Par Haas Avocats
La question de l’accès aux données personnelles dans le secteur public conduit à s’interroger à la fois sur le principe de liberté d’accès aux documents administratifs[1] et sur le droit d’accès au sens du RGPD.Bien qu’un accès aux documents administratifs puisse induire un accès aux données personnelles qui y figurent, comme le rappelle la CNIL ; il s’agit bien de deux dispositifs différents.[2].
L’article 15 du RGPD vient faciliter la confirmation de l’existence ou non d’un traitement de données personnelles réalisé par l’administration, ainsi que la transmission des données personnelles traitées aux administrés et agents publics qui en font la demande.
Comme tout responsable de traitement de données à caractère personnel, les personnes morales de droit public sont tenues de faire droit aux demandes d’accès qui leur parviennent après s’être assurée de l’identité du demandeur et de l’absence d’atteinte au droit d’un tiers.
Dans le secteur public, plusieurs dispositions légales ou réglementaires sectorielles peuvent régir des demandes de communication d’informations personnelles. C’est notamment le cas lorsqu’un :
Comme pour le secteur privé, les demandes de droit d’accès non traitées sont un enjeu important pour les acteurs publics.
Le rapport annuel d’activité de la CNIL de 2022 fait état de 1512 plaintes dénonçant les manquements commis dans le traitement des demandes d’accès en matière de gestion des relations commerciales et de travail. Au surplus, il est indiqué que 120 plaintes ont été déposées auprès de la CNIL pour des manquements relatifs à la transmission des dossiers médicaux.[6]
Les administrations[7] sont tenus répondre à la fois aux demandes de communications de document administratif, les établissements publics doivent désormais traiter les demandes d’accès régies par l’article 15 du RGPD.
Conformément à l’article 86 du RGPD, il revient aux états membres de prévoir les modalités de communication des documents administratifs.
L’objet de ces deux dispositifs est différent, l’un concerne la communication de documents administratifs (contenant ou non des données personnelles), alors que l’autre concerne exclusivement la transmission de données personnelles.
Ainsi, les motifs de refus applicables à la communication d’un document administratif (ces motifs de refus pouvant résider dans l’inachèvement du document demandé par l’administré, le caractère préparatoire dudit document à une décision administrative) ne s’appliqueraient pas aux données personnelles objet de demande d’accès.
Dans le cadre d’une demande de droit d’accès émanant d’un agent public ou d’un administré, l’établissement public ne pourra opposer son refus qu’à la condition de démontrer :
Enfin, le contrôle du respect du droit d’accès aux données personnelles et du droit de communication des documents administratifs relève de deux autorités distinctes, la CNIL d’une part et la CADA d’autre part.
L’agent public peut librement accéder à son dossier individuel[9] contenant l’intégralité des informations relatives à sa situation administrative et à l’évolution de sa carrière (ex : son état civil, sa situation familiale, son évaluation professionnelle, les formations suivies etc.). A cette fin, il doit adresser sa requête à l’établissement public qui l’emploie.
A titre dérogatoire, l’agent public territorial doit exercer sa demande de droit d’accès auprès du centre de gestion affilié à la collectivité pour laquelle il travail. Il incombe à au centre de gestion de constituer et de mettre à jour son dossier individuel pour le compte de cette collectivité[10].
Dans le cadre d’un détachement ou d’une mise à disposition de l’agent public, la demande d’accès devra être faite auprès de l’administration d’accueil seulement si elle porte sur les données collectées durant la période de détachement ou de mise à disposition. En ce qui concerne les données collectées avant son détachement ou sa mise à disposition, la demande de droit d’accès devra être adressée à l’administration d’origine.
En revanche, le dossier individuel de l’agent public sera intégralement transféré à l’administration d’accueil lorsque :
Dans ces cas de figure, l’agent public pourra exercer son droit d’accès auprès de l’administration d’accueil.
Le droit d’accès aux données personnelles permet aux personnes concernées (administrés, usagers, agents publics…) d’obtenir du responsable de traitement la confirmation de l’existence ou non d’un traitement de données personnelles les concernant, les finalités du traitement, les destinataires du traitement, les catégories de données traitées, la copie de leurs données et le cas échéant, l’existence d’un transfert de leurs données vers un pays tiers.
L’article 15 du RGPD prévoit impose en outre de fournir des informations supplémentaires au demandeur, à savoir :
Ces informations doivent être communiquées gratuitement aux personnes concernées dans le délai d’un mois à compter de leur demande. Ce délai peut être prolongé de 2 mois compte tenu de la complexité ou du nombre des demandes que l’administration doit traiter.
Les acteurs du secteur public sont donc soumis à différentes obligations qui leur impose de fournir l’accès à des données ou documents aux personnes concernées, qu’il s’agisse d’administrés, de patients, d’usagers, ou d’agents publics.
Chacune de ces obligations s’inscrit dans des régimes juridiques différents mais qui peuvent être complémentaires.
En tout état de cause, il est essentiel pour les acteurs publics de mettre en place des procédures internes adéquates pour qualifier les demandes et les traiter conformément au régime applicable, afin d’éviter de générer un litige qui pourrait donner lieu à l’intervention des autorités administratives indépendantes compétentes (CNIL, CADA…), voire à un contentieux.
Les personnes concernées sont de plus en plus sensibilisées à l’existence de leurs différents droits d’accès et il est important d’anticiper l’augmentation progressive du nombre de demandes afin d’assurer le respect des délais prévus par la réglementation.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Article L311-1 du code des relations entre le public et l’administration (CRPA) : « Sous réserve des dispositions des articles L. 311-5 et L. 311-6, les administrations mentionnées à l'article L. 300-2 sont tenues de publier en ligne ou de communiquer les documents administratifs qu'elles détiennent aux personnes qui en font la demande, dans les conditions prévues par le présent livre ».
[2] Le droit d'accès des salariés à leurs données et aux courriers professionnels
[3] Article R.1111-1 du Code de la santé publique
[4] Article L311-1 du Code des relations entre le public et l’administration
[6] CNIL, Rapport annuel 2022, page 39
[7] Il s’agit des administration visées par l’article L300-2 du CRPA soit l'Etat, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une telle mission.
[8] Dans les conditions prévues à l’article 11 du RGPD
[9] Article L.137-4 Code général de la fonction publique : « Tout agent public a accès à son dossier individuel ».
[10] Service public, Dossier administratif d’un agent public : quelles sont les règles de gestion ?