Réponse publiée le 16 mai 2017

Dans son étude annuelle consacrée au numérique et aux droits fondamentaux, le Conseil d'Etat propose que soient mises en « open data » toutes les déclarations et autorisations de traitements de données (proposition no 9). Toujours dans la même proposition, le Conseil d'Etat, anticipant les conséquences du règlement européen du 27 avril 2016 applicable à compter du 25 mai 2018 sur les déclarations de traitement, suggère la publication annuelle d'un rapport d'information sur les traitements mis en œuvre dans leur organisme par les délégués à la protection des données. Il convient d'abord de préciser que les déclarations et les autorisations sont en partie amenées à disparaitre à court terme avec l'entrée en application du règlement du 27 avril 2016 qui réduit les charges administratives pesant sur les responsables de traitement. En effet, les obligations de déclarations et d'autorisations du traitement seront remplacées, dans un certain nombre de cas, par l'obligation pour le responsable de traitement d'édicter une étude d'impact et d'établir une documentation interne que le délégué à la protection des données tiendra à disposition de la CNIL. S'agissant ensuite de l'obligation pour les délégués à la protection des données de publier annuellement un rapport, il convient de relever, d'une part, que la création d'une nouvelle obligation d'« open data » concernant cette documentation reviendrait à créer une nouvelle charge non prévue par le règlement. D'autre part, la publication des consultations et des autorisations aurait un coût important pour les responsables de traitement. Enfin, dans la mesure où l'obligation de publication pourrait elle-même révéler des informations sur le niveau de sécurité du traitement ou comporter des données personnelles, elle devrait en tout état de cause comporter des aménagements et des dérogations (anonymisation, exclusion des traitements sensibles…). Il n'est donc pas prévu de mettre en œuvre cette proposition dans l'immédiat.