Avis 20223598 - Séance du 03/11/2022
Monsieur X a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 30 mai 2022, à la suite du refus opposé par la présidente de la Commission nationale de l'informatique et des libertés (CNIL) à sa demande de communication, dans un format numérique, ouvert et réutilisable, des documents suivants :
1) l'analyse d'impact relative à la protection des données visée au point 36 de la délibération n° 2021-151 de la CNIL du 9 décembre 2021 portant avis sur un projet de décret en Conseil d’Etat autorisant la création d’un moyen d’identification électronique dénommé « Service de garantie de l’identité numérique » et abrogeant le décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile » ;
2) les échanges entre la CNIL et le ministère de l'intérieur ou l'ANTS dans le cadre des demandes d'avis n° 21015556 et n° 22002407 ;
3) l'analyse d'impact relative à la protection des données visée par la délibération n° 2020-103 du 15 octobre 2020 portant avis sur un projet de décret modifiant le décret n° 2014-1162 du 9 octobre 2014 relatif à la création de la « Plateforme nationale des interceptions judiciaires » (PNIJ) et le code de procédure pénale (deuxième partie : décrets en Conseil d’État) (demande d'avis n° 19022399) ;
4) les échanges entre la CNIL et le ministère de la justice, la DIJ ou l'ANTENJ dans le cadre des demandes d'avis n° 13023753, n° 16024832, n° 17023827, et n° 19022399.
En premier lieu, la présidente de la CNIL a informé la commission que les documents mentionnés aux points 1) et 2) de la demande, à l’exclusion toutefois de ceux couverts par le secret des délibérations du Gouvernement protégé par le a) du 2° de l’article L311-5 du code des relations entre le public et l’administration, ont été adressés à Monsieur X par courriel du 15 juin 2022, dont une copie lui a été transmise. La commission en prend note et déclare, par suite, la demande d’avis sans objet dans cette mesure.
La présidente de la CNIL a en revanche maintenu son refus de communiquer les documents mentionnés aux points 3) et 4) de la demande.
1. Présentation du cadre juridique :
La commission précise, à titre liminaire, qu’aux termes de l’article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Selon cet article, elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016. Le 2° de cet article prévoit, au nombre de ses missions, qu’elle « veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France. A ce titre : a), elle donne un avis sur les traitements mentionnés aux articles 31 et 32 ». Le 4° prévoit, en outre, qu’« elle se tient informée de l'évolution des technologies de l'information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l'exercice des droits et libertés mentionnés à l'article 1er ; A ce titre : a) Elle est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. (…) Outre les cas prévus aux articles 31 et 32, lorsqu'une loi prévoit qu'un décret ou un arrêté est pris après avis de la commission, cet avis est publié avec le décret ou l'arrêté ».
Dans sa version actuelle issue de l’ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel, le chapitre IV de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (article 31 à 36) regroupe les dispositions relatives aux formalités préalables à la mise en œuvre des traitements, après les modifications introduites par la loi n° 2018-493 du 20 juin 2018 tirant les conséquences de la logique de responsabilisation des responsables de traitement prévue par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD), et l'allègement des procédures administratives qui en résulte.
L'article 31, qui reprend l'ancien article 26 de la loi du 6 janvier 1978, prévoit que les traitements de données à caractère personnel mis en œuvre pour le compte de l’État et qui, soit intéressent la sûreté de l’État, la défense ou la sécurité publique, soit ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté, sont autorisés par arrêté ministériel, pris après avis de la CNIL. Ceux de ces traitements qui portent sur des données à caractère personnel sensibles mentionnées au I de l’article 6, à savoir celles qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique, les données génétiques, biométriques aux fins d'identifier une personne physique de manière unique, les données concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne physique, sont autorisés par décret en Conseil d’État pris après avis de la CNIL. L'article 32, qui correspond à l'ancien article 27 de cette loi, prévoit, quant à lui, une autorisation par décret en Conseil d’État pris après avis de la CNIL pour les traitements mis en œuvre pour le compte de l’État, agissant dans l'exercice de ses prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes.
Les articles 33 à 36, qui reprennent en les modifiant les anciennes dispositions des articles 28 à 31 de la loi du 6 janvier 1978, concernent les obligations de présentation des demandes d'avis adressées à la CNIL et la procédure liée à ces demandes. La commission observe, à cet égard, que l’article 36 de cette loi prévoit que la CNIL, d’une part, « met à la disposition du public, dans un format ouvert et aisément réutilisable, la liste des traitements automatisés ayant fait l'objet d'une des formalités prévues par les articles 31 et 32, à l'exception de ceux mentionnés au III de l'article 31, ainsi que par la section 3 du chapitre III du titre II » et, d’autre part, « tient à la disposition du public ses avis, décisions ou recommandations ».
2. Compétence de la CADA :
La commission rappelle que les documents produits et reçus par la CNIL dans le cadre de ses missions de service public sont en principe des documents administratifs soumis au régime de droit commun d’accès aux documents administratifs prévu par le titre Ier du livre III du CRPA.
Toutefois, selon une doctrine constante (avis de partie II, n° 19890111, du 1er juin 1989, conseil de partie II, n° 20061366, du 11 mai 2006 ; conseil de partie II, n° 20103832, du 14 octobre 2010, plus récemment, avis n° 20184855, du 17 mai 2019), elle estime que les documents soumis à la CNIL par les responsables de traitements dans le cadre des formalités préalables prévues par le chapitre IV de la loi du 6 janvier 1978, de même que les décisions prises par cette commission au terme de ces procédures, font l'objet d'un régime particulier de communication, qui échappe au champ d'application du livre III du code des relations entre le public et l’administration. Ces dispositions spéciales, qui prévoient la communication des seuls documents limitativement énumérés à l’article 36, doivent en effet être regardées comme s’articulant dans une logique d’exclusion avec le régime de droit commun d'accès aux documents administratifs. L'article L342-2 du code des relations entre le public et l’administration n'ayant pas étendu ses compétences à ce régime, la CADA se déclare en conséquence incompétente pour en connaître.
La commission estime nécessaire, à l’occasion de cet avis, de clarifier sa doctrine relative à la communication des analyses d'impact relatives à la protection des données (AIPD).
Elle rappelle, à cet égard, en premier lieu, que l’article 35 du RGPD prévoit l’obligation pour un responsable de traitement d’effectuer, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel, « lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». L’article 36 du même règlement définit les cas dans lesquels le responsable du traitement est tenu de consulter l’autorité de contrôle et de lui transmettre l’analyse effectuée.
L’article 90 de la loi du 6 janvier 1978 dispose pour sa part, que : « Si le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu'il porte sur des données mentionnées au I de l'article 6, le responsable de traitement effectue une analyse d'impact relative à la protection des données à caractère personnel. / Si le traitement est mis en œuvre pour le compte de l’État, cette analyse d'impact est adressée à la Commission nationale de l'informatique et des libertés avec la demande d'avis prévue à l'article 33. / Dans les autres cas, le responsable de traitement ou son sous-traitant consulte la Commission nationale de l'informatique et des libertés préalablement à la mise en œuvre du traitement de données à caractère personnel, qui se prononce également dans les délais prévus à l'article 34 : / 1° Soit lorsque l'analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque ; / 2° Soit lorsque le type de traitement, en particulier en raison de l'utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées ».
La commission a déduit de ces dispositions qu’une analyse d’impact relative à la protection des données, portant sur un traitement mis en œuvre par ou pour le compte de l’une des personnes visées à l’article L300-2 du code des relations entre le public et l’administration, constitue un document administratif au sens de cet article, communicable par cette autorité administrative à toute personne qui en fait la demande sur le fondement du code des relations entre le public et l’administration en application de l’article L311-1 du code des relations entre le public et l’administration, sous les réserves prévues par les articles L311-5 et L311-6 du même code (conseil de partie II, n° 20183041 du 8 novembre 2018).
Elle a considéré que revêtait également un caractère administratif une analyse d’impact relative à la protection des données élaborée par une personne privée n’exerçant pas de mission de service public, transmise à la CNIL dans le cadre des dispositions précitées de l'article 90 de la loi du 17 janvier 1978 ou à titre de simple conseil en dehors de toute obligation légale, voire dans le cadre d'une mission de contrôle (conseil de partie II n° 20204502, du 10 décembre 2020).
En revanche, revenant sur la solution qu’elle a retenue dans ses avis n° 20214311 du 2 septembre 2021, n° 20215973 du 16 décembre 2021 et n° 20221769, du 21 avril 2022, la commission estime que les analyses d’impact reçues par la CNIL dans le cadre d’une procédure régie par le chapitre IV de la loi du 6 janvier 1978 relèvent, à l’instar des autres documents du dossier de saisine, du régime particulier de communication prévu par l’article 36 de la loi du 6 janvier 1978.
Ce régime particulier, dont peut se prévaloir la CNIL saisie d’une demande de communication, est applicable aux analyses d’impact qui lui sont adressées dans le cadre d’une demande d’avis sur un projet d’acte réglementaire portant sur un traitement mis en œuvre pour le compte de l’État présentée sur le fondement des articles 31 et 32 de la loi du 6 janvier 1978 ainsi que, s’agissant des traitements relevant de la directive 2016/80 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, de l’article 90 de la loi du 6 janvier 1978.
Relèvent également de ce régime particulier, par renvoi aux dispositions du chapitre IV, les analyses d’impact produites à l’appui d’une demande adressée à la CNIL dans le cadre des dispositions de l’article 66 de la loi du 6 janvier 1978, s’agissant des traitements de données à caractère personnel dans le domaine de la santé non conformes à un référentiel, ne pouvant être mis en œuvre qu'après autorisation de la CNIL et du 6° de l’article 44 de la loi du 6 janvier 1978, s’agissant des traitements nécessaires à la recherche publique au sens de l'article L112-1 du code de la recherche.
En l’espèce, s’agissant d’une analyse d’impact transmise à la CNIL par le ministère de la justice à l’appui d’une demande d’avis sur un traitement relevant du champ d'application de la directive (UE) 2016/680 du 27 avril 2016 devant par conséquent être autorisé par décret en Conseil d’État pris après avis de la CNIL, en application des dispositions combinées de l’article 31 et du II de l’article 89 de la loi n° 78-17 du 6 janvier 1978, la CADA se déclare donc incompétente pour connaître de la communication des documents mentionnés aux points 3) et 4) de la demande.