Le responsable de traitement est une société privée qui fournit des services d’assurance maladie. La personne concernée est l’un de ses clients.

En vertu du contrat d’assurance, le responsable de traitement pouvait ajuster les primes d’assurance, ce qu’elle a fait. La personne concernée a alors demandé au responsable de traitement des informations et des documents sur les augmentations passées des cotisations depuis 2011. Le responsable de traitement a refusé cette demande.

Par la suite, la personne concernée a engagé une procédure judiciaire. Elle a fait valoir que même si elle disposait d’un exposé des motifs, soit un document fourni par le responsable de traitement qui exposait les raisons des augmentations de cotisations, elle avait perdu les certificats d’assurance et les documents d’accompagnement des années 2011 à 2020. Or ces informations étaient nécessaires pour calculer si la nouvelle augmentation des primes d’assurance était légitime. La personne concernée a fondé son droit à recevoir des informations, entre autres, sur l’article 15 du RGPD.

L’Oberlandesgericht de Karlsruhe, dans une décision 12 U 305/21 du 16.12.2022, confirme que le droit d’accès de la personne concernée doit être rejeté sous l’angle de l’art. 15 RGPD.

La cour d’appel a confirmé la décision de la juridiction inférieure en déclarant que la demande d’accès concernée ne peut être soutenue par l’article 15 RGPD.

Elle a tout d’abord souligné que, conformément à cette disposition, les responsables de traitement doivent fournir à une personne concernée les données à caractère personnel qu’ils traitent. Le droit de la personne concernée de recevoir des informations a pour but de prendre connaissance du traitement des données et de vérifier sa licéité.

Dans le cas d’espèce, l’utilisation de l’art. 15 RGPD constituait un abus de droit. En effet, l’art. 15 RGPD a pour but de permettre aux personnes concernées d’obtenir une vue d’ensemble des données à caractère personnel traitées par un responsable du traitement et d’évaluer si le traitement est légal. Cependant, dans ce dossier, la demande d’accès de la personne concernée n’était pas fondée sur des objectifs de protection des données ni sur aucun autre objectif légitime. Selon les propres observations du plaignant, il disposait déjà d’un exposé des motifs du responsable du traitement donnant les raisons des augmentations des primes d’assurance. Comme cela suffisait pour examiner la légalité des ajustements de primes, la personne concernée n’avait pas besoin des documents demandés

(OLG Karlsruhe – 12 U 305/21 : http://lrbw.juris.de/cgi-bin/laender_rechtsprechung/document.py?Gericht=bw&GerichtAuswahl=Oberlandesgerichte&Art=en&Datum=2022-11&nr=38411&pos=0&anz=7; présenté et traduit : https://gdprhub.eu/index.php?title=OLG_Karlsruhe_-_12_U_305/21&mtc=today)

[NB : le raisonnement est transposable en droit suisse ; l’art. 25 al. 2 nLPD – qui entrera en vigueur le 01.09.2023, prévoit que « (…) la personne concernée reçoit les informations nécessaires pour qu’elle puisse faire valoir ses droits selon la présente loi et pour que la transparence du traitement soit garantie. » La jurisprudence a déjà anticipé le nouveau droit en limitant la portée du droit d’accès dans les litiges du travail: https://droitdutravailensuisse.com/2021/01/10/le-droit-dacces-du-travailleur-a-ses-donnees-principes-et-abus/]

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)