Avis 20234820 Séance du 21/09/2023

Monsieur X a saisi la Commission d'accès aux documents administratifs, par un courriel du 2 août 2023, à la suite du refus opposé par le préfet de police de Paris à sa demande de copie, dans un format numérique, ouvert et réutilisable des analyses d'impact sur la protection des données du dispositif de vidéoprotection de la préfecture de police de Paris, y compris pour l'usage des aéronefs (drones). En l'absence de réponse du préfet de police à la date de sa séance, la commission rappelle, en premier lieu, que les documents soumis à la CNIL par les responsables de traitements dans le cadre des formalités préalables prévues par le chapitre IV de la loi du 6 janvier 1978, de même que les décisions prises par cette commission au terme de ces procédures, font l'objet d'un régime particulier de communication, qui échappe au champ d'application du livre III du code des relations entre le public et l’administration. Les documents qui ne sont pas échangés avec la CNIL dans le cadre de ces formalités préalables constituent en revanche des documents administratifs entrant dans le champ d'application du livre III du code des relations entre le public et l’administration. La commission rappelle, en deuxième lieu, que l’article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement général pour la protection des données (RGPD) prévoit l’obligation pour un responsable de traitement d’effectuer, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel, « lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». L’article 36 du même règlement définit les cas dans lesquels le responsable du traitement est tenu de consulter l’autorité de contrôle et de lui transmettre l’analyse effectuée. L’article 90 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dispose, pour sa part, que : « Si le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu'il porte sur des données mentionnées au I de l'article 6, (données sensibles) le responsable de traitement effectue une analyse d'impact relative à la protection des données à caractère personnel. / Si le traitement est mis en œuvre pour le compte de l’État, cette analyse d'impact est adressée à la Commission nationale de l'informatique et des libertés avec la demande d'avis prévue à l'article 33. / Dans les autres cas, le responsable de traitement ou son sous-traitant consulte la Commission nationale de l'informatique et des libertés préalablement à la mise en œuvre du traitement de données à caractère personnel, qui se prononce également dans les délais prévus à l'article 34 : / 1° Soit lorsque l'analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque ; / 2° Soit lorsque le type de traitement, en particulier en raison de l'utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées. » La commission a déduit de ces dispositions qu’une analyse d’impact relative à la protection des données, portant sur un traitement mis en œuvre par ou pour le compte de l’une des personnes visées à l’article L300-2 du code des relations entre le public et l’administration, constitue un document administratif au sens de cet article, communicable par cette autorité administrative à toute personne qui en fait la demande sur le fondement du code des relations entre le public et l’administration en application de l’article L311-1 du code des relations entre le public et l’administration, à condition qu’ils n’aient pas été transmis à la CNIL dans le cadre des formalités préalables prévues par le chapitre IV de la loi du 6 janvier 1978 (avis 20223598 du 3 novembre 2022). Cette communication ne peut toutefois intervenir qu’après occultation des mentions protégées par les articles L311-5 et L311-6 du code des relations entre le public et l'administration, en particulier les mentions dont la communication porterait atteinte à la sécurité des systèmes d’information ou à la recherche et à la prévention par les services compétents des infractions de toute nature. En l’espèce, la commission, qui n'a pas pu prendre connaissance des analyses d'impact sur la protection des données sollicitées, émet par suite un avis favorable à la communication de ces documents, sous réserve de l'occultation des mentions relevant d'un secret protégé et à la condition qu’ils n’aient pas été transmis à la CNIL dans le cadre des formalités préalables prévues par la loi du 6 janvier 1978.