Conseil 20216831 Séance du 16/12/2021

La commission d'accès aux documents administratifs a examiné dans sa séance du 16 décembre 2021 votre demande de conseil relative au possibilité pour Monsieur X de publier sur son site internet un courrier de la préfecture, relatif à la désignation d'un mandataire financier, faisant apparaitre le nom et la qualité de son signataire. La commission comprend que Monsieur X, candidat pour les élections municipales partielles intégrales de la commune de Savigny-sur-Orge devant se tenir les 5 et 12 décembre 2021, a publié sur son site internet le récépissé de sa déclaration de candidature à ces élections, et de sa déclaration de mandataire financier, signé par Monsieur X, chef du bureau des élections et du fonctionnement des assemblées de la préfecture de l'Essonne. La commission rappelle que la consultation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition portant sur des données à caractère personnel constituent un traitement de données au sens de l'article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (« loi CNIL ») et de l’article 4 du RGPD. Une administration répondant à une demande d’accès à un document administratif contenant des données de cette nature doit ainsi être regardée comme un responsable de traitement. Ainsi que la CNIL l'a précisé, l'administration est toutefois dispensée de requérir, avant toute communication ou publication, le consentement préalable des personnes concernées, en principe exigé par l'article 5 de la loi CNIL et l'article 6 du RGPD, dès lors qu'il s'agit, pour elle, de respecter l'obligation légale de procéder à la communication de documents administratifs découlant du livre III du code des relations entre le public et l’administration ou, le cas échéant, d'autres dispositions législatives particulières, telles que, par exemple, l'article L2121-26 du code général des collectivités territoriales. Ceci étant posé, l'entrée en vigueur du RGPD n'a pas entraîné de modification des dispositions du code des relations entre le public et l'administration relatives au droit d'accès aux documents administratifs comportant des données personnelles, ainsi que le prévoit d'ailleurs l'article 86 du RGPD aux termes duquel : « Les données à caractère personnel figurant dans des documents officiels détenus par une autorité publique ou par un organisme public ou un organisme privé pour l'exécution d'une mission d'intérêt public peuvent être communiquées par ladite autorité ou ledit organisme conformément au droit de l'Union ou au droit de l'État membre auquel est soumis l'autorité publique ou l'organisme public, afin de concilier le droit d'accès du public aux documents officiels et le droit à la protection des données à caractère personnel au titre du présent règlement. » A cet égard, la commission rappelle le cadre juridique général applicable à l'accès aux documents administratifs comportant des données personnelles. Elle considère que si ces données relèvent de la vie privée des personnes concernées, elles ne peuvent en principe être communiquées à des tiers et ne seront pas non plus publiables, en application de l'article L311-6 du code des relations entre le public et l’administration, ou des principes non écrits issus de la jurisprudence du Conseil d’État du 10 mars 2010 n° 303814 Commune de Sète. La commission considère, toutefois, que certains documents administratifs comportent des données personnelles qui ne sont pas couvertes en tant que telles par le secret de la vie privée. Entrent dans cette catégorie résiduelle, les données dont la commission estime que le public doit avoir connaissance, soit au titre de l'organisation du service public, soit afin de pouvoir exercer pleinement son droit de recours. La commission estime que lorsqu'un document administratif comporte de telles données à caractère personnel, il peut être communiqué à toute personne qui en fait la demande, sans formalité particulière de la personne concernée. En l'espèce, la commission estime que le document en cause est communicable à toute personne qui en fait la demande sur le fondement de l'article L311-1 du code des relations entre le public et l'administration, sans qu'il y ait lieu d’occulter le nom et la qualité de son signataire qui ne font pas, par eux-mêmes, partie des éléments protégés au titre de la vie privée. Elle ajoute que ces informations, y compris le nom et la qualité du signataire, constituent des informations publiques, au sens de l’article L321-1 du code des relations entre le public et l'administration. La commission rappelle en effet qu'aux termes de l'article L321-2 du même code : «  Ne sont pas considérées comme des informations publiques, pour l'application du présent titre, les informations contenues dans des documents : / a) Dont la communication ne constitue pas un droit pour toute personne en application du titre Ier ou d'autres dispositions législatives, sauf si ces informations font l'objet d'une diffusion publique conforme aux prescriptions des articles L. 312-1 à L. 312-1-2 ; / b) (Abrogé) / c) Ou sur lesquels des tiers détiennent des droits de propriété intellectuelle. (...) ». Ces informations peuvent ainsi être utilisées par toute personne qui le souhaite à d’autres fins que celles de la mission de service public pour les besoins de laquelle les documents ont été élaborés, y compris commerciales, les limites et conditions de cette réutilisation étant fixées par le titre II du livre III de ce code. Elle rappelle, à cet égard et d'une part, qu'aux termes de l'article L322-1 de ce code : « Sauf accord de l'administration, la réutilisation des informations publiques est soumise à la condition que ces dernières ne soient pas altérées, que leur sens ne soit pas dénaturé et que leurs sources et la date de leur dernière mise à jour soient mentionnées", d'autre part, qu'aux termes de l'article L322-2 du même code : "La réutilisation d'informations publiques comportant des données à caractère personnel est subordonnée au respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. ». Il vous appartient dès lors d'attirer l'attention du réutilisateur de ce document sur les obligations qui lui incombent en vertu du titre II du livre III du code des relations entre le public et l’administration, de la loi du 6 janvier 1978 et du Règlement général sur la protection des données. En particulier, le réutilisateur devant être regardé comme un responsable de traitement, il devra s'assurer, s'agissant du traitement de données à caractère personnel, que son traitement répond aux principes définis à l'article 5 de ce règlement et qu'il est licite, selon les critères définis à l'article 6 de ce même texte. Ainsi, par exemple, en l’absence de consentement, le réutilisateur sera tenu de procéder à l’anonymisation des données.