Un rapport invite le gouvernement à écarter une fusion CNIL/CADA

Next INpact diffuse aujourd’hui le rapport de la mission Massot sur le rapprochement entre CNIL et CADA, lancée dans la plus grande discrétion en début d’année. Sa conclusion ? Qu’une fusion entre les deux institutions n’est pas opportune, au moins à court et moyen terme.

Annoncée en octobre 2015 au travers d’un grossier « ballon d’essai » – un article du Parisien faisant référence à des sources gouvernementales, la fusion entre la Commission nationale de l’informatique et des libertés (CNIL) et la Commission d’accès aux documents administratifs (CADA) n’aura finalement pas lieu. La méthode avait beaucoup surpris à l’époque : la réforme n’était absolument pas au programme de l’avant-projet de loi Numérique, tout juste soumis à l’avis des internautes dans le cadre de la grande consultation organisée sous la houlette de Bercy.

Différentes voix s’étaient d’ailleurs rapidement élevées contre ce projet, ce qui avait conduit le gouvernement à annoncer début novembre par la voix d’Axelle Lemaire qu’un simple « rapprochement » serait opéré, « l'objectif n'étant pas la fusion qui aboutirait à l'avalement d'une autorité par une autre ». La secrétaire d’État au Numérique avait également promis le lancement d’une mission, dont on apprendra en avril dernier au détour de débats au Sénat qu’elle fut confiée entretemps à Jean Massot, président de section honoraire au Conseil d’État.

Après des mois de sollicitations, le cabinet d’Axelle Lemaire a fini par nous transmettre les conclusions de cette mission (qui lui ont pourtant été remises dès la fin mars). Suite au vote de la loi Numérique, le fameux rapport avait de toute manière vocation à être considéré comme un document administratif... communicable au titre de la loi CADA de 1978. Il aurait été alors pour le moins piquant que nous ayons à lancer une procédure CADA pour l’obtenir !

Pas de « nécessité immédiate » d’un rapprochement plus poussé

Après avoir ausculté le rapprochement engagé par le projet de loi Numérique (le président de la CNIL siègera à la CADA, et vice-versa ; les deux institutions pourront se réunir en cas de besoin dans un collège unique), Jean Massot retient que rien ne fait « apparaître la nécessité immédiate d’un renforcement des modes de coopération entre les deux institutions ».

Le seul véritable point d’achoppement de la réforme à venir concerne l’anonymisation des données publiques ayant vocation à être publiées en Open Data. La CNIL se voit en effet chargée de publier des « référentiels » ou des « méthodologies générales » à ce sujet, afin d’éviter que certains documents administratifs ne soient mis en ligne sans avoir préalablement été purgés de leurs données personnelles. « C’est un cas évident de recoupement avec les attributions de la CADA lorsque cette dernière sera saisie en cas de refus de communication, publication ou réutilisation de tels documents ou bases de données à caractère personnel, compétence que le texte ne lui retire pas » prévient Jean Massot (qui a eu l’occasion de siéger au long de sa carrière aussi bien à la CNIL qu’à la CADA).

En clair, le risque est que les deux autorités administratives indépendantes aient une interprétation différente des informations à occulter. L’auteur du rapport estime néanmoins que cet obstacle devrait être très facilement surmontable, à condition que « la CADA applique loyalement les dispositions générales arrêtées par la CNIL ».

Deux institutions « fondamentalement différentes »

Jean Massot insiste surtout sur les différences qui caractérisent les deux institutions. Sur leurs missions tout d’abord, qui répondent selon lui à des orientations « fondamentalement différente[s] » : protéger les données personnelles pour la première, encourager les administrations à publier des informations publiques pour la seconde.

« Pour les modes d’intervention, le contraste est tout aussi frappant, poursuit le rapport : la CNIL exerce, sous le contrôle du juge administratif, un large pouvoir réglementaire (...), en édictant pour les traitements de données personnelles, des autorisations uniques ou normes simplifiées, sans préjudice d’autres interventions de caractère tout aussi général sous forme d’instruments de droit souple, labels, packs de conformité, méthodologies de référence, tout cela encadrant les demandes individuelles qui lui sont présentées et permettant d’en simplifier l’examen. En revanche, l’action de la CADA s’exerce essentiellement par des avis en réponse à des demandes individuelles des usagers du service public qui souhaitent accéder aux données détenues par ces services, sous réserve de quelques possibilités de conseils à ces services publics, simplement évoquées au niveau réglementaire et qui représentent moins de 2 % des saisines. »

En outre, la CNIL est la seule à disposer d’un pouvoir de contrôle, en ligne et sur place, rappelle Jean Massot. Elle bénéficie également « d’un pouvoir de sanction sans commune mesure avec celui de la CADA qui ne concerne que certains aspects de la réutilisation des données publiques ».

« La différence apparaît aussi dans le poids très différent du budget et du personnel de chaque institution : 16 millions d’euros et 189 agents dont plus des deux tiers de catégorie A pour la CNIL, 1 million et une douzaine d’ETP [équivalent temps plein, ndlr] de catégorie B et C pour la CADA qui fait surtout appel à des rapporteurs à temps très partiel. »

Pas de réouverture du dossier avant 2018

Jean Massot juge en conclusion que le législateur ne devrait pas chercher à aller plus loin pour le moment. Il invite néanmoins les pouvoirs publics à rouvrir ce dossier « à échéance d’un ou deux ans », une fois que le règlement européen relatif aux données personnelles sera entré en vigueur (le 25 mai 2018).

« D’ici là, on pourrait utilement se livrer à une étude approfondie des pays qui ont adopté le système d’une autorité ayant la double compétence, en apparence contradictoire, de la transparence des données publiques et de la protection de données personnelles ». Jean Massot a toutefois du mal à cacher qu’une éventuelle fusion ne lui semble guère intéressante, surtout si son leitmotiv est avant tout d'ordre budgétaire : « Il est a priori vraisemblable que, pour conserver les avantages que présente actuellement en France le recours à deux institutions, cela ne pourrait se faire que par la création de deux sections au sein de l’organisme unique et donc sans économie appréciable. »

• Accéder au rapport de Jean Massot sur le rapprochement CNIL/CADA (PDF)