Avis 20211754 Séance du 15/04/2021

Maître X, conseil de Madame X, a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 18 février 2021, à la suite du refus opposé par le directeur général des finances publiques à sa demande de communication des documents suivants : 1) les habilitations de Madame X, agent de la Direction nationale d'enquête fiscale (DNEF), ayant consulté les données personnelles (fiscales et bancaires) de sa cliente, les ayant extraites des fichiers informatisés « ADONIS » et « FICOBA » et divulguées notamment auprès de la société X au sein de laquelle sa cliente exerce un mandat d'administrateur délégué en vertu d'une convention de gestion ; 2) les registres de traitement « ADONIS » et « FICOBA » que les responsables de traitements sont tenus de tenir en application de l'article 30 du règlement général sur la protection des données (RGPD) ; 3) les extraits du système de journalisation des bases de données « ADONIS » et « FICOBA » se rapportant à sa cliente. En l'absence de réponse de l'administration à la date de sa séance, la commission estime, en premier lieu, que les actes d'habilitation d'agents de la direction générale des finances publiques d'accéder aux dossiers des contribuables dans le cadre des missions d'assiette, de contrôle, de recouvrement qui leur sont dévolues, pris en application de l'article 2 de l'arrêté du 5 avril 2002 portant création par la direction générale des finances publiques d'un traitement automatisé d'informations nominatives dénommé « accès au dossier fiscal des particuliers (ADONIS) », ainsi que les actes d'habilitation d'agents de la direction générale des finances publiques d'accéder aux données à caractère personnel, pour l'application du II de l'article 3 de l'arrêté du 14 juin 1982 relatif à l'extension d'un système automatisé de gestion du fichier des comptes bancaires, s'ils existent, sont communicables à toute personne qui en fait la demande en application de l'article L311-1 du code des relations entre le public et l'administration. La commission rappelle, en deuxième lieu, que l'article 30 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement général sur la protection des données (RGPD), prévoit que chaque responsable d'un traitement de données à caractère personnel et, le cas échéant, son représentant, tiennent, sous forme écrite, y compris électronique, un registre des activités de traitement effectuées sous leur responsabilité. Ce registre précise notamment le nom et les coordonnées du responsable du traitement, les finalités du traitement, une description des catégories de personnes concernées et des catégories de données à caractère personnel, les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, ou encore, dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données. Il résulte du 5. de l'article 30 du RGPD que l'obligation de tenir un tel registre s'impose de manière générale aux entreprises et organisations comptant au moins 250 employés. Elle peut également s'appliquer aux entreprises et organisation de taille moindre, en fonction de la nature des traitements de données à caractère personnel qu'elles réalisent. La commission en déduit qu'un tel registre est un document de recensement et d’analyse permettant de documenter les traitements qu'une organisation soumise à sa tenue applique aux données personnelles qu'elle collecte. Au regard de ces éléments, la commission estime que les registres des activités de traitement sollicités, tenus en application de l'article 30 du RGPD, s'ils existent, sont des documents administratifs communicables à toute personne qui en fait la demande, en application de l'article L311-1 du code des relations entre le public et l'administration, après occultation, le cas échéant, de toute information dont la divulgation pourrait porter atteinte aux secrets protégés par la loi, et notamment à la sécurité des systèmes d’information ou à la protection de la vie privée. La commission estime en troisième lieu, que le point 3) de la demande doit être regardée comme tendant non pas à la communication d'un document administratif existant ou susceptible d'être obtenu par un traitement automatisé d'usage courant, mais à une demande d'accès par la personne concernées exercée auprès du responsable du traitement à ses données à caractère personnel dont les informations sollicitées ne sont pas dissociables dans le cadre des dispositions de l'article 15 du RGPD et de l'article 49 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés qui y renvoie. La commission rappelle qu'elle n’a pas reçu compétence pour connaître des questions d’accès relevant de ces dernières dispositions, qui régissent de manière exclusive l'accès aux données à caractère personnel contenues dans les fichiers par les personnes autorisées en vertu des textes qui les créent. Elle ne peut, par suite, que se déclarer incompétente pour connaître de ce point de la demande et invite le demandeur, s'il le souhaite, à saisir la Commission nationale de l'informatique et des libertés.