Avis 20235922 Séance du 02/11/2023

Madame X a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 2 octobre 2023, à la suite du refus opposé par le recteur de l'académie de Versailles à sa demande de communication des documents suivants : 1) l'ensemble des règles définissant la mise en œuvre des procédures concernant le fonctionnement du traitement automatisé de données « Affelnet » ; 2) le Privacy Impact Assessment (PIA), relative à la mise en œuvre de ce traitement. En l'absence de réponse du recteur de l'académie de Versailles à la date de sa séance, la commission rappelle en premier lieu, s'agissant du point 1), qu'aux termes de l'article L311-3-1 du code des relations entre le public et l'administration, sous réserve des secrets protégés en application du 2° de l'article L311-5 du même code, une décision individuelle prise sur le fondement d'un traitement algorithmique comporte une mention explicite en informant l'intéressé et les règles définissant ce traitement ainsi que les principales caractéristiques de sa mise en œuvre sont communiquées par l'administration à l'intéressé s'il en fait la demande. En particulier, en application des dispositions des articles L311-3-1, R311-3-1 et R311-3-1-2 du code des relations entre le public et l'administration sont communicables, sous une forme intelligible, le degré et le mode de contribution du traitement algorithmique à la prise de décision, les données traitées et leurs sources, les paramètres de traitement et, le cas échéant, leur pondération, appliqués à la situation de l'intéressé ainsi que les opérations effectuées par le traitement. La commission considère que le représentant légal d'un enfant mineur est fondé à obtenir, en application des articles L311-3-1, R311-3-1 et R311-3-2 du code des relations entre le public et l'administration et sous une forme intelligible, communication du degré et du mode de contribution du traitement algorithmique à la prise de décision, des données traitées et de leurs sources, des paramètres de traitement et, le cas échéant, de leur pondération, appliqués à la situation de son enfant mineur, ainsi que des opérations effectuées par le traitement AFFELNET. En l'espèce, la commission estime toutefois que la généralité de la formulation de la demande de Madame X ne lui permet pas de s'assurer que cette dernière dispose de la qualité de personne intéressée lui permettant d'accéder aux informations sollicitées. Elle considère en conséquence que la demande en son point 1) est, en l'état, irrecevable. Elle invite Madame X, si elle le souhaite, à adresser au rectorat de l'académie de Versailles une nouvelle demande de communication plus circonstanciée, dans laquelle elle justifiera de sa qualité de personne intéressée. En second lieu, s'agissant du point 2), la commission relève que l’article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement général pour la protection des données (RGPD) prévoit l’obligation pour un responsable de traitement d’effectuer, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel, « lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». L’article 36 du même règlement définit les cas dans lesquels le responsable du traitement est tenu de consulter l’autorité de contrôle et de lui transmettre l’analyse effectuée. L’article 90 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dispose, pour sa part, que : « Si le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu'il porte sur des données mentionnées au I de l'article 6, (données sensibles) le responsable de traitement effectue une analyse d'impact relative à la protection des données à caractère personnel. / Si le traitement est mis en œuvre pour le compte de l’État, cette analyse d'impact est adressée à la Commission nationale de l'informatique et des libertés avec la demande d'avis prévue à l'article 33. / Dans les autres cas, le responsable de traitement ou son sous-traitant consulte la Commission nationale de l'informatique et des libertés préalablement à la mise en œuvre du traitement de données à caractère personnel, qui se prononce également dans les délais prévus à l'article 34 : / 1° Soit lorsque l'analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque ; / 2° Soit lorsque le type de traitement, en particulier en raison de l'utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées. ». La commission a déduit de ces dispositions qu’une analyse d’impact relative à la protection des données, portant sur un traitement mis en œuvre par ou pour le compte de l’une des personnes visées à l’article L300-2 du code des relations entre le public et l’administration, constituait un document administratif au sens de cet article, communicable par cette autorité administrative à toute personne qui en fait la demande sur le fondement du code des relations entre le public et l’administration en application de l’article L311-1 du code des relations entre le public et l’administration, sous les réserves prévues par les articles L311-5 et L311-6 du même code (avis 20183041 du 8 novembre 2018). La commission, qui n'a pu prendre connaissance du document sollicité, émet, sous ces réserves, un avis favorable à la demande en son point 2).