Le décret n° 2011-2023 du 29 décembre 2011 apporte d’importantes modifications des procédures de contrôle et de sanction de la Cnil. Il offre notamment de nouvelles garanties aux organismes faisant l’objet d’un contrôle, organise la procédure applicable devant la formation restreinte de la Cnil et prévoit la publication plus rapide des sanctions prononcées. Certaines dispositions de ce texte viennent sensiblement modifier le cadre de l’accès à des données de santé à caractère personnel en cas de contrôle à l’initiative de la Cnil.

La première disposition concerne l’obligation, issue de l’article 68 du décret n° 2005-1309 en date du 20 octobre 2005, et modifie les modalités de désignation du médecin qui est, au cours du contrôle, seul habilité à requérir la communication des données de santé à caractère personnel.

Alors que le préfet disposait auparavant du pouvoir exclusif de désignation de ce médecin, le directeur Général de l’Agence régionale de santé est maintenant habilité à concurrencer sa compétence.

En outre, alors que jusqu’ici, le médecin désigné devait être un médecin inspecteur de santé publique ou un médecin inspecteur du travail, il peut aujourd’hui s’agir de n’importe quel médecin.

Au vu du nombre croissant des contrôles effectués par la Cnil, ces dispositions sont susceptibles de concerner l’ensemble des acteurs traitant des données de santé à caractère personnel, qu’ils soient établissements de santé, hébergeurs agrées, assurances…

Décret n° 2011-2023 du 29-12-2011