Avis 20215272 Séance du 14/10/2021

Monsieur X a saisi la commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 16 août 2021, à la suite du refus opposé par le ministre des solidarités et de la santé à sa demande de communication, dans sa version non occultée, de l’analyse d’impact relative à la protection des données (AIPD) du traitement des données à caractère personnel SI-SIAO. La commission rappelle que l'’article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement général pour la protection des données (RGPD) prévoit l’obligation pour un responsable de traitement d’effectuer, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel, « lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». L’article 36 du même règlement définit les cas dans lesquels le responsable du traitement est tenu de consulter l’autorité de contrôle et de lui transmettre l’analyse effectuée. L’article 70-4 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, créé par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, dispose ainsi que : « Si le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu'il porte sur des données mentionnées au I de l'article 8, le responsable de traitement effectue une analyse d'impact relative à la protection des données à caractère personnel. / Si le traitement est mis en œuvre pour le compte de l’État, cette analyse d'impact est adressée à la Commission nationale de l'informatique et des libertés avec la demande d'avis prévue à l'article 30. / Dans les autres cas, le responsable de traitement ou son sous-traitant consulte la Commission nationale de l'informatique et des libertés préalablement à la mise en œuvre du traitement de données à caractère personnel : / 1° Soit lorsque l'analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque ; /2° Soit lorsque le type de traitement, en particulier en raison de l'utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées. » La commission déduit de ces dispositions qu’une analyse d’impact relative à la protection des données, portant sur un traitement mis en œuvre par ou pour le compte de l’une des personnes visées à l’article L300-2 du code des relations entre le public et l’administration, constitue un document administratif au sens de cet article. La commission estime, ensuite, que cette étude, dès lors qu'elle est achevée, est communicable à toute personne qui en fait la demande sur le fondement du code des relations entre le public et l’administration en application de l’article L311-1 du code des relations entre le public et l’administration, sous les réserves prévues par les articles L311-5 et L311-6 du même code. En réponse à la demande qui lui a été adressée, le ministre des solidarités et de la santé a indiqué à la commission qu'il s'opposait à la communication de l'intégralité de l'analyse d'impact sollicitée dès lors que certains éléments écrivent les principaux risques liés à l’exploitation des données du SI SIAO (accès illégitime, modification des données et disparition des données) ainsi que les mesures de sécurité prises afin de traiter ces risques et qu'ils exposent les éventuelles vulnérabilités du traitement et les mesures de sécurité prévues pour les traiter. La commission, qui constate que de tels éléments ne sont pas communicables en application du d) du 2° de l’article L. 311‐5 du du code des relations entre le public et l'administration, émet, en conséquence, un avis défavorable à la communication de l'intégralité du document sollicité.