swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Collecte et conservation des données relatives aux pratiques sexuelles d’un donneur de sang potentiel en violation de la CEDH

Samah Posse, le 10 mars 2023
Les données reflé­tant l’orientation sexuelle, collec­tées et conser­vées dans un but de sécu­rité trans­fu­sion­nelle doivent être exactes, mises à jour, adéquates, perti­nentes et non exces­sives par rapport aux fina­li­tés du trai­te­ment. Leur durée de conser­va­tion ne doit pas excé­der celle qui est nécessaire.

CourEDH, Drelon c. France, 08 septembre 2022, n°3153/16 et 27758/​18

Faits

Le requé­rant, un ressor­tis­sant fran­çais rési­dant à Paris, se présente le 16 novembre 2004 dans un site de collecte de sang de l’Établissement fran­çais du sang (ÉFS) en vue d’effectuer un don de sang. Dans le cadre d’un entre­tien médi­cal préa­lable, il refuse de répondre à la ques­tion de savoir s’il avait déjà eu un rapport sexuel avec un homme. Partant, sa candi­da­ture en tant que donneur de sang est reje­tée et ses données person­nelles (iden­tité et coor­don­nées) sont saisies dans un fichier infor­ma­tique réfé­rencé sous le code « FR08 » dési­gnant une contre-indi­ca­tion au don de sang excluant les hommes ayant eu un rapport sexuel avec un homme.

Respectivement les 9 août 2006 et 26 mai 2016, il renou­velle sa démarche et se voit à chaque fois oppo­ser un refus. Son initia­tive du 26 mai 2016 est reje­tée malgré la présen­ta­tion d’analyses biolo­giques datées des 15 mars et 3 mai 2016 attes­tant de sa séro­né­ga­ti­vité au VIH‑1, au VIH‑2 et au VHC. Le méde­cin qui le reçoit se contente de rele­ver le rejet des précé­dentes candi­da­tures du requé­rant au don de sang en raison de ses pratiques homo­sexuelles supposées.

Le requé­rant dépose une plainte pour discri­mi­na­tion qui abou­tit à un non-lieu et ses diffé­rents recours dans ce cadre sont égale­ment reje­tés. Partant, il saisit la Cour euro­péenne des droits de l’homme (CourEDH). Il fait valoir que la collecte et la conser­va­tion par l’ÉFS de données person­nelles reflé­tant son orien­ta­tion sexuelle suppo­sée porte atteinte d’une part, à son droit au respect de la vie privée (viola­tion de l’art. 8 CEDH) (requête no 3153/​16) et, d’autre part, consti­tue une discri­mi­na­tion fondée sur l’orientation sexuelle dans le trai­te­ment de ses données (viola­tion de l’art. 8 CEDH en combi­nai­son avec l’art. 14 CEDH) (requête no 27758/​18).

La CourEDH déclare irre­ce­vable le grief tiré de la viola­tion de l’art. 8 CEDH en combi­nai­son avec l’art. 14 CEDH en tant qu’il est tardif et limite son examen à l’atteinte au respect de la vie privée sous l’angle de l’art. 8 CEDH.

Légitimité du but poursuivi

Dans la mesure où elles comportent des indi­ca­tions expli­cites sur la vie sexuelle et sur l’orientation sexuelle suppo­sée du requé­rant, les données liti­gieuses consti­tuent une ingé­rence dans sa vie privée. Une telle ingé­rence peut être admise si elle est « prévue par la loi » et consti­tue une mesure « néces­saire » « dans une société démo­cra­tique » au sens de l’art. 8 al. 2 CEDH. En l’occurrence, la mesure repose sur l’art. 8 par. 2 ch. 6 de la Loi fran­çaise du 6 janvier 1978 rela­tive à l’informatique, aux fichiers et aux liber­tés, qui dans sa version appli­cable au litige prévoit une excep­tion, dans le domaine médi­cal, à l’interdiction de collec­ter et de trai­ter des données rela­tives à la santé ou à la vie sexuelle des personnes en cas de néces­sité pour la « gestion de services de santé ».

Cette dispo­si­tion confère aux auto­ri­tés internes un pouvoir d’appréciation s’agissant de la créa­tion de tels fichiers. La CourEDH rappelle sa juris­pru­dence rela­tive aux prin­cipes appli­cables à l’examen de la néces­sité de la collecte et de la conser­va­tion de données à carac­tère person­nel (S. et Marper c. Royaume-Uni [GC], 4 décembre 2008, n°30562/04 et 30566/​04). Elle relève que, dans le cas d’espèce, la collecte et la conser­va­tion de données person­nelles sensibles sont fondées sur « des motifs perti­nents et suffi­sants » de sécu­rité transfusionnelle.

Selon l’analyse de la CourEDH, si la collecte et la conser­va­tion de données person­nelles rela­tives aux résul­tats des procé­dures de sélec­tion des candi­dats au don du sang contri­buent à garan­tir la sécu­rité trans­fu­sion­nelle, il est d’autant plus impor­tant que les données sensibles concer­nées par ce trai­te­ment répondent aux exigences de l’art. 5 STCE n°108. En ce sens, elles doivent être exactes, mises à jour, adéquates, perti­nentes et non exces­sives par rapport aux fina­li­tés pour­sui­vies, et leur durée de conser­va­tion ne doit pas excé­der ce qui est nécessaire.

Exactitude des données

L’exactitude des données person­nelles doit être appré­ciée au regard de la fina­lité pour laquelle les données en ques­tion ont été collec­tées. Or, la CourEDH constate que dans le cas d’espèce, l’exclusion du requé­rant du don de sang sur la base de la loi impo­sant une contre-indi­ca­tion des hommes ayant eu un rapport sexuel avec un homme repo­sait unique­ment sur le refus du requé­rant, lors de l’entretien médi­cal préa­lable au don, de répondre à des ques­tions rela­tives à ses pratiques sexuelles, alors qu’aucun élément soumis à l’appréciation du méde­cin ne permet­tait de tirer une telle conclu­sion sur ses pratiques sexuelles.

Elle a jugé que les données person­nelles de l’intéressé collec­tées par l’EFS se fondaient sur « de simples spécu­la­tions » et étaient dépour­vues de « base factuelle ». En ce qui concerne la sécu­rité trans­fu­sion­nelle, elle a estimé qu’il aurait suffi de garder une traça­bi­lité du refus de la candi­da­ture au don du sang.

Limitation de la durée de la conser­va­tion des données – mini­mi­sa­tion des données

Enfin, la CourEDH souligne le carac­tère exces­sif de la durée de conser­va­tion des données liti­gieuses dans la mesure où à l’époque des faits, l’outil infor­ma­tique utilisé par l’ÉFS pour leur trai­te­ment prévoyait la collecte des données person­nelles liti­gieuses et leur conser­va­tion jusqu’en 2278 ce qui a donné lieu à leur utili­sa­tion répé­tée, de manière à exclure auto­ma­ti­que­ment le requé­rant du don de sang, et ce près de 12 ans après leur collecte.

À l’issue de son examen, la CourEDH conclut, à l’unanimité, à une atteinte au droit au respect de la vie privée en viola­tion de l’art. 8 CEDH en raison de la collecte et de la conser­va­tion des données person­nelles litigieuses.

Cet arrêt phare rappelle les garan­ties parti­cu­lières à mettre en place dans le cadre des trai­te­ments de données sensibles, autre­ment dit rele­vant de « caté­go­ries parti­cu­lières de données » au sens des art. 6 STCE n°108 et 9 RGPD), telles que les données rela­tives à l’orientation sexuelle et à la santé dans un envi­ron­ne­ment de plus en plus numé­risé et sujet à la cyber­cri­mi­na­lité. Dans ce cadre, l’examen de la propor­tion­na­lité joue un rôle impor­tant, en parti­cu­lier lorsque l’ingérence est fondée sur une base légale suffi­sante. À notre sens, l’appréciation devrait être effec­tuée en rela­tion avec les impé­ra­tifs liés au prin­cipe de la sécu­rité des données.



Proposition de citation : Samah Posse, Collecte et conservation des données relatives aux pratiques sexuelles d’un donneur de sang potentiel en violation de la CEDH, 10 mars 2023 in www.swissprivacy.law/207


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Protection des données et archivage: la fin de la quadrature du cercle ?
  • Le RGPD s’oppose-t-il à l’obligation de publier sur Internet une déclaration d’intérêts afin de lutter contre…
  • L’administration publique responsable dans l’utilisation de services en nuage
  • La CNIL rappelle à l’ordre concernant le fichier automatisé des empreintes digitales (FAED)
Derniers articles
  • Contenu de l’information sur le licenciement d’un employé à l’interne
  • L’administration publique responsable dans l’utilisation de services en nuage
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Abonnement à notre newsletter
swissprivacy.law