Avis 20235476 Séance du 12/10/2023

Monsieur X a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 9 septembre 2023, à la suite du refus opposé par le ministre du travail, du plein emploi et de l'insertion à sa demande de communication, dans un format numérique, ouvert et réutilisable, des documents suivants dans une version « moindrement occultée » ne dénaturant pas les documents : 1) la fiche de registre des activités de traitement des données à caractère personnel mis en œuvre au travers de la plateforme « Parcours insertion emploi », créé par le décret n° 2023-188 du 17 mars 2023 relatif à la création d'un traitement de données à caractère personnel visant à faciliter le partage de données entre les acteurs de l'insertion sociale et professionnelle et portant diverses dispositions en matière d'insertion ; 2) l’analyse d’impact relative à la protection des données (AIPD) du traitement des données à caractère personnel mis en œuvre au travers de la plateforme « Parcours insertion emploi », créé par le décret susvisé. A titre liminaire, la commission rappelle, d’une part, que l'article 30 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement général sur la protection des données (RGPD), prévoit que chaque responsable d'un traitement de données à caractère personnel et, le cas échéant, son représentant, tiennent, sous forme écrite, y compris électronique, un registre des activités de traitement effectuées sous leur responsabilité. Ce registre précise notamment, pour chaque traitement sous la forme d’une fiche, le nom et les coordonnées du responsable du traitement, les finalités du traitement, une description des catégories de personnes concernées et des catégories de données à caractère personnel, les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, ou encore, dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données. Le 4. de l'article 30 du RGPD prévoit que le registre est mis à disposition de l’autorité de contrôle sur demande. Il résulte en outre du 5. du même article que l'obligation de tenir un tel registre s'impose de manière générale aux entreprises et organisations comptant au moins 250 employés. Elle peut également s'appliquer aux entreprises et organisations de taille moindre, en fonction de la nature des traitements de données à caractère personnel qu'elles réalisent. La commission en déduit qu'un tel registre est un document de recensement et d’analyse permettant de documenter les traitements qu'une organisation soumise à sa tenue applique aux données personnelles qu'elle collecte. Au regard de ces éléments, la commission estime que le registre des activités de traitement tenu par une administration en application de l'article 30 du RGPD, en ce compris les fiches de traitement qui le composent, est un document administratif communicable à toute personne qui en fait la demande, en application de l'article L311-1 du code des relations entre le public et l'administration, après occultation, le cas échéant, de toute information dont la divulgation pourrait porter atteinte aux secrets protégés par la loi. La commission précise, d’autre part, qu'elle a déduit des dispositions des articles 35 du RGPD et 90 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés qu’une analyse d’impact relative à la protection des données, portant sur un traitement mis en œuvre par ou pour le compte de l’une des personnes visées à l’article L300-2 du code des relations entre le public et l’administration, constituait un document administratif au sens de cet article, communicable par cette autorité administrative à toute personne qui en fait la demande sur le fondement du code des relations entre le public et l’administration en application de l’article L311-1 du code des relations entre le public et l’administration, sous les réserves prévues par les articles L311-5 et L311-6 du même code (avis n° 20183041 du 8 novembre 2018). En l’espèce, le demandeur conteste les occultations mises en œuvre dans les versions de la fiche de registre mentionnée au point 1) et de l’analyse d’impact mentionnée au point 2) que lui a communiquées le ministre du travail, du plein emploi et de l’insertion. En réponse à la demande qui lui a été adressée, le ministre a informé la commission qu’il estimait que la communication des mentions occultées porterait atteinte à la sécurité des systèmes d’information, au sens du d) du 2° de l’article L311-5 du code des relations entre le public et l'administration, tout en soulignant la précision et la sensibilité des données enregistrées dans le traitement « Parcours insertion emploi », concernant un très grand nombre de personnes physiques. A cet égard, la commission rappelle, ainsi qu’elle l’a fait dans son avis n°20213847 du 13 janvier 2022, que la sécurité des systèmes d’information - dispositif ou ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques - consiste en leur capacité de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces systèmes d'information offrent ou rendent accessibles (loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité). Cette notion ne doit pas être confondue avec la sûreté du fonctionnement des systèmes d’information, qui traite de leur aspect qualitatif, c’est-à-dire leur aptitude à remplir une ou plusieurs fonctions requises dans des conditions données. En l’espèce, après avoir pris connaissance des documents sollicités dans leur version intégrale, la commission estime que l’ensemble des occultations auxquelles il a été procédé ne sont pas toutes pleinement justifiées par la protection de la sécurité des systèmes d’information de l’administration. Il en va ainsi en particulier, dans la fiche de registre des activités de traitement des données à caractère personnel, de la partie « 3. Contrôle des accès logiques », dont il apparaît à la commission que les mentions qu’elle comporte demeurent très générales, et de la partie « questions suivantes ». Il en va ainsi également, dans l’étude d’impact sur la vie privée et pour la même raison, des trois premiers paragraphes de la partie 3 (pages 103-104), des parties 4 (page 104), 8 à 10 (pages 106-107), 13 à 17 (pages 107-108), 19 (page 108-109), 22 (page 110), 24 (page 111) ainsi que de l’essentiel des parties 18 (page 108), 20 (page 109), 21 (page 109-110), 23 (pages 110-111), 25 (page 111) et des mesures décrites en pages 114-115, 117-118 puis 120. De même, l'essentiel de l'avis émis par la déléguée à la protection des données des ministères sociaux peut être communiqué sans porter atteinte à la sécurité du système d'information en cause. La commission rappelle enfin qu’il ne lui appartient pas d’indiquer précisément et de manière exhaustive au sein de documents volumineux, qui sont par ailleurs en l’espèce en langue anglaise, les mentions qui doivent être occultées en application des règles rappelées ci-dessus, cette opération incombant à l'administration, mais seulement d’éclairer cette dernière sur le caractère communicable ou non de passages ou informations soulevant des difficultés particulières d’appréciation et sur lesquels la commission attire son attention, dans les conditions décrites ci-dessus. Au bénéfice de ces développements, la commission émet par conséquent un avis favorable à la communication des documents sollicités dans une version occultée de seules mentions couvertes par le d) du 2° de l’article L311-5 du code des relations entre le public et l'administration.