Avis 20213712 Séance du 22/07/2021

Monsieur X, pour l'association X, a saisi la commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 8 juin 2021, à la suite du refus opposé par la présidente de la Commission nationale de l'informatique et des libertés (CNIL) à sa demande de communication, dans un format numérique ouvert et réutilisable, par téléchargement ou attachée à un courrier électronique, d'une copie des documents suivants, relatifs au projet X de l'entreprise X et de ses implantations en France et à l'étranger : 1) l'ensemble des échanges entre l'entreprise X et la CNIL, ainsi que leurs pièces jointes (notamment, les fiches de traitement et l'analyse d’impact relative à la protection des données) relatifs aux projets « X » que l'entreprise X déploie en France et à l’étranger ; 2) les comptes rendus des réunions auxquelles ont participé des agents de la CNIL et des responsables de l'entreprise X ; 3) tout autre document administratif qui se rattacherait au projet précité. En l’absence de réponse de la présidente de la CNIL à la date de sa séance, la commission rappelle que les documents produits et reçus par la CNIL dans le cadre de ses missions de service public sont des documents administratifs soumis au droit d'accès prévu par le livre III du code des relations entre le public et l'administration à l'exclusion, d'une part, des pièces échangées avec l'autorité judiciaire et les juridictions dans le cadre des dispositions des e) et f) du 2° de l'article 8 de la loi du 6 janvier 1978, et de l'article 41 de cette loi, qui revêtent un caractère judiciaire, et, d'autre part, des documents dont la communication est régie exclusivement par la loi du 6 janvier 1978, en particulier de ceux qui sont adressés par les responsables de traitement dans le cadre des procédures d'autorisation et de déclaration, qui ne sont pas soumis au droit d'accès prévu par le livre III du code des relations entre le public et l'administration. En revanche, la commission relève qu'elle a déduit des dispositions des article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et 90 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés qu’une analyse d’impact relative à la protection des données, portant sur un traitement mis en œuvre par ou pour le compte de l’une des personnes visées à l’article L300-2 du code des relations entre le public et l’administration, constituait un document administratif au sens de cet article, communicable par cette autorité administrative à toute personne qui en fait la demande sur le fondement du code des relations entre le public et l’administration en application de l’article L311-1 du code des relations entre le public et l’administration, sous les réserves prévues par les articles L311-5 et L311-6 du même code (avis 20183041 du 8 novembre 2018). Au regard de ces principes, la commission estime que, dans la mesure où ils n'auraient pas été adressés à la CNIL dans le cadre de procédures d'autorisation ou de déclaration, les documents demandés, s'ils existent, sont achevés et ne revêtent pas un caractère préparatoire, sont en principe communicables à toute personne qui en fait la demande, en application de l'article L311-1 du code des relations entre le public et l'administration, sous réserve, notamment, de l'occultation préalable des mentions dont la communication porterait atteinte à la sécurité publique, à la sécurité des personnes ou à la sécurité des systèmes d'information des administrations, conformément au d) du 2° de l'article L311-5 de ce code (plans de situation des caméras, détails techniques dont l’exploitation pourrait porter atteinte à la sûreté du système mis en place et, ainsi, à la sécurité publique), ainsi que, en application de l'article L311-6 du même code, des mentions qui comporteraient une appréciation ou un jugement de valeur sur une personne physique ou morale nommément désignée ou facilement identifiable ou qui feraient apparaître, de la part d'une personne autre qu'une personne chargée d'une mission de service public, un comportement dont la divulgation pourrait lui porter préjudice et des mentions dont la communication porterait atteinte au secret de la vie privée ou au secret des affaires. A cet égard, la commission rappelle que pour être protégée par le secret des affaires, qui comprend le secret des procédés, des informations économiques et financières et des stratégies commerciales ou industrielles, une information ne doit pas être généralement connue des personnes appartenant aux milieux qui s'occupent normalement du genre d'informations, ou ne leur être aisément accessible et avoir une valeur commerciale effective ou potentielle de ce fait. L’information doit en outre avoir fait l’objet de mesures de protection mises en place par le détenteur légitime de ces informations, même si en l'état de sa doctrine, la commission estime que ce critère doit être regardé comme rempli lorsque les deux critères précédents sont satisfaits (Voir avis 20183478 du 21 mars 2019 et conseil 20190911 du 5 septembre 2019). Devraient ainsi relever de ce secret, les partenariats noués pour le développement du projet qui consistent généralement en des systèmes et services innovants, l’architecture et le flux du traitement des données ainsi que certains éléments de la description détaillée du traitement. L’étude des risques liés au respect des principes fondamentaux du RGPD ne devrait, en principe, pas en relever, à la différence des mesures de protection des données qui font partie intégrante du processus technique et organisationnel retenu par le responsable de traitement pour la mise en œuvre de son traitement dans le respect du RGPD, ce qui relève de son savoir-faire propre et donc du secret des procédés. Par ailleurs, la commission rappelle qu'aux termes de l'article L311-7 du même code, lorsque la demande porte sur un document comportant des mentions qui ne sont pas communicables en application des articles L311-5 et L311-6 mais qu'il est possible d'occulter ou de disjoindre, le document est communiqué au demandeur après occultation ou disjonction de ces mentions. Enfin, la commission précise que l’article L311-4 du code des relations entre le public et l'administration dispose que « les documents administratifs sont communiqués ou publiés sous réserve des droits de propriété littéraire et artistique ». Il résulte de ces dispositions, telles qu'interprétées par le Conseil d’État, qu'avant de procéder à la communication de documents administratifs grevés de droits d’auteur n'ayant pas déjà fait l'objet d'une divulgation au sens de l'article L121-2 du code de la propriété intellectuelle, il appartient à l'administration saisie de recueillir l'accord de leur auteur (CE, 8 novembre 2017, Association spirituelle de l’Église de scientologie, n° 375704). La commission émet donc, si les documents sollicités existent et dans la limite de ceux qui sont aisément identifiables, un avis favorable à la demande, sous ces réserves.