Demande d’accès aux données de santé : De l’importance de disposer d’une procédure interne adaptée

Article rédigé le 16 juillet 2025 par Me Raphaël Cavan

La Lituanie nous offre aujourd’hui des éclairages intéressants sur les modalités de traitement d’une demande d’exercice du droit d’accès aux données à caractère personnel prévu par l’article 12 du RGPD.

Dans le cadre d’un contrôle réalisé par l’autorité de contrôle lituanienne auprès d’un laboratoire de biologie réalisant des tests médicaux, le gendarme de la donnée lituanienne a pu constater plusieurs manquements relatifs à la gestion des demandes d’accès des personnes concernées qu’il réceptionnait.

En effet, l’autorité de contrôle a relevé que le laboratoire n’avait pas défini de durée de conservation particulière pour les documents liés au processus d’exercice d’une demande d’accès. Il faut comprendre par là les éventuelles copies de pièces d’identités justificatives demandées aux personnes concernées à la base d’une demande en cas de doute sur leur identité.

À ce titre, l’autorité a relevé un manquement à l’article 24.1 du RGPD qui prévoit que le responsable du traitement doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément aux exigences posées par le RGPD.

Fondement intéressant, qui n’aurait peut-être pas été le même du côté de la Commission Nationale de l’Informatique et des Libertés (CNIL) en France, laquelle est plus habituée pour mobiliser les articles 5.1.c (principe de minimisation des données) et 32 du RGPD (mise en œuvre de mesures techniques et organisationnelles adaptées au niveau de risque inhérent aux données traitées) dans ce genre de situation.

Par ailleurs, l’autorité lituanienne a également relevé l’absence d’information relative au délai de traitement de la demande par le laboratoire lorsque celui-ci accuse bonne réception de celle-ci auprès de la personne concernée.

En effet, sur le fondement de l’article 12.3 du RGPD, le responsable de traitement doit « fournir à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande ».

L’autorité semble interpréter strictement cette disposition en relevant une forme d’obligation de notifier à la personne le délai de traitement de la demande réceptionnée, bien que cette interprétation s’inscrive dans la logique de transparence inhérente à l’exercice des droits des personnes prévues par RGPD.

Pour rappel le délai de traitement d’une demande RGPD est d’un mois comme le prévoit l’article 12.3 du RGPD mais peut varier selon la nature et la complexité des données concernées par la demande.

Lorsque la demande est considéré « complexe », notamment en raison du nombre de données concernées ou encore du nombre de ETP à mobiliser par le responsable de traitement pour traiter la demande, celle-ci pourra être prolongée de deux mois (article 12.3 du RGPD).

De même, lorsque la demande porte sur des données de santé, le code de la santé publique prévoit un délai spécial de 8 jours à compter de la réception de la demande (article L.1111-7 du Code de la santé publique).

Ainsi, ce n’est pas le tout d’avoir une procédure interne pour gérer une demande d’exercice des droits, encore faut-il que chaque étape de la relation avec la personne concernée soit également encadrée au niveau des informations qui vont lui être adressées tout au long du traitement de sa demande. Et vous, êtes-vous au point sur vos process ?

Geros savaitės (Bonne semaine en lituanien) !