Avis 20225747 Séance du 03/11/2022

Monsieur X a saisi la commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 19 septembre 2022, à la suite du refus opposé par le directeur général de l'agence régionale de santé d'Ile-de-France à sa demande de communication, dans un format numérique ouvert et réutilisable, par téléchargement ou attachés à un courrier électronique, des documents et éléments suivants : 1) la fiche de registre des activités de traitement des données à caractère personnel mis en œuvre via la plateforme « Terr-eSanté » ; 2) l’analyse d’impact relative à la protection des données (AIPD) du traitement des données à caractère personnel mis en œuvre via la plateforme « Terr-eSanté ». En l'absence de réponse de l'administration à la date de sa séance, la commission rappelle que l'article 30 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement général sur la protection des données (RGPD), prévoit que chaque responsable d'un traitement de données à caractère personnel et, le cas échéant, son représentant, tiennent, sous forme écrite, y compris électronique, un registre des activités de traitement effectuées sous leur responsabilité. Ce registre précise notamment, pour chaque traitement sous la forme d'une fiche, le nom et les coordonnées du responsable du traitement, les finalités du traitement, une description des catégories de personnes concernées et des catégories de données à caractère personnel, les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, ou encore, dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données. Il résulte du 5. de l'article 30 du RGPD que l'obligation de tenir un tel registre s'impose de manière générale aux entreprises et organisations comptant au moins 250 employés. Elle peut également s'appliquer aux entreprises et organisations de taille moindre, en fonction de la nature des traitements de données à caractère personnel qu'elles réalisent. La commission en déduit qu'un tel registre est un document de recensement et d’analyse, permettant de documenter les traitements qu'une organisation soumise à sa tenue applique aux données personnelles qu'elle collecte. Au regard de ces éléments, la commission estime que le registre des activités de traitement tenu par une administration en application de l'article 30 du RGPD, et ce compris les fiches de traitement qui le composent, est un document administratif communicable à toute personne qui en fait la demande, en application de l'article L311-1 du code des relations entre le public et l'administration, après occultation, le cas échéant, de toute information dont la divulgation pourrait porter atteinte aux secrets protégés par la loi, et notamment à la sécurité des systèmes d’information ou à la protection de la vie privée. Elle émet donc, dans cette mesure, un avis favorable au point 1) à la demande. S'agissant du point 2), la commission rappelle qu'il ressort des dispositions de la loi du 6 janvier 1978 que les documents soumis à la CNIL par les responsables de traitements, dans le cadre des formalités préalables prévues par cette loi, de même que les décisions prises par cette commission au terme de ces procédures, font l'objet d'un régime particulier de communication, défini aux articles 31, 32 et 36 de cette loi, qui échappe au champ d'application du livre III du code des relations entre le public et l’administration. L'article L342-2 de ce code n'ayant pas étendu ses compétences à ce régime. En revanche, la commission relève qu'elle a déduit des dispositions des article 35 du RGPD et 90 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés qu’une analyse d’impact relative à la protection des données, portant sur un traitement mis en œuvre par ou pour le compte de l’une des personnes visées à l’article L300-2 du code des relations entre le public et l’administration, constituait un document administratif au sens de cet article, communicable par cette autorité administrative à toute personne qui en fait la demande sur le fondement du code des relations entre le public et l’administration en application de l’article L311-1 du code des relations entre le public et l’administration, sous les réserves prévues par les articles L311-5 et L311-6 du même code (avis n° 20183041du 8 novembre 2018). Elle émet dès lors et sous ces réserves un avis favorable sur ce point.