Le droit d’accès aux données personnelles dans le secteur public

Le droit d’accès aux données personnelles dans le secteur public
⏱ Lecture 5 min

Par Haas Avocats

La question de l’accès aux données personnelles dans le secteur public conduit à s’interroger à la fois sur le principe de liberté d’accès aux documents administratifs[1] et sur le droit d’accès au sens du RGPD.

Bien qu’un accès aux documents administratifs puisse induire un accès aux données personnelles qui y figurent, comme le rappelle la CNIL ; il s’agit bien de deux dispositifs différents.[2].

L’article 15 du RGPD vient faciliter la confirmation de l’existence ou non d’un traitement de données personnelles réalisé par l’administration, ainsi que la transmission des données personnelles traitées aux administrés et agents publics qui en font la demande.

Comme tout responsable de traitement de données à caractère personnel, les personnes morales de droit public sont tenues de faire droit aux demandes d’accès qui leur parviennent après s’être assurée de l’identité du demandeur et de l’absence d’atteinte au droit d’un tiers.

Les demandes de communication d'informations personnelles

Dans le secteur public, plusieurs dispositions légales ou réglementaires sectorielles peuvent régir des demandes de communication d’informations personnelles. C’est notamment le cas lorsqu’un :

  • patient souhaite obtenir la communication de son dossier médical sous huitaine[3];
  • agent public demande la transmission d’un document administratif contenant des données personnelles le concernant[4];
  • le droit pour un administré de demander à accéder à l’ensemble des données personnelles que collecte et traite une personne morale de droit public[5].

Comme pour le secteur privé, les demandes de droit d’accès non traitées sont un enjeu important pour les acteurs publics.

Le rapport annuel d’activité de la CNIL de 2022 fait état de 1512 plaintes dénonçant les manquements commis dans le traitement des demandes d’accès en matière de gestion des relations commerciales et de travail. Au surplus, il est indiqué que 120 plaintes ont été déposées auprès de la CNIL pour des manquements relatifs à la transmission des dossiers médicaux.[6]

Les régimes juridiques de la demande d’accès aux documents administratifs et du droit d’accès aux données personnelles

Les administrations[7] sont tenus répondre à la fois aux demandes de communications de document administratif, les établissements publics doivent désormais traiter les demandes d’accès régies par l’article 15 du RGPD.

Conformément à l’article 86 du RGPD, il revient aux états membres de prévoir les modalités de communication des documents administratifs.

L’objet de ces deux dispositifs est différent, l’un concerne la communication de documents administratifs (contenant ou non des données personnelles), alors que l’autre concerne exclusivement la transmission de données personnelles.

Ainsi, les motifs de refus applicables à la communication d’un document administratif (ces motifs de refus pouvant résider dans l’inachèvement du document demandé par l’administré, le caractère préparatoire dudit document à une décision administrative) ne s’appliqueraient pas aux données personnelles objet de demande d’accès.

Dans le cadre d’une demande de droit d’accès émanant d’un agent public ou d’un administré, l’établissement public ne pourra opposer son refus qu’à la condition de démontrer :

  • qu’il n’est pas en mesure de confirmer l’identité du demandeur[8];
  • que la demande de droit d’accès est manifestement infondée ou excessive.
  • qu’il porte atteinte aux droits et libertés de tiers

Enfin, le contrôle du respect du droit d’accès aux données personnelles et du droit de communication des documents administratifs relève de deux autorités distinctes, la CNIL d’une part et la CADA d’autre part.

Le cas spécifique de la demande de droit d’accès des agents publics à leur dossier individuel

L’agent public peut librement accéder à son dossier individuel[9] contenant l’intégralité des informations relatives à sa situation administrative et à l’évolution de sa carrière (ex : son état civil, sa situation familiale, son évaluation professionnelle, les formations suivies etc.). A cette fin, il doit adresser sa requête à l’établissement public qui l’emploie.

A titre dérogatoire, l’agent public territorial doit exercer sa demande de droit d’accès auprès du centre de gestion affilié à la collectivité pour laquelle il travail. Il incombe à au centre de gestion de constituer et de mettre à jour son dossier individuel pour le compte de cette collectivité[10].

Dans le cadre d’un détachement ou d’une mise à disposition de l’agent public, la demande d’accès devra être faite auprès de l’administration d’accueil seulement si elle porte sur les données collectées durant la période de détachement ou de mise à disposition. En ce qui concerne les données collectées avant son détachement ou sa mise à disposition, la demande de droit d’accès devra être adressée à l’administration d’origine.

En revanche, le dossier individuel de l’agent public sera intégralement transféré à l’administration d’accueil lorsque :

  • le fonctionnaire est muté ou qu’il intègre un nouveau corps ou cadre d’emploi ou ;
  • l’agent public contractuel est embauché dans une nouvelle administration ;

Dans ces cas de figure, l’agent public pourra exercer son droit d’accès auprès de l’administration d’accueil.

Le traitement du droit d’accès aux données personnelles

Le droit d’accès aux données personnelles permet aux personnes concernées (administrés, usagers, agents publics…) d’obtenir du responsable de traitement la confirmation de l’existence ou non d’un traitement de données personnelles les concernant, les finalités du traitement, les destinataires du traitement, les catégories de données traitées, la copie de leurs données et le cas échéant, l’existence d’un transfert de leurs données vers un pays tiers.

L’article 15 du RGPD prévoit impose en outre de fournir des informations supplémentaires au demandeur, à savoir :

  • la durée de conservation de leurs données personnelles ;
  • les garanties particulières prises en cas de transfert de données vers un pays tiers ou une organisation internationale ne disposant pas d’une décision d’adéquation ;
  • l’existence d’une décision automatisée fondée sur un profilage.
  • leurs droits de rectification et d’effacement des données ;
  • leur droit de retrait du consentement lorsqu’ils ont consenti à la mise en œuvre du traitement ;
  • leur droit d’introduire une réclamation auprès de la CNIL.

Ces informations doivent être communiquées gratuitement aux personnes concernées dans le délai d’un mois à compter de leur demande. Ce délai peut être prolongé de 2 mois compte tenu de la complexité ou du nombre des demandes que l’administration doit traiter.

Les acteurs du secteur public sont donc soumis à différentes obligations qui leur impose de fournir l’accès à des données ou documents aux personnes concernées, qu’il s’agisse d’administrés, de patients, d’usagers, ou d’agents publics.

Chacune de ces obligations s’inscrit dans des régimes juridiques différents mais qui peuvent être complémentaires.

En tout état de cause, il est essentiel pour les acteurs publics de mettre en place des procédures internes adéquates pour qualifier les demandes et les traiter conformément au régime applicable, afin d’éviter de générer un litige qui pourrait donner lieu à l’intervention des autorités administratives indépendantes compétentes (CNIL, CADA…), voire à un contentieux.

Les personnes concernées sont de plus en plus sensibilisées à l’existence de leurs différents droits d’accès et il est important d’anticiper l’augmentation progressive du nombre de demandes afin d’assurer le respect des délais prévus par la réglementation.

***

Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.

 

 

[1] Article L311-1 du code des relations entre le public et l’administration (CRPA) : « Sous réserve des dispositions des articles L. 311-5 et L. 311-6, les administrations mentionnées à l'article L. 300-2 sont tenues de publier en ligne ou de communiquer les documents administratifs qu'elles détiennent aux personnes qui en font la demande, dans les conditions prévues par le présent livre ».

[2] Le droit d'accès des salariés à leurs données et aux courriers professionnels

[3] Article R.1111-1 du Code de la santé publique

[4] Article L311-1 du Code des relations entre le public et l’administration 

[5] Article 15 du RGPD

[6] CNIL, Rapport annuel 2022, page 39

[7] Il s’agit des administration visées par l’article L300-2 du CRPA soit l'Etat, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une telle mission.

[8] Dans les conditions prévues à l’article 11 du RGPD

[9] Article L.137-4 Code général de la fonction publique : « Tout agent public a accès à son dossier individuel ».

[10] Service public, Dossier administratif d’un agent public : quelles sont les règles de gestion ?

Haas Avocats

Auteur Haas Avocats

Suivez-nous sur Linkedin