Conseil 20183041 - Séance du 08/11/2018

Assistance publique-Hôpitaux de Marseille (AP-HM)

La commission d'accès aux documents administratifs a examiné dans sa séance du 27 septembre 2018 votre demande de conseil relative au caractère communicable, de manière partielle ou dans son intégralité, de l’analyse d’impact relative à la protection des données (AIPD) ou privacy impact assessement (PIA), à tout usager qui en ferait la demande.

L’article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement général pour la protection des données (RGPD) prévoit l’obligation pour un responsable de traitement d’effectuer, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel, « lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». L’article 36 du même règlement définit les cas dans lesquels le responsable du traitement est tenu de consulter l’autorité de contrôle et de lui transmettre l’analyse effectuée.

L’article 70-4 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, créé par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, dispose ainsi que : « Si le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu'il porte sur des données mentionnées au I de l'article 8, le responsable de traitement effectue une analyse d'impact relative à la protection des données à caractère personnel. / Si le traitement est mis en œuvre pour le compte de l’État, cette analyse d'impact est adressée à la Commission nationale de l'informatique et des libertés avec la demande d'avis prévue à l'article 30. / Dans les autres cas, le responsable de traitement ou son sous-traitant consulte la Commission nationale de l'informatique et des libertés préalablement à la mise en œuvre du traitement de données à caractère personnel : / 1° Soit lorsque l'analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque ; /2° Soit lorsque le type de traitement, en particulier en raison de l'utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées. »

La commission déduit de ces dispositions qu’une analyse d’impact relative à la protection des données, portant sur un traitement mis en œuvre par ou pour le compte de l’une des personnes visées à l’article L300-2 du code des relations entre le public et l’administration, constitue un document administratif au sens de cet article.

La commission estime, ensuite, que cette étude, dès lors qu'elle est achevée, est communicable à toute personne qui en fait la demande sur le fondement du code des relations entre le public et l’administration en application de l’article L311-1 du code des relations entre le public et l’administration, sous les réserves prévues par les articles L311-5 et L311-6 du même code.

A cet égard, la commission constate que les rubriques ou mentions suivantes relèvent des secrets protégés : le schéma illustrant les flux de données page 4, qui relève du secret des affaires, la partie relative à l’évaluation des mesures (pages 9 à 19) et la partie « Étude des risques » (pages 20 et suivantes), qui relèvent de la sécurité des systèmes d’information des administrations. Elle considère, par ailleurs, que l'occultation de ces mentions ne conduit pas à priver le document de tout son sens.

La commission considère en conséquence que l'étude d'impact est communicable à toute personne qui en fait la demande en application des dispositions de l'article L311-1 du code des relations entre le public et l'administration, sous les réserves qui viennent d'être précisées.