Conseil 20204502 Séance du 10/12/2020

La commission d'accès aux documents administratifs a examiné dans sa séance du 10 décembre 2020 votre demande de conseil relative au caractère communicable des analyses d’impact relatives à la protection des données (AIPD) élaborées par une personne privée n’exerçant pas de mission de service public. La commission rappelle que l’article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement général pour la protection des données (RGPD) prévoit l’obligation pour un responsable de traitement d’effectuer, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel, « lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». L’article 36 du même règlement définit les cas dans lesquels le responsable du traitement est tenu de consulter l’autorité de contrôle et de lui transmettre l’analyse effectuée. L’article 90 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dispose, pour sa part, que : « Si le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu'il porte sur des données mentionnées au I de l'article 6, (données sensibles) le responsable de traitement effectue une analyse d'impact relative à la protection des données à caractère personnel. / Si le traitement est mis en œuvre pour le compte de l’État, cette analyse d'impact est adressée à la Commission nationale de l'informatique et des libertés avec la demande d'avis prévue à l'article 33. / Dans les autres cas, le responsable de traitement ou son sous-traitant consulte la Commission nationale de l'informatique et des libertés préalablement à la mise en œuvre du traitement de données à caractère personnel, qui se prononce également dans les délais prévus à l'article 34 : / 1° Soit lorsque l'analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque ; / 2° Soit lorsque le type de traitement, en particulier en raison de l'utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées. » La commission a déduit de ces dispositions qu’une analyse d’impact relative à la protection des données, portant sur un traitement mis en œuvre par ou pour le compte de l’une des personnes visées à l’article L300-2 du code des relations entre le public et l’administration, constituait un document administratif au sens de cet article, communicable par cette autorité administrative à toute personne qui en fait la demande sur le fondement du code des relations entre le public et l’administration en application de l’article L311-1 du code des relations entre le public et l’administration, sous les réserves prévues par les articles L311-5 et L311-6 du même code (avis 20183041 du 8 novembre 2018). En l'espèce, la demande porte sur les études d'impact élaborées par des personnes qui ne sont pas soumises au droit d'accès aux documents administratifs défini par le livre III du code des relations entre le public et l'administration et qui ont été transmises à la CNIL dans le cadre des dispositions précitées de l'article 90 de la loi du 17 janvier 1978 ou à titre de simple conseil en dehors de toute obligation légale, voire dans le cadre d'une mission de contrôle. La Commission rappelle, en premier lieu, qu'aux termes de l'article L300-2 du code des relations entre le public et l'administration, « sont considérés comme documents administratifs, au sens des titres Ier, III et IV du présent livre, quels que soient leur date, leur lieu de conservation, leur forme et leur support, les documents produits ou reçus, dans le cadre de leur mission de service public, par l’État, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une telle mission. (...) » et qu'aux termes de l'article L311-2 du même code, « Sous réserve des dispositions des articles L311-5 et L311-6, les administrations mentionnées à l'article L300-2 sont tenues de publier en ligne ou de communiquer les documents administratifs qu'elles détiennent aux personnes qui en font la demande, dans les conditions prévues par le présent livre. » Il résulte de ces dispositions que les études d'impact relatives à la protection des données reçues par la CNIL, autorité administrative indépendante, dans le cadre de ses missions de service public, quel que soit le fondement de cette transmission, constituent des documents administratifs relevant, en l'absence de disposition particulière contraire, du droit d'accès aux documents administratifs garanti par le livre III du code des relations entre le public et l'administration. La commission estime en outre que ces études, dès lors qu'elles sont transmises à la CNIL par leur auteur, ne revêtent pas le caractère de document inachevé au sens du premier alinéa de l'article L311-2 du code des relations entre le public et l'administration, alors même qu'elles sont susceptibles d'être modifiées par leur auteur pour tenir compte, le cas échéant, de l'avis exprimé par l'autorité de régulation. La commission souligne que la CNIL ne peut ainsi être saisie que de demandes portant sur les études dans le dernier état dont elle a été saisie à la date de la demande, qui ne présentent plus de caractère préparatoire une fois qu'elle s'est prononcée. En second lieu, la commission rappelle que les études d'impact relatives à la protection des données sont communicables à toute personne qui en fait la demande sur le fondement du code des relations entre le public et l’administration en application de l’article L311-1 du CRPA, sous les réserves prévues par les articles L311-5 et L311-6 du code des relations entre le public et l’administration. La commission estime que si l'existence même d'une étude d'impact ne relève pas du secret des affaires dès lors que l'existence d'un tel document indique seulement la volonté de mise en œuvre d’un traitement de données à caractère personnel susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques plus qu'elle ne révèle, en elle-même, un projet d'une entreprise déterminée, le contenu de cette étude est en partie couvert par le secret des affaires. Elle rappelle que pour être protégée par ce secret, qui comprend le secret des procédés, des informations économiques et financières et des stratégies commerciales ou industrielles, une information ne doit pas être généralement connue des personnes appartenant aux milieux qui s'occupent normalement du genre d'informations, ou ne leur être aisément accessible et avoir une valeur commerciale effective ou potentielle de ce fait. L’information doit en outre avoir fait l’objet de mesures de protection mises en place par le détenteur légitime de ces informations, même si en l'état de sa doctrine, la commission estime que ce critère doit être regardé comme rempli lorsque les deux critères précédents sont satisfaits (Voir avis 20183478 du 21 mars 2019 et conseil 20190911 du 5 septembre 2019). Devraient ainsi relever de ce secret, les partenariats noués pour le développement du projet qui consistent généralement en des systèmes et services innovants, l’architecture et le flux du traitement des données ainsi que certains éléments de la description détaillée du traitement. L’étude des risques liés au respect des principes fondamentaux du RGPD ne devrait, en principe, pas en relever, à la différence des mesures de protection des données qui font partie intégrante du processus technique et organisationnel retenu par le responsable de traitement pour la mise en œuvre de son traitement dans le respect du RGPD, ce qui relève de son savoir-faire propre et donc du secret des procédés. La commission précise qu'il ne lui apparaît pas que même avec l'occultation de l'ensemble de ces mentions, la communication serait dépourvue d'intérêt. En troisième et dernier lieu, la commission précise que l’article L311-4 du code des relations entre le public et l'administration dispose que « les documents administratifs sont communiqués ou publiés sous réserve des droits de propriété littéraire et artistique ». Il résulte de ces dispositions, telles qu'interprétées par le Conseil d’État, qu'avant de procéder à la communication de documents administratifs grevés de droits d’auteur n'ayant pas déjà fait l'objet d'une divulgation au sens de l'article L121-2 du code de la propriété intellectuelle, il appartient à l'administration saisie de recueillir l'accord de leur auteur (CE, 8 novembre 2017, Association spirituelle de l’Église de scientologie, n° 375704).