Avis 20214072 Séance du 22/07/2021

Monsieur X a saisi la commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 21 juin 2021, à la suite du refus opposé par la présidente de la Commission nationale de l'informatique et des libertés (CNIL) à sa demande de communication d'une copie de la notification de violation de données à caractère personnel enregistrée sous la référence X, ainsi que les pièces jointes à cette notification, effectuée par la société X, notamment le document « X IMPORTANT courrier reçu ce jour.docx » mentionné en tant que contenu de l'information fournie aux personnes concernées. En l’absence de réponse exprimée par la présidente de la CNIL à la date de sa séance, la Commission rappelle qu'en application des dispositions de l'article 33 du RGPD : « 1. En cas de violation de données à caractère personnel, le responsable du traitement notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. / 2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance. / 3. La notification visée au paragraphe 1 doit, à tout le moins : / a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ; / b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; / c) décrire les conséquences probables de la violation de données à caractère personnel ; / d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. / 4. Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu. / 5. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle de vérifier le respect du présent article. » En pratique, la CNIL offre aux responsables de traitement de données à caractère personnel la possibilité de notifier les violations de données à caractère personnel en remplissant un formulaire dédié en ligne. Ce formulaire, qui comprend un numéro de notification, sa date et son heure, permet de renseigner les informations suivantes : l'identification de la structure déclarante, les circonstances de la violation (date, circonstances, nature, origine et cause de l'incident avec des rubriques proposées et un champ libre « descriptif détaillé de la violation »), la nature des données concernées par la violation, le nombre approximatif d'enregistrements concernés par la violation, la présence ou non de données sensibles et si oui lesquelles, les catégories de personnes et le nombre approximatif de personnes concernées par la violation, les mesures de sécurité préalables à la violation, les conséquences potentielles en cas de perte de confidentialité, en cas de perte d'intégrité, en cas de perte de disponibilité, les mesures techniques et organisationnelles appliquées au traitement suite à la violation, les préjudices potentiels pour les personnes concernées, l'estimation du niveau de gravité, la fourniture d'une information aux personnes concernées et les éventuelles autres notifications nécessaires. La commission rappelle qu'aux termes de l'article L300-2 du code des relations entre le public et l'administration : « Sont considérés comme documents administratifs, au sens des titres Ier, III et IV du présent livre, quels que soient leur date, leur lieu de conservation, leur forme et leur support, les documents produits ou reçus, dans le cadre de leur mission de service public, par l'Etat, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une telle mission. Constituent de tels documents notamment les dossiers, rapports, études, comptes rendus, procès-verbaux, statistiques, instructions, circulaires, notes et réponses ministérielles, correspondances, avis, prévisions, codes sources et décisions. » Elle estime que les notifications faites par les responsables de traitement auprès de la CNIL, autorité nationale de contrôle, au titre des dispositions de l'article 33 du RGDP, sont reçues par cette dernière dans le cadre des missions de service public qui lui sont confiées et revêtent par suite le caractère de documents administratifs. En application des dispositions de l'article L311-1 du code des relations entre le public et l'administration, ces documents sont donc communicables sous réserve des dispositions des articles L311-5 et L311-6 du même code. L'article L311-5 prévoit que ne sont pas communicables les documents dont la consultation ou la communication porterait atteinte : « a) Au secret des délibérations du Gouvernement et des autorités responsables relevant du pouvoir exécutif ; / b) Au secret de la défense nationale ; / c) A la conduite de la politique extérieure de la France ; / d) A la sûreté de l'Etat, à la sécurité publique, à la sécurité des personnes ou à la sécurité des systèmes d'information des administrations ; / e) A la monnaie et au crédit public ; / f) Au déroulement des procédures engagées devant les juridictions ou d'opérations préliminaires à de telles procédures, sauf autorisation donnée par l'autorité compétente ; / g) A la recherche et à la prévention, par les services compétents, d'infractions de toute nature ; / h) Ou sous réserve de l'article L124-4 du code de l'environnement, aux autres secrets protégés par la loi. » L'article L311-6 prévoit pour sa part que ne sont communicables qu'à la personne intéressée, c'est-à-dire la personne à laquelle se rapportent les informations contenues dans le document, ou son ayant droit direct, titulaire d’un droit dont il peut se prévaloir à raison du document dont il demande la communication, les documents « 1° Dont la communication porterait atteinte à la protection de la vie privée, au secret médical et au secret des affaires (...) ; 2° Portant une appréciation ou un jugement de valeur sur une personne physique, nommément désignée ou facilement identifiable ; 3° Faisant apparaître le comportement d'une personne, dès lors que la divulgation de ce comportement pourrait lui porter préjudice. » Enfin, l'article L311-7 dispose que « Lorsque la demande porte sur un document comportant des mentions qui ne sont pas communicables en application des articles L311-5 et L311-6 mais qu'il est possible d'occulter ou de disjoindre, le document est communiqué au demandeur après occultation ou disjonction de ces mentions. » L’administration est fondée à refuser la communication du document dans son entier lorsque l’occultation partielle priverait ce document de son intelligibilité (CE 25 mai 1990, Min. du Budget c/ X, Lebon T. 780) ou de son sens (CE4 janv. 1995, X, req. no 117750), ou la communication de tout intérêt (CE 26 mai 2014, Cté d’agglomération de Bayonne-Anglet-Biarritz, req. no 342339, Lebon T.). De manière constante, la Commission considère qu'une lettre de dénonciation ou une lettre de témoignage, n'est pas communicable aux tiers, sur le fondement du 3° de l'article L311-6 du code des relations entre le public et l'administration, dès lors que cette saisine de l'autorité administrative révèle d'une part le comportement de son auteur, dont la divulgation pourrait lui porter préjudice, en suscitant d'éventuelles représailles, d'autre part le comportement d'autres personnes mentionnées dans ce document, dont la réputation pourrait être compromise. De même, le document administratif dans lequel l'administration relève à l'encontre d'une entreprise des manquements à la réglementation n'est, en principe, communicable qu’à son destinataire (CE, 21 octobre 2016, Union départementale CGT d’Ille-et-Vilaine, req. N° 392711), sauf s'il apparaît que l'occultation ou la disjonction de certaines mentions suffit à prévenir ce préjudice. Toutefois, en matière environnementale, cette exception ne peut être opposée dès lors qu'est en cause le comportement d'une personne morale. La Commission estime que le formulaire par lequel un responsable de traitement de données à caractère personnel notifie une violation de telles données révèle de sa part un non-respect des règles de gestion de ces données, notamment l’obligation de sécurité appropriée, qui inclut la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité), prévue au (f) du 1. de l’article 5 du RGPD. Ce document, qui notifie à l'autorité de contrôle un manquement, fait ainsi apparaître le comportement du déclarant dans des conditions telles que sa divulgation serait de nature à porter préjudice à ce dernier. La Commission considère, en conséquence, que les notifications des violations de données à caractère personnel, dès lors qu'elles ne contiennent pas d'informations relatives à l'environnement, ne sont pas communicables aux tiers en application des dispositions précitées du 3° de l'article L311-6 du code des relations entre le public et l'administration. Au surplus, ces documents peuvent comporter des mentions qui ne sont pas communicables aux tiers en tant qu'elles sont susceptibles de porter atteinte à la vie privée des personnes victimes de la violation ou au secret des affaires en application des dispositions du 1° du même article, ainsi que des mentions dont la communication serait susceptible de porter atteinte à la sécurité des systèmes d'information de la CNIL et des responsables de traitement déclarants ou à la recherche et à la prévention, par les services compétents, d'infractions de toute nature, lesquelles ne sont pas communicables, en application des dispositions de l'article L311-5 précité. Au regard de ce qui précède, la Commission estime que la communication à un tiers d’une déclaration de violation des données à caractère personnel d’un responsable de traitement précisément identifié, ainsi que les pièces jointes à cette déclaration, n’est pas possible sur le fondement du code des relations entre le public et l’administration. Elle émet, dès lors, un avis défavorable.