Une décision majeure sur la protection des données médicales. Leur violation par une administration publique constitue une « voie de fait » qui justifie l’intervention du tribunal administratif. Une ordonnance qui date de février, un sujet plus que jamais d’actualité.
Mentionner l’état de santé d’un fonctionnaire dans son attestation de travail est une violation, par l’administration, de ses « données personnelles sensibles ». C’est le postulat d’une décision rendue par le président du tribunal administratif de Rabat.
Prononcée le 11 février 2020, cette ordonnance en référé a été déterrée par Legal Agenda, revue juridique panarabe qui recueille notamment les contributions de magistrats marocains.
En matière de protection des données personnelles, on connait le travail de la CNDP et celui du ministère public, mais celui des magistrats du siège demeure relativement méconnu du grand public. D’où l’importance majeure de cette décision, une des rares faisant l’objet d’une publication.
L’affaire a été initiée par une professeure à la faculté de médecine dentaire de Rabat. Dans sa requête en référé, celle-ci avait reproché à son administration de lui avoir remis une attestation de travail qui mentionne son « absence depuis le 5 mars 2018 pour des raisons de santé ».
Face au juge administratif, la défense de la demanderesse arguera qu’il n’est pas permis de faire cette mention car « portant des données personnelles sensibles » qui doivent « rester secrètes », sachant que l’attestation devait être mise à la disposition de tiers.
A cet argumentaire, l’administration rétorquera que l’attestation « contient des faits véridiques », qu’il n’existe aucune « intention de nuire, de diffamer ou de porter atteinte au données personnelles de la demanderesse ».
Qu’en dit le président du tribunal ? Que « l’obtention d’une attestation de travail est un droit acquis au fonctionnaire public » et que « l’ajout d’une mention indiquant l’état de santé » de la demanderesse, sans l’autorisation de cette dernière est « une atteinte à ses données personnelles sensibles ».
Un constat qui s’explique d’autant plus que l’attestation sera après coup remise à un tiers, ajoute la juridiction administrative. Partant, le président considère cet acte comme « une voie de fait » touchant « un droit établi ». En droit administratif, il s’agit d’une irrégularité manifeste commise par l’administration et portant atteinte à une liberté individuelle. Une qualification lourde de sens, qui implique l’intervention de la Justice pour « faire lever » la voie de fait.
Accédant à la demande de la fonctionnaire, le tribunal ordonnera ainsi à la faculté de médecine dentaire de supprimer les données sensibles de ladite attestation sous peine d’une astreinte journalière de 500 DH pour chaque jour de retard dans l’exécution.
La décision date de février, mais son postulat est plus que jamais d’actualité. Avec la pandémie du coronavirus, la protection des données médicales revient avec insistance dans le débat public. La fuite de données qui a accompagné l’apparition des premiers cas contaminés y est pour quelque chose. Aujourd’hui, c’est l’annonce de la mise en place, par l’Etat, d’une application de traçage des contaminations qui interpelle l’opinion.
La loi 09-08 classe les informations relatives à la santé des citoyens parmi les « données sensibles ». Ce qui induit une protection particulièrement rigoureuse. Leur traitement est subordonné à une autorisation de la loi ou, à défaut, celle de la Commission nationale de contrôle de la protection des données à caractère personnels. Cette deuxième autorisation est extrêmement conditionnées.
La violation des données médicales est passible de sanctions pénales. L’article 57 de la même loi punit « d’un emprisonnement de trois mois à un an et d’une amende de 50.000 à 300.000 DH ou de l’une de ces deux peines seulement, quiconque procède, sans le consentement exprès des personnes intéressées, au traitement des données à caractère personnel qui sont relatives à la santé. »
La loi n° 09-08 définit elle-même son champ d’application (article 2). Ainsi, elle ne s’applique pas « aux données à caractère personnel recueillies et traitées dans l’intérêt de la défense nationale et de la sécurité intérieure ou extérieure de l’Etat. » Elle ne s’applique pas non plus aux données « recueillies en application d’une législation particulière ».
Dans ce deuxième cas, les projets ou propositions de loi portant création de « fichiers » relatifs à ces données doivent être communiqués à la CNDP avec quelques précisions quant à l’autorité responsable du fichier, la ou les finalités du traitement, la ou les catégories de personnes concernées, les tiers auxquels ces données peuvent être communiquées ainsi que « les mesures à prendre pour assurer la sécurité du traitement. »
Auteur : Abdelali El Hourri