Avis 20231552 Séance du 20/04/2023

Monsieur X, pour X, a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 17 mars 2023, à la suite du refus opposé par le président du conseil régional de Nouvelle-Aquitaine à sa demande de communication, par courriel, des documents suivants : 1) le registre des activités de traitement ; 2) la ou les analyses d’impact relatives à la protection des données personnelles. En l’absence de réponse du président du conseil régional de Nouvelle-Aquitaine à la date de sa séance, la commission rappelle, en premier lieu, que l'article 30 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement général sur la protection des données (RGPD), prévoit que chaque responsable d'un traitement de données à caractère personnel et, le cas échéant, son représentant, tiennent, sous forme écrite, y compris électronique, un registre des activités de traitement effectuées sous leur responsabilité. Ce registre précise notamment le nom et les coordonnées du responsable du traitement, les finalités du traitement, une description des catégories de personnes concernées et des catégories de données à caractère personnel, les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, ou encore, dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données. Il résulte du 5 de l'article 30 du RGPD que l'obligation de tenir un tel registre s'impose de manière générale aux entreprises et organisations comptant au moins 250 employés. Elle peut également s'appliquer aux entreprises et organisation de taille moindre, en fonction de la nature des traitements de données à caractère personnel qu'elles réalisent. La commission en déduit qu'un tel registre est un document de recensement et d’analyse permettant de documenter les traitements qu'une organisation soumise à sa tenue applique aux données personnelles qu'elle collecte. Au regard de ces éléments, la commission estime que le registre des activités de traitement tenu par un conseil régional en application de l'article 30 du RGPD est un document administratif communicable à toute personne qui en fait la demande, en application de l'article L311-1 du code des relations entre le public et l'administration, après occultation, le cas échéant, de toute information dont la divulgation pourrait porter atteinte aux secrets protégés par la loi, et notamment à la sécurité des systèmes d’information ou à la protection de la vie privée. Elle émet donc, dans cette mesure, un avis favorable à la demande concernant le document mentionné au 1). En second lieu, la commission rappelle que l’article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement général pour la protection des données (RGPD) prévoit l’obligation pour un responsable de traitement d’effectuer, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel, « lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». L’article 36 du même règlement définit les cas dans lesquels le responsable du traitement est tenu de consulter l’autorité de contrôle et de lui transmettre l’analyse effectuée. L’article 90 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dispose, pour sa part, que : « Si le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu'il porte sur des données mentionnées au I de l'article 6, (données sensibles) le responsable de traitement effectue une analyse d'impact relative à la protection des données à caractère personnel. / Si le traitement est mis en œuvre pour le compte de l’État, cette analyse d'impact est adressée à la Commission nationale de l'informatique et des libertés avec la demande d'avis prévue à l'article 33. / Dans les autres cas, le responsable de traitement ou son sous-traitant consulte la Commission nationale de l'informatique et des libertés préalablement à la mise en œuvre du traitement de données à caractère personnel, qui se prononce également dans les délais prévus à l'article 34 : / 1° Soit lorsque l'analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque ; / 2° Soit lorsque le type de traitement, en particulier en raison de l'utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées. » La commission a déduit de ces dispositions qu’une analyse d’impact relative à la protection des données, portant sur un traitement mis en œuvre par ou pour le compte de l’une des personnes visées à l’article L300-2 du code des relations entre le public et l’administration, constitue un document administratif au sens de cet article, communicable par cette autorité administrative à toute personne qui en fait la demande sur le fondement du code des relations entre le public et l’administration en application de l’article L311-1 du code des relations entre le public et l’administration, sous les réserves prévues par les articles L311-5 et L311-6 du même code (conseil de partie II, n° 20183041 du 8 novembre 2018). La commission émet donc, sous ces réserves, un avis favorable à la demande en sont point 2), visant l'ensemble des analyses d'impact dont disposerait l'autorité saisie et qui seraient achevées. Elle relève à la lecture des pièces du dossier qu'à ce jour, une seule analyse d'impact serait susceptible d'être adressée au demandeur. Elle rappelle que le livre III du code des relations entre le public et l’administration n’a ni pour objet, ni pour effet, de contraindre l’administration à établir un document nouveau en vue de satisfaire une demande, en particulier lorsque celle-ci tend à l’élaboration ou à la motivation d’une décision administrative, sauf si le document, qui n'existe pas en l'état, peut être obtenu par un traitement automatisé d'usage courant. La commission rappelle, enfin, qu'aux termes de l'article L311-9 du code précité, « L'accès aux documents administratifs s'exerce, au choix du demandeur et dans la limite des possibilités techniques de l'administration : 1° Par consultation gratuite sur place, sauf si la préservation du document ne le permet pas ; 2° Sous réserve que la reproduction ne nuise pas à la conservation du document, par la délivrance d'une copie sur un support identique à celui utilisé par l'administration ou compatible avec celui-ci et aux frais du demandeur, sans que ces frais puissent excéder le coût de cette reproduction, dans des conditions prévues par décret ; 3° Par courrier électronique et sans frais lorsque le document est disponible sous forme électronique ; 4° Par publication des informations en ligne, à moins que les documents ne soient communicables qu'à l'intéressé en application de l'article L. 311-6. » La commission précise que ces dispositions ne font pas obligation à l’administration de communiquer sous forme électronique les documents dont elle ne dispose pas déjà sous cette forme, ou de numériser un document disponible en version papier. La commission souligne également qu'en application de l'article R311-11 du code des relations entre le public et l’administration, les frais correspondant au coût de reproduction des documents et, le cas échéant, d'envoi de ceux-ci peuvent être mis à la charge du demandeur. Ces frais sont calculés conformément aux articles 2 et 3 de l'arrêté conjoint du Premier ministre et du ministre du budget du 1er octobre 2001. L'intéressé doit être avisé du montant total des frais à acquitter, dont le paiement préalable peut être exigé.