Monsieur X, X, a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 5 décembre 2022, à la suite du refus opposé par le ministre des armées à sa demande de communication, dans le cadre d'une étude financée par l'Institut national du cancer, des éléments anonymisés suivants portant sur le suivi des cancers professionnels, depuis 1995 :
1) flux : nombre de demandes acceptées/refusées par année ;
2) individus : âge, sexe, commune de résidence, risques suivis, codes‐actes des examens réalisés au titre du suivi post-professionnel.

En l’absence de réponse du ministre des armées à la date de sa séance, la commission observe, en premier lieu, que le refus opposé à la demande était fondé sur ce que Monsieur X n’est pas au nombre des personnes dont le décret n° 2015-691 du 18 juin 2015 autorisant le traitement automatisé de données à caractère personnel dénommé « Piper » (production d'informations sur les personnels relevant du ministère de la défense) prévoit qu’elles puissent être destinataires des données de ce traitement.

La commission rappelle toutefois qu’aux termes de l’article 7 de la loi n° 78-17 du 6 janvier 1978, les dispositions de cette loi ne font pas obstacle à l’application, au bénéfice de tiers, des dispositions relatives à l’accès aux documents administratifs et aux archives publiques et qu’en conséquence, ne peut être regardée comme une personne non autorisée au sens du 6° de l'article 4 de cette loi le titulaire d'un droit d'accès exercé conformément aux autres dispositions législatives et réglementaires relatives à l'accès aux documents administratifs et aux archives publiques.

La commission relève, par ailleurs, que l’article L1460-1 du code de la santé publique dispose que : « Les données de santé à caractère personnel destinées aux services ou aux établissements publics de l’État ou des collectivités territoriales, aux professionnels de santé ou aux organismes de sécurité sociale peuvent faire l'objet de traitements présentant un caractère d'intérêt public, dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Ces traitements ne peuvent avoir ni pour objet ni pour effet de porter atteinte à la vie privée des personnes concernées. Ils ne doivent en aucun cas avoir pour fin l'identification directe ou indirecte de ces personnes. / Les citoyens, les usagers du système de santé, les professionnels de santé, les établissements de santé et leurs organisations représentatives ainsi que les organismes participant au financement de la couverture contre le risque maladie ou réalisant des traitements de données concernant la santé, les services de l’État, les institutions publiques compétentes en matière de santé et les organismes de presse ont accès aux données mentionnées au premier alinéa dans les conditions définies par la loi n° 78-17 du 6 janvier 1978 précitée et, le cas échéant, par les dispositions propres à ces traitements ».

Le chapitre III du titre II de la loi du 6 janvier 1978 comporte ainsi des dispositions relatives aux traitements de données à caractère personnel dans le domaine de la santé. Son article 66 prévoit notamment que de tels traitements ne peuvent être mis en œuvre qu’en considération de la finalité d’intérêt public qu’ils présentent et après déclaration auprès de la Commission nationale de l’informatique et des libertés (CNIL) de leur conformité à des référentiels établis en concertation avec la plateforme des données de santé mentionnée à l'article L1462-1 du code de la santé publique et des organismes publics et privés représentatifs des acteurs concernés. A défaut de conformité à ces référentiels, les traitements ne peuvent être mis en œuvre qu’après autorisation de la CNIL. Le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé peut se saisir ou être saisi, par la CNIL ou le ministre chargé de la santé, sur le caractère d'intérêt public que présentent les traitements de données à caractère personnel dans le domaine de la santé. En vertu de l’article 90 du décret n° 2019-536 du 29 mai 2019, ce comité émet alors un avis sur la méthodologie retenue, sur la nécessité du recours à des données à caractère personnel, sur la pertinence de celles-ci par rapport à la finalité du traitement et, s'il y a lieu, sur la pertinence scientifique et éthique du projet et peut recommander aux demandeurs des modifications de leur projet.

La commission constate dès lors que les dispositions de la loi du 6 janvier 1978, auxquelles renvoie l’article L1460-1 du code de la santé publique, encadrent ainsi la mise en œuvre des traitements portant sur des données de santé à caractère personnel mais ne régissent pas l’accès à ces données par des tiers. La commission observe qu’il en va de même des dispositions des articles L1461-1 et suivants du code de la santé publique relatives au système national des données de santé, dont le groupement d’intérêt public « Plateforme des données de santé » a la charge.

La commission se déclare par suite compétente pour se prononcer sur l’ensemble de la demande d’avis de Monsieur X, sur le fondement du titre III du code des relations entre le public et l’administration.

En deuxième lieu, la commission estime que les documents sollicités, s’ils existent, sont communicables à toute personne qui les demande sur le fondement de l’article L311-1 du code des relations entre le public et l’administration, sous réserve de l’occultation des mentions couvertes par le secret de la vie privée, et à condition de ne pouvoir identifier les personnes concernées.

Elle rappelle à cet égard qu’elle considère de manière constante que sont des documents administratifs existants au sens de l’article L300-2 du code des relations entre le public et l’administration, ceux qui sont susceptibles d’être obtenus par un traitement automatisé d’usage courant. Il résulte en effet de la décision du Conseil d’État du 13 novembre 2020, n° 432832, publié aux Tables, que constituent des documents administratifs, au sens de ces dispositions, les documents qui peuvent être établis par extraction des bases de données dont l’administration dispose, si cela ne fait pas peser sur elle une charge de travail déraisonnable, laquelle doit être interprétée de façon objective.

La commission précise, à ce titre, que les informations demandées doivent pouvoir être obtenues par un traitement automatisé de données, sans retraitements successifs, en particulier par des interventions manuelles. Elle estime également que, lorsque les informations sollicitées doivent, pour être extraites d'un fichier informatique, faire l'objet de requêtes informatiques complexes ou d'une succession de requêtes particulières qui diffèrent de l'usage courant pour lequel le fichier informatique dans lequel elles sont contenues a été créé, l'ensemble des informations sollicitées ne peut alors être regardé comme constituant un document administratif existant (avis n° 20222817, 20222850 et 20222936 du 23 juin 2022). Une demande portant sur la communication d'un tel ensemble d'informations doit dès lors être regardée comme tendant à la constitution d'un nouveau document (conseil n° 20133264 du 10 octobre 2013) et, par suite, être déclarée irrecevable.

En outre, la commission souligne qu'aux termes de l'article L311-6 du code des relations entre le public et l'administration, « Ne sont communicables qu'à l'intéressé les documents administratifs : 1° Dont la communication porterait atteinte à la protection de la vie privée (...) ». La commission rappelle également qu'aux termes de l’article L311-7 du même code « lorsque la demande porte sur un document comportant des mentions qui ne sont pas communicables en application des articles L311-5 et L 311-6 mais qu'il est possible d'occulter ou de disjoindre, le document est communiqué au demandeur après occultation ou disjonction de ces mentions ». Elle précise que l'occultation peut consister à anonymiser un document, à condition que cette anonymisation soit suffisante pour prévenir tout risque d'identification des personnes intéressées.

En l’espèce, en l’état des informations dont elle dispose, la commission est d’avis que les données relatives à la commune de résidence des individus sont susceptibles de permettre une identification des personnes concernées et ne sont pas communicables au demandeur à ce titre. Elle souligne qu’il peut en aller de même des données relatives aux risques suivis ou aux codes-actes des examens réalisés au titre du suivi post-professionnel, en fonction de leur degré de précision et du nombre de personnes concernées.

La commission émet dès lors un avis favorable à la demande, sous réserve que le document existe ou puisse être obtenu par un traitement automatisé d’usage courant et sous réserve de la parfaite anonymisation des données.

En dernier lieu, la commission rappelle que le demandeur, en qualité de réutilisateur des données ainsi communiquées, devra se conformer à la loi du 6 janvier 1978 et au RGPD dès lors qu'il sera alors regardé comme un responsable de traitement de données à caractère personnel dans le domaine de la santé. Il devra notamment s'assurer que l'usage qu'il entend en faire respecte les principes relatifs au traitement de telles données définis par les dispositions de cette loi et celles du code de la santé publique rappelées précédemment.