Avis 20214034 Séance du 22/07/2021
Communication, dans un format numérique ouvert et réutilisable, par téléchargement ou attachée à un courrier électronique, d'une copie des documents et leurs annexes, ainsi que les informations contenues dans des fichiers informatiques pouvant en être extraites par un traitement automatisé d’usage courant, relatifs à l’utilisation de solutions d'analyse vidéo par la SNCF, à savoir :
1) la liste des différentes demandes faites à la CNIL par la SNCF depuis 2010 ;
2) la liste des différentes demandes faites à la CNIL par la SNCF relatives à l'utilisation de la vidéoprotection, de logiciels de vidéoprotection intelligente ou d'expérimentations ;
3) tout document, rapport, note, compte rendu ou pièces jointes transmis à la CNIL par la SNCF et relatif à la vidéoprotection et/ou l'utilisation de logiciels d'analyse d'image ;
4) l'ensemble des mails, courriers et échanges, entre la SNCF et la CNIL relatif à l'expérimentation d'un algorithme de comptage et d'évaluation de la densité des flux de personnes menée par l'entreprise X et la SNCF en gare de bibliothèque François Mitterrand ;
5) l'ensemble des pièces jointes et autres documents transmis par la SNCF à la CNIL et relatif à cette expérimentation ;
6) l'ensemble des mails, courriers et échanges, entre la SNCF et la CNIL relatif à l'expérimentation, mené en octobre et novembre 2017, de la solution X en gare d'Antibes par la SNCF ;
7) l'ensemble des pièces jointes et autres documents transmis par la SNCF à la CNIL et relatif à cette expérimentation ;
8) l'ensemble des mails, courriers et échanges, entre la SNCF et la CNIL relatif à l'expérimentation des logiciels BRIEFCAM dans les gares de Paris et de Marseille ;
9) l'ensemble des pièces jointes et autres documents transmis par la SNCF à la CNIL et relatif à cette expérimentation ;
10) l'ensemble des mails, courriers et échanges, entre la SNCF et la CNIL relatif à l'expérimentation de logiciels de détection automatique de bagages abandonnés en cours à la Gare du Nord ;
11) l'ensemble des pièces jointes et autres documents transmis par la SNCF à la CNIL et relatif à cette expérimentation ;
12) les mails, courriers et échanges, avec la CNIL, relatifs aux demandes d'autorisations faites par la sûreté ferroviaire afin de débuter une expérimentation d’aide au suivi de personne ;
13) l’ensemble des pièces jointes et autres documents transmis par la SNCF à la CNIL dans le cadre de ces échanges ;
14) l'ensemble des mails, courriers et échanges, entre la SNCF/la direction de la sûreté de la SNCF et la CNIL relatif à l'expérimentation de « pseudonymisation » des flux de vidéoprotection mise en place par la direction de la sûreté SNCF et actuellement en cours dans différentes gares d'Île de France ;
15) l'ensemble des pièces jointes et autres documents transmis par la SNCF à la CNIL dans le cadre de ces échanges.
Monsieur X, en sa qualité de X, a saisi la commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 22 juin 2021, à la suite du refus opposé par la présidente de la Commission nationale de l'informatique et des libertés (CNIL) à sa demande de communication, dans un format numérique ouvert et réutilisable, par téléchargement ou attachée à un courrier électronique, d'une copie des documents et leurs annexes, ainsi que les informations contenues dans des fichiers informatiques pouvant en être extraites par un traitement automatisé d’usage courant, relatifs à l’utilisation de solutions d'analyse vidéo par la SNCF, à savoir :
1) la liste des différentes demandes faites à la CNIL par la SNCF depuis 2010 ;
2) la liste des différentes demandes faites à la CNIL par la SNCF relatives à l'utilisation de la vidéoprotection, de logiciels de vidéoprotection intelligente ou d'expérimentation ;
3) tout document, rapport, note, compte rendu ou pièces jointes transmis à la CNIL par la SNCF et relatif à la vidéoprotection et/ou l'utilisation de logiciels d'analyse d'image ;
4) l'ensemble des mails, courriers et échanges, entre la SNCF et la CNIL relatif à l'expérimentation d'un algorithme de comptage et d'évaluation de la densité des flux de personnes menée par l'entreprise X et la SNCF en gare de bibliothèque François Mitterrand ;
5) l'ensemble des pièces jointes et autres documents transmis par la SNCF à la CNIL et relatif à cette expérimentation ;
6) l'ensemble des mails, courriers et échanges, entre la SNCF et la CNIL relatif à l'expérimentation, mené en octobre et novembre 2017, de la solution X en gare d'Antibes par la SNCF ;
7) l'ensemble des pièces jointes et autres documents transmis par la SNCF à la CNIL et relatif à cette expérimentation ;
8) l'ensemble des mails, courriers et échanges, entre la SNCF et la CNIL relatif à l'expérimentation des logiciels BRIEFCAM dans les gares de Paris et de Marseille ;
9) l'ensemble des pièces jointes et autres documents transmis par la SNCF à la CNIL et relatif à cette expérimentation ;
10) l'ensemble des mails, courriers et échanges, entre la SNCF et la CNIL relatif à l'expérimentation de logiciels de détection automatique de bagages abandonnés en cours à la Gare du Nord ;
11) l'ensemble des pièces jointes et autres documents transmis par la SNCF à la CNIL et relatif à cette expérimentation ;
12) les mails, courriers et échanges, avec la CNIL, relatifs aux demandes d'autorisations faites par la sûreté ferroviaire afin de débuter une expérimentation d’aide au suivi de personne ;
13) l’ensemble des pièces jointes et autres documents transmis par la SNCF à la CNIL dans le cadre de ces échanges ;
14) l'ensemble des mails, courriers et échanges, entre la SNCF/la direction de la sûreté de la SNCF et la CNIL relatif à l'expérimentation de « pseudonymisation » des flux de vidéoprotection mise en place par la direction de la sûreté SNCF et actuellement en cours dans différentes gares d'Île de France ;
15) l'ensemble des pièces jointes et autres documents transmis par la SNCF à la CNIL dans le cadre de ces échanges.
En l’absence de réponse exprimée par la présidente de la CNIL à la date de sa séance, la commission rappelle que le livre III du code des relations entre le public et l'administration garantit à toute personne un droit d’accès aux documents administratifs existants ou susceptibles d’être obtenus par un traitement automatisé d’usage courant, mais ne fait pas obligation aux autorités administratives de répondre aux demandes de renseignements qui leur sont adressées.
En l’espèce, la commission estime que les points 1) et 2) de la demande, compte tenu de leur formulation, s’apparentent à une demande de renseignements, à laquelle l’autorité administrative n’est pas tenue de répondre. Par suite, elle ne peut que se déclarer incompétente pour se prononcer sur ces points.
La commission rappelle ensuite que la demande de communication doit être suffisamment précise pour permettre à l'administration d'identifier clairement le ou les documents souhaités, sans l'obliger à procéder à des recherches. En effet, le livre III du code des relations entre le public et l'administration ne fait pas obligation aux administrations de répondre aux demandes trop générales ou insuffisamment précises (CE 27 sept. 1985, req. n° 56543, Lebon 267 ; CE 30 juin 1989, OPHLM de la Ville de Paris, req. n° 83477).
En l'espèce, elle estime que le point 3) de la demande est trop imprécis pour permettre à la CNIL d'identifier clairement les documents dont la communication est demandée. Elle déclare par suite ce point de la demande irrecevable.
S'agissant du surplus, la commission rappelle que les documents produits et reçus par la CNIL dans le cadre de ses missions de service public sont des documents administratifs soumis au droit d'accès prévu par le livre III du code des relations entre le public et l'administration à l'exclusion, d'une part, des pièces échangées avec l'autorité judiciaire et les juridictions dans le cadre des dispositions des e) et f) du 2° de l'article 8 de la loi du 6 janvier 1978, et de l'article 41 de cette loi, qui revêtent un caractère judiciaire, et, d'autre part, des documents dont la communication est régie exclusivement par la loi du 6 janvier 1978, en particulier de ceux qui sont adressés par les responsables de traitement dans le cadre des procédures d'autorisation et de déclaration, qui ne sont pas soumis au droit d'accès prévu par le livre III du code des relations entre le public et l'administration.
En revanche, la commission relève qu'elle a déduit des dispositions des article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et 90 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés qu’une analyse d’impact relative à la protection des données, portant sur un traitement mis en œuvre par ou pour le compte de l’une des personnes visées à l’article L300-2 du code des relations entre le public et l’administration, constituait un document administratif au sens de cet article, communicable par cette autorité administrative à toute personne qui en fait la demande sur le fondement du code des relations entre le public et l’administration en application de l’article L311-1 du code des relations entre le public et l’administration, sous les réserves prévues par les articles L311-5 et L311-6 du même code (avis 20183041 du 8 novembre 2018).
Au regard de ces principes, la commission estime que, dans la mesure où ils n'auraient pas été adressés à la CNIL dans le cadre de procédures d'autorisation ou de déclaration, les documents sollicités, s'ils existent et ne revêtent pas un caractère préparatoire, sont en principe communicables à toute personne qui en fait la demande, en application de l'article L311-1 du code des relations entre le public et l'administration, sous réserve, notamment, de l'occultation préalable des mentions dont la communication porterait atteinte à la sécurité publique, à la sécurité des personnes ou à la sécurité des systèmes d'information des administrations, conformément au d) du 2° de l'article L311-5 de ce code (plans de situation des caméras, détails techniques dont l’exploitation pourrait porter atteinte à la sûreté du système mis en place et, ainsi, à la sécurité publique), ainsi que, en application de l'article L311-6 du même code, des mentions qui comporteraient une appréciation ou un jugement de valeur sur une personne physique ou morale nommément désignée ou facilement identifiable ou qui feraient apparaître, de la part d'une personne autre qu'une personne chargée d'une mission de service public, un comportement dont la divulgation pourrait lui porter préjudice et des mentions dont la communication porterait atteinte au secret de la vie privée ou au secret des affaires.
A cet égard, la commission rappelle que pour être protégée par le secret des affaires, qui comprend le secret des procédés, des informations économiques et financières et des stratégies commerciales ou industrielles, une information ne doit pas être généralement connue des personnes appartenant aux milieux qui s'occupent normalement du genre d'informations, ou ne leur être aisément accessible et avoir une valeur commerciale effective ou potentielle de ce fait. L’information doit en outre avoir fait l’objet de mesures de protection mises en place par le détenteur légitime de ces informations, même si en l'état de sa doctrine, la commission estime que ce critère doit être regardé comme rempli lorsque les deux critères précédents sont satisfaits (Voir avis 20183478 du 21 mars 2019 et conseil 20190911 du 5 septembre 2019). Devraient ainsi relever de ce secret, les partenariats noués pour le développement du projet qui consistent généralement en des systèmes et services innovants, l’architecture et le flux du traitement des données ainsi que certains éléments de la description détaillée du traitement. L’étude des risques liés au respect des principes fondamentaux du RGPD ne devrait, en principe, pas en relever, à la différence des mesures de protection des données qui font partie intégrante du processus technique et organisationnel retenu par le responsable de traitement pour la mise en œuvre de son traitement dans le respect du RGPD, ce qui relève de son savoir-faire propre et donc du secret des procédés.
Par ailleurs, la commission rappelle qu'aux termes de l'article L311-7 du même code, lorsque la demande porte sur un document comportant des mentions qui ne sont pas communicables en application des articles L311-5 et L311-6 mais qu'il est possible d'occulter ou de disjoindre, le document est communiqué au demandeur après occultation ou disjonction de ces mentions, à condition que l’occultation de ces mentions ne prive pas d’intérêt la communication du document.
Enfin, la commission précise que l’article L311-4 du code des relations entre le public et l'administration dispose que « les documents administratifs sont communiqués ou publiés sous réserve des droits de propriété littéraire et artistique ». Il résulte de ces dispositions, telles qu'interprétées par le Conseil d’État, qu'avant de procéder à la communication de documents administratifs grevés de droits d’auteur n'ayant pas déjà fait l'objet d'une divulgation au sens de l'article L121-2 du code de la propriété intellectuelle, il appartient à l'administration saisie de recueillir l'accord de leur auteur (CE, 8 novembre 2017, Association spirituelle de l’Église de scientologie, n° 375704).
La commission émet donc, dans la limite des documents existants et aisément identifiables, un avis favorable à la demande, sous ces réserves.