RGPD et CNIL

Par décret en date du 10 décembre 2018, le gouvernement a défini les règles relatives à la communication et la diffusion de documents administratifs, au sens de l’article L300-2 du Code des Relations entre le Public et l’Administration, contenant des données à caractère personnel.

Le texte pose un cadre général et propose quelques illustrations. S’intégrant dans le champ de la directive Public Sector Information II, il entre en conflit direct avec le Règlement Général relatif à la Protection des Données (RGPD) comme l’illustrent les observations de la CNIL sur le projet de décret (Délibération n° 2018-101 du 15 mars 2018 portant avis sur projet de décret pris pour l’application de l’article 6 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique).

 

La Commission souligne ainsi que le principe est celui de la non-communicabilité des données à caractère personnel. Elle suggère ensuite que la diffusion, à titre dérogatoire, respecte le principe de proportionnalité : ne pourraient ainsi être diffusées que « les informations strictementnécessaires à la satisfaction de l’objectif d’information du public ». La proposition d’ajout de l’adverbe n’a pas été retenue par le gouvernement, mais il témoigne de la façon dont la CNIL pourrait apprécier d’éventuelles plaintes à venir.

Au titre des documents communicables malgré la présence de données personnelles figurent ceux « nécessaires à l’information du public relatifs aux conditions d’organisation de l’administration », tels que les organigrammes, les annuaires des administrations et la liste des personnes inscrites à un tableau d’avancement ou sur une liste d’aptitude pour l’accès à un échelon, un grade ou un corps ou cadre d’emplois de la fonction publique. Alors que le texte laisse à penser que la diffusion est libre, la CNIL a suggéré plusieurs restrictions. Selon elle, les organigrammes et annuaires ne pourraient être communiqués « que dans une forme particulière, à savoir en l’absence des extensions téléphoniques des agents et des adresses professionnelles électroniques de ces derniers qui relèvent de la vie privée » et que seuls devraient pouvoir figurer dans ces documents les agents ayant un lien immédiat avec le public ou exerçant des responsabilités particulières. Les administrations sollicitées pourraient donc devoir procéder à une anonymisation partielle des organigrammes et annuaires.

Autre point d’attention, concernant les « documents nécessaires à l’information du public relatifs aux activités soumises à des formalités prévues par des dispositions législatives ou réglementaires notamment, en matière d’urbanisme, d’occupation du domaine public et de protection des données à caractère personnel ». Cet ajout tend à suggérer que la présence de données à caractère personnel dans le registre de traitement du délégué à la protection des données n’empêche pas de communiquer le document. Le DPD devrait donc lui-même respecter le principe de minimisation des données, lorsqu’il établit son registre.

Sont également visés les documents nécessaires « à l’information du public relatifs à l’enseignement et la recherche ». L’illustration proposée ici, à savoir les résultats obtenus par les candidats aux examens et concours administratifs ou conduisant à la délivrance des diplômes nationaux, ne permet pas de déterminer avec précision le champ de la communicabilité. La prudence semble ici de rigueur.

 

Reste à savoir comment le conflit entre la directive PSI II et le RGPD sera arbitré.

La sécurité juridique des administrations conduit à recommander d’interpréter le décret en tenant compte des observations de la CNIL. Les sanctions pouvant être prononcées par la CNIL sont en effet nettement plus lourdes que celles constatées en matière de refus de communication de documents administratifs.

Cette recommandation pratique ne résout pas la difficulté juridique.

Rappelons ainsi, à propos de la demande de la CNIL d’anonymiser les données relatives aux agents « n’ayant pas de lien immédiat avec le public ou n’exerçant pas de responsabilités particulières », que le Conseil d’Etat, la Cour de Cassation et la Cour Européenne des Droits de l’Hommes ont considéré que la diffusion du nom et du prénom d’un salarié ou d’un agent (CE, 30 mars 1990, n° 90237[1]) ou d’informations anodines (Civ. 1ère, 3 avril 2002, n° 99-19852 ; Civ. 2ème, 19 février 2004, n° 02-11122 ; Civ. 1ère, 8 juillet 2004, n° 02-17458) ne portaient pas en soi atteinte à la vie privée.

Face à cette évidente contradiction ou interprétation possible, il faudra non seulement faire preuve de vigilance mais également être accompagné juridiquement afin de définir la conduite à tenir dans chaque situation.

[1]« Considérant que la partie d’un contrat administratif mentionnant les nom et prénoms du cocontractant ne constitue pas, par elle-même, un document de caractère nominatif au sens de l’article 1er précité de la loi du 17 juillet 1978 ;».