Article 90 Obligations de secret

Champ d'application de l'obligation de secret

L'article 90 vise les responsables de traitement et les sous-traitants soumis à une obligation de secret professionnel en vertu du droit de l'Union, du droit national, ou de règles déontologiques établies par des organismes professionnels compétents. Cette définition large couvre l'ensemble des situations dans lesquelles une obligation de confidentialité s'impose pour des raisons d'intérêt général ou de protection des personnes.

Sont notamment concernés les professionnels de santé (médecins, infirmiers, pharmaciens, psychologues), soumis au secret médical ; les professionnels du droit (avocats, notaires, huissiers), tenus au secret professionnel pour protéger les intérêts de leurs clients ; les experts-comptables et commissaires aux comptes, soumis à une obligation de discrétion professionnelle ; et les ministres du culte, liés par le secret de la confession dans certaines religions.

L'obligation de secret peut résulter de différentes sources : une disposition législative expresse, comme pour les professions de santé ; une règle déontologique établie par un ordre professionnel, comme pour les avocats ; ou une obligation contractuelle, dans certains cas spécifiques. L'article 90 s'applique quelle que soit la source de l'obligation, dès lors qu'elle est reconnue par le droit de l'Union ou le droit national.

Limitation des pouvoirs des autorités de contrôle

L'article 90 permet aux États membres d'adopter des règles spécifiques limitant certains pouvoirs des autorités de contrôle à l'égard des professionnels soumis au secret. Plus précisément, il vise les pouvoirs d'enquête prévus à l'article 58, paragraphe 1, points e) et f), c'est-à-dire le pouvoir d'obtenir du responsable de traitement et du sous-traitant l'accès à toutes les données personnelles, et le pouvoir d'accéder à tous les locaux du responsable de traitement et du sous-traitant.

Ces limitations visent à éviter que l'exercice des pouvoirs de contrôle ne conduise à la violation du secret professionnel. Par exemple, une autorité de contrôle ne devrait généralement pas pouvoir accéder au contenu des dossiers médicaux dans le cadre d'un contrôle chez un médecin, ni consulter les correspondances entre un avocat et son client lors d'une inspection dans un cabinet d'avocats.

Toutefois, ces limitations doivent être strictement nécessaires et proportionnées pour concilier le droit à la protection des données et l'obligation de secret. Les États membres ne peuvent prévoir une exemption totale et générale de tout contrôle, car cela viderait de sa substance le système de contrôle institué par le RGPD. Ils doivent trouver des modalités de contrôle respectueuses du secret professionnel, par exemple en permettant le contrôle des aspects techniques et organisationnels du traitement sans accès au contenu des données couvertes par le secret.

Conciliation entre secret professionnel et protection des données

L'article 90 impose aux États membres de concilier le droit à la protection des données et l'obligation de secret professionnel. Cette conciliation ne doit pas conduire à sacrifier l'un de ces deux droits au profit de l'autre, mais à trouver un équilibre permettant de préserver l'essentiel de chacun.

Dans la pratique, cette conciliation peut s'opérer de plusieurs manières. Les États membres peuvent prévoir des modalités spécifiques de contrôle pour les professionnels soumis au secret, par exemple en limitant l'accès des agents de l'autorité de contrôle aux seules données techniques et organisationnelles, sans consultation du contenu des informations couvertes par le secret. Ils peuvent également prévoir l'intervention d'un tiers de confiance, lui-même soumis au secret, pour vérifier la conformité du traitement.

Les autorités de contrôle doivent adapter leurs méthodes de contrôle lorsqu'elles interviennent auprès de professionnels soumis au secret. Elles doivent s'abstenir de demander la communication d'informations couvertes par le secret professionnel, sauf si cela est absolument nécessaire et qu'aucune autre modalité de contrôle n'est possible. Elles doivent également garantir que leurs propres agents respectent la confidentialité des informations dont ils auraient exceptionnellement connaissance dans le cadre du contrôle.

Articulation avec les autres dispositions du RGPD

L'article 90 s'articule avec l'article 58, qui définit les pouvoirs des autorités de contrôle. Il constitue une exception aux pouvoirs d'enquête prévus aux points e) et f) du paragraphe 1 de cet article, permettant aux États membres de limiter ces pouvoirs lorsqu'ils entrent en conflit avec le secret professionnel.

Il se combine également avec l'article 9, paragraphe 2, point h), qui autorise le traitement des données de santé lorsqu'il est nécessaire aux fins de la médecine préventive ou du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale. L'article 90 garantit que ces traitements puissent s'effectuer dans le respect du secret médical.

Jurisprudence relative à l'article 90

La jurisprudence de la Cour européenne des droits de l'homme a confirmé l'importance fondamentale du secret professionnel, notamment médical et avocat-client, comme garantie du droit à la vie privée et du droit à un procès équitable. Ces principes restent pleinement applicables dans le contexte du RGPD et guident l'interprétation de l'article 90.

Les autorités de protection des données ont adopté des lignes directrices sur la manière de concilier leurs missions de contrôle avec le respect du secret professionnel. Elles ont notamment développé des méthodologies de contrôle adaptées, privilégiant l'examen des aspects techniques et organisationnels du traitement plutôt que l'accès au contenu des données couvertes par le secret.

Recommandations de la CNIL et du CEPD

La CNIL a publié des recommandations spécifiques pour les professionnels soumis au secret, notamment dans les secteurs de la santé et du droit. Elle rappelle que l'obligation de secret professionnel ne dispense pas ces professionnels de respecter les principes fondamentaux du RGPD en matière de sécurité, de minimisation des données, et de respect des droits des personnes concernées.

Le Comité européen de la protection des données (CEPD) encourage les États membres à adopter une approche harmonisée de la conciliation entre secret professionnel et protection des données. Il recommande de privilégier des modalités de contrôle respectueuses du secret, tout en garantissant l'effectivité de la supervision par les autorités de contrôle.

Implications pratiques pour les professionnels soumis au secret

Les professionnels soumis au secret professionnel doivent être conscients que cette obligation ne les dispense pas de respecter le RGPD. Ils doivent mettre en œuvre toutes les mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données personnelles qu'ils traitent, conformément à l'article 32 du RGPD.

Ces professionnels doivent également respecter les droits des personnes concernées, notamment les droits d'accès, de rectification et d'effacement. Toutefois, l'exercice de ces droits peut être limité lorsqu'il entre en conflit avec l'obligation de secret ou avec d'autres intérêts légitimes protégés par la loi, conformément à l'article 23 du RGPD.

En cas de contrôle par une autorité de protection des données, les professionnels soumis au secret peuvent se prévaloir des limitations prévues par le droit national en application de l'article 90. Ils doivent toutefois coopérer de bonne foi avec l'autorité et faciliter le contrôle des aspects techniques et organisationnels du traitement qui ne sont pas couverts par le secret.