Avis 20217363 Séance du 27/01/2022

Monsieur X a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 6 décembre 2021, à la suite du refus opposé par le maire de Cesson-Sévigné à sa demande de communication, par voie électronique, de la copie des documents suivants relatifs aux traitements de données caractère personnel de la ville et de toutes les entités rattachés à cette dernière (pont des arts, piscine, etc.) : 1) le registre des traitements de données à caractère personnel ; 2) les fiches de traitements décrivant ces traitements. En réponse à la demande qui lui a été adressée, l'administration a fait savoir à la commission qu'elle avait transmis au demandeur un extrait du registre RGPD listant les fichiers dans lesquels son nom a été ou est inscrit. La commission estime que cette communication ne répond pas à la demande, qui vise l'intégralité du registre et de ses fiches et qui conserve dès lors son objet. A cet égard, la commission rappelle que l'article 30 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement général sur la protection des données (RGPD), prévoit que chaque responsable d'un traitement de données à caractère personnel et, le cas échéant, son représentant, tiennent, sous forme écrite, y compris électronique, un registre des activités de traitement effectuées sous leur responsabilité. Ce registre précise notamment, pour chaque traitement sous la forme d'une fiche, le nom et les coordonnées du responsable du traitement, les finalités du traitement, une description des catégories de personnes concernées et des catégories de données à caractère personnel, les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, ou encore, dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données. Il résulte du 5. de l'article 30 du RGPD que l'obligation de tenir un tel registre s'impose de manière générale aux entreprises et organisations comptant au moins 250 employés. Elle peut également s'appliquer aux entreprises et organisations de taille moindre, en fonction de la nature des traitements de données à caractère personnel qu'elles réalisent. La commission en déduit qu'un tel registre est un document de recensement et d’analyse, permettant de documenter les traitements qu'une organisation soumise à sa tenue applique aux données personnelles qu'elle collecte. Au regard de ces éléments, la commission estime que le registre des activités de traitement tenu par une commune en application de l'article 30 du RGPD, en ce compris les fiches de traitement qui le composent, est un document administratif communicable à toute personne qui en fait la demande, en application de l'article L311-1 du code des relations entre le public et l'administration, après occultation, le cas échéant, de toute information dont la divulgation pourrait porter atteinte aux secrets protégés par la loi, et notamment à la sécurité des systèmes d’information ou à la protection de la vie privée. Elle émet donc, dans cette mesure, un avis favorable à la demande.