécifiquement sur les résultats du test NIPT (dépistage prénatal).
  • À la date de ces consultations, aucun lien thérapeutique récent ne liait plus la praticienne à la patiente, rendant ces accès injustifiés.

L’établissement ouvre une enquête interne et rompt sa collaboration avec la kinésithérapeute pour motif grave, estimant que celle-ci a consulté de manière répétée des données médicales confidentielles sans justification professionnelle.

Plainte est aussi déposée devant l’APD.

La plainte est déposée par le père, la mère, et … l’enfant (né entretemps).

La décision rendue

La décision part de la recommandation Rec(97)5 du conseil des ministres du Conseil de l’Europe, relative à la protection des données médicales. On y lit que :

« 86. La protection des données médicales de l’enfant à naître, en vue de protéger sa vie privée après sa naissance, soulève des questions spécifiques, notamment de nature éthique, qui vont au-delà du champ d’application de la recommandation.

87. Lors de la rédaction des principes 4.5 et 4.6, le souci principal des rédacteurs de la recommandation n’était pas d’établir l’autorité parentale, mais plutôt de veiller à ce que les données médicales d’un enfant ne soient déjà « publiques » au moment de sa naissance.

En l’absence de règle juridique généralement acceptée qui déterminerait le moment où un enfant à naître peut être considéré comme une personne, les rédacteurs de la recommandation ont estimé que des mesures devraient être prises pour assurer la protection des données médicales collectées et traitées avant la naissance d’un enfant. C’est pourquoi l’enfant à naître devrait bénéficier d’une protection similaire à la protection des données médicales d’un enfant après sa naissance. A titre d’exemple, cet objectif peut être atteint en considérant des données de l’enfant à naître comme les données à caractère personnel de la mère. Cette exigence est confirmée au principe 4.5.

88. Suivant la tendance du droit de la famille dans les Etats membres, les rédacteurs de la recommandation ont conclu au principe 4.6 que, sauf si le droit interne en dispose autrement, les détenteurs des responsabilités parentales du futur enfant devraient pouvoir agir au nom de l’enfant à naître en tant que personne concernée.

Il a été entendu que lors de l’exercice des droits d’accès et de rectification relatifs aux données médicales de l’enfant à naître, les intérêts de la mère soient dûment pris en compte. »

Cette recommandation est déjà ancienne (1997), a fait l’objet de modifications et surtout elle ne porte ni sur la directive 95/46 de l’époque, ni sur le RGPD : le Conseil de l’Europe ne doit en effet pas être confondu avec l’Union européenne. Le Conseil de l’Europe a adopté un certain nombre de textes relatifs à la protection des données à caractère personnel, et c’est sur ces textes que le Conseil des ministres des pays membres du Conseil de l’Europe émet des recommandations, et non sur les textes de droit communautaire.

Plus directement pertinent pour le RGPD est l’avis 4/2007 du groupe 29 (prédécesseur du CEPD, qui remplissait des fonctions analogues sous l’empire de la directive 95/46) sur le concept de données à caractère personnel. On y lit que :

« L’applicabilité des règles de protection des données avant la naissance dépend de l’orientation générale adoptée dans les ordres juridiques nationaux à propos de la protection des enfants à naître. Pour tenir essentiellement compte des droits de succession, certains États membres reconnaissent le principe selon lequel les enfants conçus mais pas encore nés sont considérés comme s’ils étaient nés s’agissant de certains droits (ils peuvent par exemple hériter ou accepter une donation), sous réserve qu’ils naissent effectivement. Dans d’autres États membres, ils bénéficient d’une protection spécifique régie par des dispositions légales particulières, également subordonnée à la même condition. Afin de déterminer si les dispositions nationales de protection des données protègent également les informations concernant les enfants à naître, il convient de considérer l’approche générale de l’ordre juridique national, tout en gardant à l’esprit que la finalité des règles de protection des données est de protéger la personne physique.

Une deuxième question réside dans le fait que l’attitude générale de l’ordre juridique se fonde sur le principe selon lequel la situation des enfants à naître est limitée dans le temps à la durée de la grossesse. Le fait que cette situation puisse, en réalité, se prolonger bien au-delà, comme dans le cas d’embryons congelés, n’est pas pris en compte. Enfin, il arrive que des solutions juridiques spécifiques soient prévues en particulier dans les dispositions régissant les techniques de reproduction, qui traitent de l’utilisation des informations médicales ou génétiques sur les embryons. »

Partant de là, la décision s’enferme dans un débat sur le fœtus en tant que sujet de droit, pour conclure que : « En consacrant une protection ciblée de l’enfant à naitre dans certains contextes lorsqu’il en va de son intérêt et sous condition que celui-ci naisse vivant et viable, la Chambre Contentieuse considère que le législateur belge développe une approche protective de l’enfant à naitre dans le contexte en question ».

Il en découle, selon la décision, que « l’enfant dispose d’un intérêt à agir. »

La chambre contentieuse se renforce dans son raisonnement en relevant le caractère inextricablement lié des données du fœtus et celles de la mère. Ne s’agit-il pas, au bout du compte, des côtés pile et face de la même pièce ?

Le raisonnement est surprenant parce qu’au départ d’une recommandation du Conseil de l’Europe sans rapport avec la directive 95/46 ou le RGPD, ainsi que sur la base d’un contexte juridique belgo-belge, la décision procède à « une lecture téléologique du champ d’application du RGPD ». Or, il ne saurait être question d’interpréter un règlement européen en partant d’une disposition ou d’un contexte juridique national.

En toute logique, la chambre contentieuse aurait dû trancher sur la seule base du RGPD et de la loi en matière de protection des données personnelles, puisque sa compétence est limitée à cela. C’est ce que nous allons tenter de faire ci-après.

Deux questions en une.

La question du fœtus par rapport au RGPD pose deux questions, qui se recoupent :

  1. Premièrement, une information relative à un fœtus est-elle une donnée à caractère personnel par rapport au fœtus lui-même (indépendamment des parents) ?
  2. Deuxièmement, si l’on a répondu positivement à la première question, un fœtus est-il investi des droits que le RGPD reconnait à la personne concernée ?

Rappel : les personnes décédées

Le considérant 27 est clair : « Le présent règlement ne s’applique pas aux données à caractère personnel des personnes décédées. Les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées. »

Une récente décision de l’autorité autrichienne illustre le problème : un homme était malheureusement décédé dans le cadre d’une hospitalisation et sa fille demandait accès au dossier médical, ce que l’hôpital a refusé au motif que son papa avait désigné une autre personne qu’elle en tant que personne de confiance. L’autorité de protection des données a estimé que la fille d’un patient décédé ne peut pas demander à un hôpital l’accès, sur la base de l’article 15 du RGPD, à la cause du décès de son père, dès lors que ces informations concernent son père et que le droit d’accès est strictement personnel.

Les praticiens du droit à l’image sont habitués à cette question. Le droit l’image est, à l’instar de la protection des données à caractère personnel, rattaché aux droits de la personnalité. Or, les droits de la personnalité sont intransmissibles. Comme le résume avec élégance Marc Isgour : « Pas plus qu’il n’y a de vie privée sans vie, il n’y a de droit à l’image pour une dépouille mortelle. (M. Isgour, Le droit à l’image, 2e éd., Larcier, 2014, p.116). La Cour de cassation opine : « le droit d’agir pour le respect de la vie privée ou de l’image s’éteint au décès de la personne concernée, seule titulaire de ce droit ». Cela ne signifie pas que l’on peut impunément dire et écrire n’importe quoi au sujet d’une personne décédée, sans craindre de représailles : celles-ci pourraient venir des héritiers, des ayants droits, ou de tout autre personne, mais à la condition que le demandeur démontre un préjudice personnel, et que sa demande n’apparaisse donc pas comme étant l’exercice camouflé du droit à l’image de la personne décédée.

Une information relative à un fœtus est-elle une donnée à caractère personnel par rapport au fœtus lui-même (indépendamment des parents) ?

C’est, nous semble-t-il, à partir des notions de « personne physique » et de « donnée à caractère personnel » qu’il faut raisonner.

La « donnée à caractère personnel » est définie à l’article 4.1 RGPD comme étant « toute information se rapportant à une personne physique identifiée ou identifiable (la « personne concernée ») ».

La donnée peut être « toute information ».  A cet égard, la Cour de justice de l’Union européenne a jugé déjà que « l’emploi de l’expression toute information reflète l’objectif du législateur de l’Union d’attribuer un sens large à cette notion, laquelle englobe potentiellement toute sorte d’informations, tant objectives que subjectives, sous forme d’avis ou d’appréciations, à condition que celles-ci « concernent » la personne en cause » (arrêts du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, point 23 et jurisprudence citée ; du 7 mars 2024, OC/Commission, C‑479/22 P, point 45, ainsi que du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, point 130).

Soit, mais à partir de quand une information « concerne-t-elle une personne physique » ?

La CJUE a répondu à cette question : une information concerne une personne physique identifiée ou identifiable lorsque, « en raison de son contenu, sa finalité ou son effet, elle est liée à une personne identifiable »  (arrêts du 20 décembre 2017, Nowak, C‑434/16, point 35 ; du 7 mars 2024, OC/Commission, C‑479/22 P, point 45, et du 7 mars 2024, IAB Europe, C‑604/22, point 37 et jurisprudence citée).

Dès lors, la question peut être reformulée : un fœtus (par hypothèse identifié ou identifiable, comme ce sera la plupart du temps le cas) est-il, au sens de la jurisprudence Novak, OC et IAB une « personne » à laquelle des données, de toute nature, peuvent être liées ?

La question est importante en ce sens que – la décision commentée l’illustre bien – c’est uniquement à ce prix-là qu’on peut imaginer isoler la situation du fœtus par rapport à celle de ses parents. Bien sûr que les données du fœtus peuvent aussi concerner ses parents, ne fût-ce que sur la filiation. Mais au-delà de ce lien (qui n’est pas propre au fœtus et demeure après la naissance), la question se prolonge : une donnée qui porte sur le fœtus concerne-t-elle une « personne » (le fœtus) indépendamment des autres personnes aussi concernées (les parents) ?

Le fœtus peut-il être une « personne » au sens du RGPD ?

La réponse n’est pas claire.

Différentes choses sont à prendre en compte :

1) Si le législateur européen a pris la peine d’utiliser le terme « personne » plutôt qu’une notion juridique comme la « personnalité juridique », il est défendable de soutenir qu’il a voulu refuser de s’enfermer dans un débat juridique pour privilégier une approche concrète.

2) Le considérant 27 indique clairement que le législateur s’est posé la question de la fin de vie. On peut supposer que s’il avait voulu retenir l’idée d’une « avant-vie » pour exclure les données relatives au fœtus, il l’aurait fait.

3) A cela s’ajoute une différence objective entre l’avant-vie et l’après-vie. Le fœtus (le stade du développement humain à partir de la huitième semaine de grossesse jusqu’à la naissance) est à tout le moins destiné à devenir une personne concernée au sens du RGPD et, fort heureusement, dans l’immense majorité des cas, il le deviendra effectivement. Il en découle que l’enfant, une fois né, peut avoir un intérêt à protéger des informations qui sont relatives à la période pendant laquelle il était encore un fœtus. La personne décédée, quant à elle, cesse définitivement et irrévocablement d’être une « personne » au sens du RGPD. La situation est donc objectivement différente.

4) Du tiret précédent découle une autre difficulté : si l’on nie au fœtus la qualité de personne au sens du règlement parce qu’il n’est pas encore né, cela implique, pour protéger les données qui concernent l’enfant né mais sont relatives à la période antérieure à sa naissance (filiation, PMA, santé, prédispositions génétiques, etc.), de passer par des mécanismes complexes. On peut par exemple imaginer que la donnée devienne personnelle au moment de la naissance, mais avec un effet rétroactif. Le règlement le permet-il ? Autre question : cela impliquerait de trouver un mécanisme qui protège la donnée, de façon effective, par rapport aux traitements réalisés avant que la condition liée à la naissance se réalise. Pas simple …

5) La décision de l’APD aborde cette complexité et l’illustre au travers de la relation fœtus/parents : indépendamment du statut du fœtus, les informations, notamment médicales, relatives au fœtus, concernent le plus souvent aussi le père et la mère. Ceux-ci peuvent donc, à ce titre, jouer un rôle dans la protection des informations relatives au fœtus. Mais la décision montre aussi que cette manière indirecte d’aborder les choses est largement insatisfaisante.

6) Enfin, il devrait être possible de régler la question du fœtus au sens du RGPD sans troubler les droits nationaux ou interférer avec les domaines non-harmonisés dans lesquels la question du fœtus intervient, par exemple la procréation assistée ou l’interruption de grossesse. En effet, les notions de « personne » et de « donnée à caractère personnel », au sens du règlement, sont autonomes.

Un fœtus peut-il être investi des droits que le RGPD reconnait à la personne concernée ?

Si l’on considère que les données relatives au fœtus concernent une « personne physique » (par hypothèse identifiable), et qu’elles sont dès lors des données à caractère personnel à son égard, qui peut agir ?

Dans l’affaire ayant donné lieu à la décision commentée, le problème se posait différemment car la plainte a été déposée après la naissance. Cette hypothèse ne semble guère soulever de difficulté majeure. En leur qualité de tuteurs légaux, les parents peuvent agir au nom de leur enfant, même en très bas âge.

On pourrait toutefois imaginer des situations plus exceptionnelles. Exemple : en cas de faille de sécurité, si les données du fœtus se retrouvent sur Internet, qu’est-ce qui empêche un praticien imaginatif d’exercer une action sans attendre la naissance ? Il faut en effet être logique : si l’on se pose la question, c’est qu’on a répondu affirmativement à la première question et qu’on considère que les données du fœtus sont, par rapport au fœtus (et donc indépendamment des données personnelles des parents), des données qui le concernent et sont dès lors à caractère personnel. Elles doivent donc être protégées comme les autres et, si une faille de sécurité survient, les mêmes règles doivent s’appliquer, en ce compris les droits reconnus à la personne concernée.

De façon plus générale, qui est l’interlocuteur du responsable de traitement si le foetus est une personne au sens du RGPD ? A qui adresser les informations requises ? A qui notifier la faille de sécurité ? Comment prendre en compte les attentes légitimes d’un foetus ? Comment receuillir son consentement ? La liste des question est longue …

Le débat est extrêmement complexe et loin d’être tranché.

Tout au plus relèverons nous que la personne concernée est une notion qui devrait recevoir une portée identique dans l’ensemble de l’Union, indépendamment des systèmes juridiques nationaux qui peuvent, ou non, reconnaître des droits à l’enfant à naître.

Quand on vous disait que l’affaire commentée est intéressante … La décision de la chambre contentieuse a été soumise à la Cour des marchés. Le débat n’est donc pas clos et il ne serait pas étonnant que le dossier connaisse un petit détour par le Luxembourg où siège la Cour de justice.

Droit & Technologies

Annexes

Décision de la chambre contentieuse

file_download Télécharger l'annexe

Publié dans

Thèmes
Tags ###

Auteurs

Etienne Wery

 Suivez-moi sur LinkedIn

Lui écrire Ses 1361 contributions

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK