Avis 20231475 Séance du 20/04/2023

Monsieur X a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 15 mars 2023, à la suite du refus opposé par la présidente de la Commission nationale de l'informatique et des libertés (CNIL) à sa demande de communication, dans un format numérique, ouvert et réutilisable, des documents concernant le système « TrustPid » ou tout autre technologie analogue produits ou reçus notamment dans le cadre d'échanges entre la CNIL et X, X, X ou X. Après avoir pris connaissance de la réponse de la présidente de la CNIL, la commission relève, en premier lieu, que le projet « TrustPid » consiste en un système d’identification à des fins de ciblage publicitaire, développé par des opérateurs de télécommunication qui l’ont présenté à la CNIL à titre de conseil, pour s’assurer de sa conformité au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement général pour la protection des données (RGPD). Les documents sollicités ne relèvent ainsi pas du régime particulier de communication applicable aux documents soumis à la CNIL dans le cadre des formalités préalables prévues par le chapitre IV de la loi du 6 janvier 1978, qui échappent au champ d’application du livre III du code des relations entre le public et l’administration. Ces documents détenus par la CNIL dans le cadre de ses missions de service public constituent ainsi des documents administratifs communicables à toute personne qui en fait la demande, en application de l'article L311-1 du code des relations entre le public et l'administration, sous les réserves prévues par les articles L311-5 et L311-6 du même code. En deuxième lieu, la commission estime que, dès lors qu’ils ont été transmis à la CNIL par leur auteur, ces documents ne revêtent pas de caractère inachevé au sens du premier alinéa de l'article L311-2 du code des relations entre le public et l'administration, alors même qu'ils sont susceptibles d'être modifiés par leur auteur pour tenir compte, le cas échéant, de l'avis exprimé par l'autorité de régulation. En troisième lieu, la commission rappelle qu’en vertu de l’article L311-6 du même code, ne sont communicables qu’à l’intéressé les documents dont la communication porterait atteinte, en particulier, à la protection de la vie privée. Elle précise à cet égard que les nom et prénom des agents publics ne relèvent pas du secret de la vie privée, à la différence de leurs coordonnées, qui doivent être occultées avant communication à un tiers. En vertu du même article, ne sont également communicables qu’à l’intéressé les documents dont la communication porterait atteinte au secret des affaires, lequel comprend le secret des procédés, des informations économiques et financières et des stratégies commerciales ou industrielles. Devraient ainsi relever de ce secret, les partenariats noués pour le développement du projet qui consistent généralement en des systèmes et services innovants, l’architecture et le flux du traitement des données ainsi que certains éléments de la description détaillée du traitement. L’étude des risques liés au respect des principes fondamentaux du RGPD ne devrait, en principe, pas en relever, à la différence des mesures de protection des données qui font partie intégrante du processus technique et organisationnel retenu par le responsable de traitement pour la mise en œuvre de son traitement dans le respect du RGPD, ce qui relève de son savoir-faire propre et donc du secret des procédés. En l’espèce, à titre d’illustration, la commission estime que, parmi les documents dont elle a pu prendre connaissance, les mentions et schémas décrivant le calendrier prévisionnel du projet, les flux de données et leurs caractéristiques techniques, le détail des mesures techniques de sécurité, de confidentialité et de recueil de consentement sont couverts par le secret des affaires. Il en va de même des mentions des documents élaborés par la CNIL qui révéleraient de tels éléments. La commission estime en revanche que, pour l'appréciation de l'atteinte au secret des affaires, il y a lieu de tenir compte de la communication publique à laquelle la société a elle-même procédé, une information ne relevant du secret des affaires qu’en tant qu’elle demeure secrète (avis n° 20183478 du 21 mars 2019). En l’espèce, dans le cadre d’une expérimentation publique du projet « TrustPid », a été mis en place un site internet www.trustpid.com, sur lequel a été publiée la déclaration de politique de confidentialité, décrivant notamment les données collectées en cas de consentement, leur durée de conservation, le principe de la création d’un identifiant pseudonyme et sa transmission aux partenaires commerciaux. La commission considère par suite que les mentions figurant dans les documents détenus par la CNIL qui reprendraient des éléments ayant ainsi déjà fait l’objet d’une communication publique par les auteurs du projet ne sont pas couvertes par le secret des affaires. La commission rappelle enfin qu’il ne lui appartient pas d’indiquer précisément et de manière exhaustive au sein de documents volumineux, qui sont par ailleurs en l’espèce en langue anglaise, les mentions qui doivent être occultées en application des règles rappelées ci-dessus, cette opération incombant à l'administration, mais seulement d’éclairer cette dernière sur le caractère communicable ou non de passages ou informations soulevant des difficultés particulières d’appréciation et sur lesquels la commission attire son attention, dans les conditions décrites ci-dessus. La commission émet par suite un avis favorable, sous réserve de l’occultation préalable des mentions relevant des secrets protégés par la loi, dont elle estime qu’elles ne conduisent pas à priver les documents de tout leur sens, conformément à l’article L311-7 du même code.