Avis 20213716 Séance du 22/07/2021

Monsieur X, en sa qualité X, a saisi la commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 8 juin 2021, à la suite du refus opposé par la présidente de la Commission nationale de l'informatique et des libertés (CNIL) à sa demande de communication, dans un format numérique ouvert et réutilisable, par téléchargement ou attachée à un courrier électronique, d'une copie des documents suivants : 1) l'ensemble des documents, notes et rapports, produit par la CNIL ou transmis à elle par la RATP, relatif à l'utilisation de la vidéoprotection, de la vidéoprotection intelligente, de la vidéoprotection automatisée ou à l'utilisation de logiciels automatiques d'analyse d'image au sein de la RATP ; 2) l'ensemble des documents, notes et rapports, produit par la CNIL ou transmis à elle par la RATP, relatif au laboratoire de l'IA de la RATP ; 3) l'ensemble des échanges, courriers ou mails, entre la RATP et la CNIL relatif au laboratoire de l'IA de la RATP ; 4) l'ensemble des documents, notes et rapports, produit par la CNIL ou transmis à elle par la RATP, relatif à l'expérimentation menée par la RATP et l'entreprise X ; 5) l'ensemble des échanges, courriers ou mails, entre la RATP et la CNIL relatif au projet X ; 6) l'ensemble des documents, notes et rapports, produits par la CNIL ou transmis à elle par la RATP, relatif à l'expérimentation menée par la RATP et l'entreprise X ; 7) l'ensemble des échanges, courriers ou mails, entre la RATP et la CNIL relatif au projet X ; 8) l'ensemble des documents, notes et rapports, produit par la CNIL ou transmis à elle par la RATP, relatif à l'expérimentation menée par la RATP et l'entreprise X ; 9) l'ensemble des échanges, courriers ou mails, entre la RATP et la CNIL relatif au projet X. En l’absence de réponse de la présidente de la CNIL à la date de sa séance, la commission rappelle, à titre liminaire, que la demande de communication doit être suffisamment précise pour permettre à l'administration d'identifier clairement le ou les documents souhaités, sans l'obliger à procéder à des recherches. En effet, le livre III du code des relations entre le public et l'administration ne fait pas obligation aux administrations de répondre aux demandes trop générales ou insuffisamment précises (CE 27 sept. 1985, req. n° 56543, Lebon 267. – CE 30 juin 1989, OPHLM de la Ville de Paris, req. n° 83477). En l'espèce, elle estime que le point 1) de la demande est trop imprécis pour permettre à la CNIL d'identifier clairement les documents dont la communication est demandée. Elle déclare par suite ce point de la demande irrecevable. La commission rappelle, ensuite, que les documents produits et reçus par la CNIL dans le cadre de ses missions de service public sont des documents administratifs soumis au droit d'accès prévu par le livre III du code des relations entre le public et l'administration à l'exclusion, d'une part, des pièces échangées avec l'autorité judiciaire et les juridictions dans le cadre des dispositions des e) et f) du 2° de l'article 8 de la loi du 6 janvier 1978, et de l'article 41 de cette loi, qui revêtent un caractère judiciaire, et, d'autre part, des documents dont la communication est régie exclusivement par la loi du 6 janvier 1978, en particulier de ceux qui sont adressés par les responsables de traitement dans le cadre des procédures d'autorisation et de déclaration, qui ne sont pas soumis au droit d'accès prévu par le livre III du code des relations entre le public et l'administration. En revanche, la commission relève qu'elle a déduit des dispositions des article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et 90 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés qu’une analyse d’impact relative à la protection des données, portant sur un traitement mis en œuvre par ou pour le compte de l’une des personnes visées à l’article L300-2 du code des relations entre le public et l’administration, constituait un document administratif au sens de cet article, communicable par cette autorité administrative à toute personne qui en fait la demande sur le fondement du code des relations entre le public et l’administration en application de l’article L311-1 du code des relations entre le public et l’administration, sous les réserves prévues par les articles L311-5 et L311-6 du même code (avis 20183041 du 8 novembre 2018). Au regard de ces principes, la commission estime que, dans la mesure où ils n'auraient pas été adressés à la CNIL dans le cadre de procédures d'autorisation ou de déclaration, les documents visés aux points 2) à 9), s'ils existent, sont achevés et ne revêtent pas un caractère préparatoire, sont en principe communicables à toute personne qui en fait la demande, en application de l'article L311-1 du code des relations entre le public et l'administration, sous réserve, notamment, de l'occultation préalable des mentions dont la communication porterait atteinte à la sécurité publique, à la sécurité des personnes ou à la sécurité des systèmes d'information des administrations, conformément au d) du 2° de l'article L311-5 de ce code (plans de situation des caméras, détails techniques dont l’exploitation pourrait porter atteinte à la sûreté du système mis en place et, ainsi, à la sécurité publique), ainsi que, en application de l'article L311-6 du même code, des mentions qui comporteraient une appréciation ou un jugement de valeur sur une personne physique nommément désignée ou facilement identifiable ou qui feraient apparaître, de la part d'une personne autre qu'une personne chargée d'une mission de service public, un comportement dont la divulgation pourrait lui porter préjudice et des mentions dont la communication porterait atteinte au secret de la vie privée ou au secret des affaires. A cet égard, la commission rappelle que pour être protégée par le secret des affaires, qui comprend le secret des procédés, des informations économiques et financières et des stratégies commerciales ou industrielles, une information ne doit pas être généralement connue des personnes appartenant aux milieux qui s'occupent normalement du genre d'informations, ou ne leur être aisément accessible et avoir une valeur commerciale effective ou potentielle de ce fait. L’information doit en outre avoir fait l’objet de mesures de protection mises en place par le détenteur légitime de ces informations, même si en l'état de sa doctrine, la commission estime que ce critère doit être regardé comme rempli lorsque les deux critères précédents sont satisfaits (Voir avis 20183478 du 21 mars 2019 et conseil 20190911 du 5 septembre 2019). Devraient ainsi relever de ce secret, les partenariats noués pour le développement du projet qui consistent généralement en des systèmes et services innovants, l’architecture et le flux du traitement des données ainsi que certains éléments de la description détaillée du traitement. L’étude des risques liés au respect des principes fondamentaux du RGPD ne devrait, en principe, pas en relever, à la différence des mesures de protection des données qui font partie intégrante du processus technique et organisationnel retenu par le responsable de traitement pour la mise en œuvre de son traitement dans le respect du RGPD, ce qui relève de son savoir-faire propre et donc du secret des procédés. Par ailleurs, la commission rappelle qu'aux termes de l'article L311-7 du même code, lorsque la demande porte sur un document comportant des mentions qui ne sont pas communicables en application des articles L311-5 et L311-6 mais qu'il est possible d'occulter ou de disjoindre, le document est communiqué au demandeur après occultation ou disjonction de ces mentions. Enfin, la commission précise que l’article L311-4 du code des relations entre le public et l'administration dispose que « les documents administratifs sont communiqués ou publiés sous réserve des droits de propriété littéraire et artistique ». Il résulte de ces dispositions, telles qu'interprétées par le Conseil d’État, qu'avant de procéder à la communication de documents administratifs grevés de droits d’auteur n'ayant pas déjà fait l'objet d'une divulgation au sens de l'article L121-2 du code de la propriété intellectuelle, il appartient à l'administration saisie de recueillir l'accord de leur auteur (CE, 8 novembre 2017, Association spirituelle de l’Église de scientologie, n° 375704). La commission émet donc, dans la limite des documents existant et aisément identifiables et sous ces réserves, un avis favorable.