Avis 20214902 Séance du 23/09/2021

Monsieur X, X, a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 26 juillet 2021, à la suite du refus opposé par le maire de Saint-Denis à sa demande de communication, de préférence par voie électronique, dans un format numérique, ouvert et réutilisable, avec indication de l'adresse de téléchargement ou par envoi en pièce jointe, des documents suivants et leurs annexes, relatifs à la vidéoprotection, à l’utilisation de la vidéoprotection intelligente, de la vidéoprotection automatisée et de logiciels d’analyse d’images par la commune : 1) l'ensemble des études d'impacts réalisées depuis 2012, relatives à la vidéoprotection et à l'utilisation de logiciels d'intelligence artificielle en lien avec la vidéoprotection, sur la commune ; 2) les dossiers de demandes d'autorisation préalable à l'installation d'un système de vidéoprotection adressés par la collectivité à la commission départementale de vidéoprotection ; 3) la liste, si elle existe ou peut-être extraite à l'aide d'un traitement automatisé d'usage courant, des caméras présentes sur la commune ; 4) la liste, si elle existe ou peut-être extraite à l'aide d'un automatisé d'usage courant, des logiciels utilisés dans le cadre du traitement des données de vidéoprotection par la commune ; 5) la liste, si elle existe ou peut être extraite par un traitement automatisé d'usage courant, des entreprises fournissant ou ayant fournis des prestations de vidéoprotections et/ou liées à l'utilisation de logiciels de traitement automatique d'image à la commune ; 6) les documents techniques en possession de la commune relatifs au fonctionnement d'un des logiciels X ; 7) tout document, rapport, note ou compte rendu relatif à l'utilisation d'un des logiciels d'X ; 8) la liste, si elle existe ou peut être extraite par un traitement automatisé d'usage courant, des données utilisées par les logiciels X utilisés sur la commune ; 9) les documents techniques en possession de la commune relatifs au fonctionnement de la plateforme X ; 10) tout document, rapport, note ou compte rendu relatif au fonctionnement de la plateforme X ; 11) le registre RGPD relatif aux données traités par la direction de la sécurité et de la tranquillité publique et/ou les services en charge de ces missions pour la commune ; 12) les divers documents transmis à la CNIL ou établis par elle, notamment en ce qui concerne les garanties apportées à la protection des données personnelles, concernant l'utilisation de la vidéoprotection sur la commune, l'utilisation du logiciel X et les expérimentations actuellement menées sur la commune ; 13) l'ensemble des échanges, courriers et mails, entre la collectivité et la CNIL, concernant l'utilisation de la vidéoprotection sur la commune, l'utilisation du logiciel X et les expérimentations actuellement menées sur la commune. I. Sur le principe de la communication : 1. La Commission rappelle, à titre liminaire, que le livre III du code des relations entre le public et l'administration garantit à toute personne un droit d’accès aux documents administratifs existants ou susceptibles d’être obtenus par un traitement automatisé d’usage courant, mais ne fait pas obligation aux autorités administratives de répondre aux demandes de renseignements qui leur sont adressées. Elle rappelle, par ailleurs, que la demande de communication doit être suffisamment précise pour permettre à l'administration d'identifier clairement le ou les documents souhaités, sans l'obliger à procéder à des recherches. En effet, le livre III du code des relations entre le public et l'administration ne fait pas obligation aux administrations de répondre aux demandes trop générales ou insuffisamment précises (CE 27 sept. 1985, n° 56543, Lebon 267. – CE 30 juin 1989, OPHLM de la Ville de Paris, n° 83477). Elle précise, par ailleurs, qu'en application du quatrième alinéa de l'article L311-2 du code des relations entre le public et l'administration, « Le droit à communication ne s'exerce plus lorsque les documents font l'objet d'une diffusion publique ». 2. La Commission indique, ensuite, qu’aux termes de l’article R252-10 de la sécurité intérieure, applicable aux dispositifs de vidéoprotection, « L’autorisation est publiée au recueil des actes administratifs de la préfecture, sauf dérogation motivée par un impératif de défense nationale. / L’autorité préfectorale met à la disposition du public la liste des autorisations de systèmes de vidéoprotection publiées, qui précise pour chacun d’eux la date de son autorisation et le service ou la personne responsable. Elle communique également la liste des systèmes de vidéoprotection autorisés sur le territoire de chaque commune au maire, qui la met à la disposition du public à la mairie et, le cas échéant, dans les mairies d’arrondissement ». La Commission estime que les modalités particulières de communication prévues par ces dispositions, qui ont valeur réglementaire, ne font pas obstacle à l’exercice du droit d’accès aux documents administratifs reconnu à toute personne par le livre III du code des relations entre le public et l’administration. Elle considère ainsi que la demande d’autorisation préalable à l’installation d’un système de vidéoprotection déposée à la préfecture en application des articles R252-1 et suivants du code de la sécurité intérieure est, lorsqu’elle a perdu son caractère préparatoire, communicable à toute personne qui en fait la demande, en vertu de l’article L311-1 du code des relations entre le public et l’administration, sous réserve de l’occultation préalable des mentions susceptibles de porter atteinte à la sécurité publique au sens du d) du 2° de l’article L311-5 de ce code. La Commission rappelle, à cet égard, sa position constante selon laquelle, en particulier, si les plans de situation des caméras et des zones qu’elles couvrent sont soumis à la commission départementale de vidéoprotection prévue par les articles L251-4 et R251-7 du code de sécurité intérieure, ils ne font pas partie des informations qui doivent être obligatoirement mises à la disposition du public, en vertu de l’article R252-10 du même code. Par suite, eu égard au but poursuivi par le législateur, la Commission estime que la communication de ces plans serait de nature à porter atteinte à la sécurité publique que protègent les dispositions du d) du 2° de l’article L311-5 du code des relations entre le public et l’administration. Il en irait de même des autres détails techniques dont l’exploitation pourrait porter atteinte à la sûreté du système mis en place et, ainsi, à la sécurité publique. La Commission considère que les dossiers de demandes d’autorisations administratives sont communicables à toute personne qui en fait la demande en application des dispositions de l’article L311-1 du code des relations entre le public et l’administration, sous réserve de la disjonction ou de l’occultation préalable des mentions relevant, le cas échéant, des articles L311-5 et L311-6 du même code, notamment en ce qui concerne ce dernier article, celles tenant à l’appréciation ou au jugement de valeur sur une personne physique, nommément désignée ou facilement identifiable, à la divulgation du comportement d'une personne physique ou morale susceptible de lui porter préjudice, à la protection de la vie privée ainsi que le cas échéant, à la protection du secret des affaires. S’agissant de la protection de la vie privée, la Commission précise qu’elle ne saurait couvrir, dans le cadre d’une demande d’autorisation administrative, les éléments nécessaires à son obtention. Elle estime que les documents mentionnés au point 2) sont communicables au demandeur, sous ces réserves. En l'espèce, la Commission estime que les documents mentionnés aux points 1) et 3) à 10), s'ils existent, si l'administration est en capacité de les identifier et s'ils n'ont pas fait l'objet d'une diffusion publique, sont communicables au demandeur sous réserve de l'occultation ou de la disjonction des éléments relevant d'un des secrets protégés par les articles L311-5 et L311-6. 3. S'agissant du point 11) la Commission rappelle que l'article 30 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement général sur la protection des données (RGPD), prévoit que chaque responsable d'un traitement de données à caractère personnel et, le cas échéant, son représentant, tiennent, sous forme écrite, y compris électronique, un registre des activités de traitement effectuées sous leur responsabilité. Ce registre précise notamment le nom et les coordonnées du responsable du traitement, les finalités du traitement, une description des catégories de personnes concernées et des catégories de données à caractère personnel, les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, ou encore, dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données. Il résulte du 5. de l'article 30 du RGPD que l'obligation de tenir un tel registre s'impose de manière générale aux entreprises et organisations comptant au moins 250 employés. Elle peut également s'appliquer aux entreprises et organisations de taille moindre, en fonction de la nature des traitements de données à caractère personnel qu'elles réalisent. La Commission en déduit qu'un tel registre est un document de recensement et d’analyse permettant de documenter les traitements qu'une organisation soumise à sa tenue applique aux données personnelles qu'elle collecte. Au regard de ces éléments, la Commission estime que le registre des activités de traitement tenu par une commune en application de l'article 30 du RGPD, en ce compris les fiches de traitement qui le composent, est un document administratif communicable à toute personne qui en fait la demande, en application de l'article L311-1 du code des relations entre le public et l'administration, après occultation, le cas échéant, de toute information dont la divulgation pourrait porter atteinte aux secrets protégés par la loi, et notamment à la sécurité des systèmes d’information ou à la protection de la vie privée. 4. S'agissant des points 12) et 13), la Commission rappelle qu'il résulte des dispositions du chapitre IV de la loi du 6 janvier 1978 que les documents soumis à la CNIL par les responsables de traitements, dans le cadre des procédures de déclaration ou d'autorisation prévues par cette loi dans sa rédaction en vigueur à la date des traitements concernés, font l'objet d'un régime particulier de communication, qui échappe au champ d'application du livre III du code des relations entre le public et l’administration (avis n° 20103832, du 14 octobre 2010, de partie II). L'article L342-2 de ce code n'ayant pas étendu ses compétences à ce régime, la Commission se déclare, en l’espèce, incompétente pour se prononcer sur ces deux points. Elle relève que la formulation de la demande ne lui permet pas d’identifier les documents dont la communication ne serait pas régie exclusivement par la loi du 6 janvier 1978 et qui seraient, par suite, soumis au droit d'accès prévu par le livre III du code des relations entre le public et l'administration. II. Application au cas d'espèce : En réponse à la la demande qui lui a été adressée, le maire de Saint-Denis a informé la Commission que les documents demandés en sa possession, répertoriés dans un bordereau dont elle a pris connaissance, ont été transmis au demandeur par courrier électronique du 10 septembre 2021. La Commission, qui n'a connaissance d'aucun autre document susceptible d'être transmis à Monsieur X, estime que sa demande doit être regardée comme ayant été satisfaite. Elle la déclare, par suite, sans objet en tant que portant sur des documents transmis ou inexistants.