Article 86 RGPD : accès aux documents officiels décrypté

L’article 86 du RGPD est l’une de ces dispositions très brèves qui régissent en réalité un champ immense : tout ce qui touche à la diffusion de données personnelles par les administrations publiques, des avis CADA aux registres légaux, du Bulletin officiel à l’open data des décisions de justice. Dans mon expérience de conseil auprès d’administrations centrales et de collectivités territoriales, c’est l’article du RGPD le plus souvent ignoré et le plus régulièrement mal articulé avec le droit français de l’accès aux documents administratifs. La CADA ne raisonne pas comme la CNIL, le réflexe « open data par défaut » de la loi République numérique se télescope avec la minimisation de l’Art. 5 RGPD, et la jurisprudence européenne resserre régulièrement les marges de manœuvre. Voici l’analyse paragraphe par paragraphe et la lecture française de l’Art. 86 du RGPD, avec les six chantiers opérationnels à conduire dans toute organisation publique ou délégataire d’une mission de service public.

Ce que dit l’article 86 du RGPD

L’Art. 86 RGPD s’intitule « Traitement et accès du public aux documents officiels ». Il appartient au chapitre IX du règlement consacré aux situations particulières de traitement, aux côtés de l’Art. 85 sur la liberté d’expression et le journalisme, de l’Art. 87 sur le NIR, de l’Art. 88 sur les relations de travail, de l’Art. 89 sur la recherche, l’archivage et la statistique et de l’Art. 90 sur les obligations de secret professionnel. Sa fonction est de poser une règle de conciliation entre deux objectifs d’égale dignité juridique : le droit fondamental à la protection des données et le principe de transparence administrative qui fonde la démocratie.

Le texte est composé d’un paragraphe unique :

« Les données à caractère personnel figurant dans des documents officiels détenus par une autorité publique ou par un organisme public ou un organisme privé pour l’exécution d’une mission d’intérêt public peuvent être communiquées par ladite autorité ou ledit organisme conformément au droit de l’Union ou au droit de l’État membre auquel est soumis l’autorité publique ou l’organisme public, afin de concilier l’accès du public aux documents officiels et le droit à la protection des données à caractère personnel au titre du présent règlement. »

Le considérant 154 éclaire l’esprit du texte : « L’accès du public aux documents officiels peut être considéré comme étant d’intérêt public. Les données à caractère personnel figurant dans des documents détenus par une autorité publique ou un organisme public devraient pouvoir être rendues publiques par ladite autorité ou ledit organisme si cette communication est prévue par le droit de l’Union ou le droit de l’État membre dont relève l’autorité publique ou l’organisme public. »

Article 86 : trois règles structurantes

La rédaction est courte mais elle pose trois règles cumulatives qu’il faut lire ensemble.

Première règle : un fondement juridique national est obligatoire

La communication n’est licite que si elle est prévue « par le droit de l’Union ou le droit de l’État membre ». Le RGPD ne crée donc aucun droit d’accès autonome aux documents officiels. Il renvoie au droit national. En France, ce droit national est constitué d’un socle général et de régimes sectoriels.

Le socle général est codifié au livre III du Code des relations entre le public et l’administration (CRPA), qui a repris en 2016 le contenu de la célèbre loi n° 78-753 du 17 juillet 1978 sur l’accès aux documents administratifs. L’Art. L. 311-1 CRPA pose le principe : « Sous réserve des dispositions des articles L. 311-5 et L. 311-6, les administrations mentionnées à l’article L. 300-2 sont tenues de publier en ligne ou de communiquer les documents administratifs qu’elles détiennent aux personnes qui en font la demande. » Le périmètre des administrations soumises est précisé par l’Art. L. 300-2 CRPA : l’État, les collectivités territoriales, les établissements publics, et toute personne de droit privé chargée d’une mission de service public.

À ce socle s’ajoutent des dizaines de régimes sectoriels : registre du commerce et des sociétés (Art. L. 123-6 C. com.), répertoire SIRENE (Art. R. 123-220 C. com.), Bodacc, Journal officiel (Art. 1 de l’ordonnance n° 2004-164 du 20 février 2004), publicité foncière (décret n° 55-22 du 4 janvier 1955), publicité des décisions de justice (Art. L. 10 CJA et Art. L. 111-13 COJ depuis la loi n° 2019-222 du 23 mars 2019), Bulletin officiel d’annonces des marchés publics (BOAMP), Bulletin officiel d’annonces civiles et commerciales (BODACC), publications électorales (Art. L. 28 C. élect.), patrimoine des élus (Art. L.O. 135-1 C. élect. et loi n° 2013-907 du 11 octobre 2013).

Deuxième règle : la conciliation effective avec le RGPD

Le texte exige expressément que la communication permette de « concilier l’accès du public aux documents officiels et le droit à la protection des données à caractère personnel au titre du présent règlement ». Cette formule n’est pas rhétorique. Elle impose au législateur national et à l’autorité administrative qui applique la loi d’effectuer une mise en balance concrète. La jurisprudence européenne contrôle cette mise en balance avec exigence.

La décision CJUE C-92/09 et C-93/09 Volker und Markus Schecke du 9 novembre 2010 a fixé la grammaire : la publication nominative des bénéficiaires d’aides agricoles a été partiellement annulée parce qu’elle ne distinguait pas selon la durée du versement, le montant ou la nature de l’aide. Quinze ans plus tard, la CJUE a confirmé et durci cette approche dans l’arrêt C-184/20 Vyriausioji tarnybinės etikos komisija du 1er août 2022 : la mise en ligne intégrale des déclarations d’intérêts des fonctionnaires lituaniens a été jugée disproportionnée, notamment parce qu’elle révélait des données sur les conjoints et que le contrôle pouvait être assuré de façon moins intrusive. Cette décision est centrale parce qu’elle articule directement l’Art. 86 RGPD au test de proportionnalité de l’Art. 52(1) de la Charte des droits fondamentaux.

Côté français, le Conseil d’État a tiré les conséquences de cette exigence dans plusieurs arrêts. Dans la décision CE 21 janvier 2021 n° 437037 La Quadrature du Net e.a., il a précisé les conditions de l’open data des décisions de justice : la mise à disposition « ne peut intervenir qu’après une pseudonymisation préalable des noms et prénoms des personnes physiques mentionnées dans la décision, lorsqu’elles sont parties ou tiers ». Dans l’arrêt CE 8 février 2017 n° 389806, il avait déjà annulé une décision de refus de la CADA en jugeant que le droit à communication doit être combiné avec la protection de la vie privée.

Troisième règle : un champ matériel précis

L’article ne couvre que les « données à caractère personnel figurant dans des documents officiels détenus par une autorité publique ou par un organisme public ou un organisme privé pour l’exécution d’une mission d’intérêt public ». Trois éléments doivent donc être qualifiés :

• Le caractère officiel du document. La notion est plus restrictive que la notion de « document administratif » du CRPA. Elle suppose une formalisation, une traçabilité institutionnelle, un acte juridique ou administratif identifiable. Une note interne purement préparatoire échappe en principe à l’Art. 86.
• La qualité du détenteur. Sont visées les autorités publiques au sens fonctionnel (incluant les autorités administratives indépendantes comme la CNIL elle-même, la CADA, l’ARCEP, l’AMF), les organismes publics (établissements publics administratifs et industriels et commerciaux, EPA-EPIC), et les organismes privés exécutant une mission d’intérêt public. Cette dernière catégorie englobe par exemple les fédérations sportives délégataires, les ordres professionnels, les caisses de sécurité sociale et certaines sociétés d’économie mixte.
• Le rattachement à une mission d’intérêt public pour les opérateurs privés. Une société commerciale qui exploite un service public industriel et commercial entre dans le champ, mais uniquement pour les documents produits à raison de cette mission, pas pour ses activités concurrentielles.

Le cadre français : socle CADA et régimes spéciaux

La doctrine française a construit sur soixante ans un édifice juridique cohérent que l’Art. 86 RGPD vient encadrer sans le remplacer. Trois étages doivent être distingués.

Premier étage : le droit commun de la communication des documents administratifs

Le livre III du CRPA pose un principe d’accès large, tempéré par des exceptions limitativement énumérées à l’Art. L. 311-5 (documents préparatoires, sécurité publique, secrets relatifs à la défense nationale, instruction d’affaires juridictionnelles) et à l’Art. L. 311-6 (atteinte à la vie privée, secret médical, secret en matière commerciale et industrielle, secret en matière de statistiques, comportement révélant des poursuites). L’Art. L. 311-7 organise l’occultation des mentions protégées : « Lorsque la demande porte sur un document comportant des mentions qui ne sont pas communicables (…), il est procédé à leur occultation lorsqu’il est possible de la réaliser. »

La CADA, autorité administrative indépendante créée par la loi du 17 juillet 1978, rend chaque année plusieurs milliers d’avis sur la communicabilité. Son office a évolué : longtemps centré sur l’arbitrage cas par cas, il intègre désormais une dimension RGPD systématique depuis l’avis CADA n° 20210148 du 25 mars 2021 qui a précisé que la mention des noms des fonctionnaires dans des documents internes ne peut être communiquée que si elle s’inscrit dans l’exercice de fonctions d’autorité publique et que sa diffusion respecte les principes de l’Art. 5 RGPD.

Deuxième étage : la diffusion proactive et l’open data

La loi n° 2016-1321 du 7 octobre 2016 dite « République numérique » a inversé partiellement la logique du droit français : ce n’est plus seulement la communication sur demande, mais la diffusion proactive en ligne qui devient le principe. L’Art. L. 312-1-1 CRPA impose ainsi aux administrations comptant plus de cinquante agents la mise à disposition gratuite et réutilisable des documents qu’elles publient et des bases de données qu’elles produisent ou reçoivent. L’Art. L. 312-1-2 CRPA précise que cette publication doit être précédée d’un traitement des données à caractère personnel : occultation, anonymisation ou recueil du consentement, selon les cas.

Le décret n° 2018-1117 du 10 décembre 2018 a fixé la liste des documents pour lesquels l’occultation préalable est obligatoire avant publication. La CNIL et la CADA ont publié un guide pratique conjoint en juillet 2019 qui détaille la méthodologie : qualification du document, identification des données à caractère personnel, choix entre anonymisation et pseudonymisation, gestion des risques de réidentification au sens de l’avis G29/CEPD WP216 du 10 avril 2014 sur les techniques d’anonymisation, articulation avec la pseudonymisation et l’anonymisation du RGPD.

Troisième étage : les régimes sectoriels et leur articulation RGPD

Au-delà du droit commun et de l’open data, des régimes sectoriels imposent une publicité spécifique. Trois exemples illustrent les arbitrages opérés.

D’abord l’open data des décisions de justice, le terrain le plus disputé. L’Art. L. 10 CJA et l’Art. L. 111-13 COJ, issus de la loi n° 2019-222 du 23 mars 2019, prévoient la mise à disposition gratuite des décisions de justice. Le décret n° 2020-797 du 29 juin 2020 a fixé les modalités : pseudonymisation des noms des personnes physiques (parties et tiers, mais pas magistrats et auxiliaires de justice dans leur fonction), occultation possible d’éléments supplémentaires sur demande motivée, mise en œuvre progressive juridiction par juridiction sur la plateforme JUDILIBRE de la Cour de cassation et JADE pour le Conseil d’État. Le contentieux entre Doctrine.fr, l’éditeur Lexbase et le Conseil national des barreaux a montré la sensibilité du sujet : décision CE 9 mai 2018 n° 408567 sur l’accès aux décisions des cours d’appel et arrêt Cass. 1re civ. 23 octobre 2024 n° 23-21.453 sur les conditions de réutilisation à des fins d’identification professionnelle.

Ensuite la publicité du patrimoine et des intérêts des élus. La loi n° 2013-907 du 11 octobre 2013 et l’Art. L.O. 135-1 et suivants du Code électoral imposent la déclaration de patrimoine et la déclaration d’intérêts auprès de la Haute Autorité pour la Transparence de la Vie Publique (HATVP). Le degré de publicité varie selon les fonctions : intégralité publiée pour les membres du gouvernement, consultation en préfecture pour les parlementaires, déclaration non publiée pour certaines fonctions sensibles. La décision Cons. const. n° 2013-676 DC du 9 octobre 2013 a censuré une publication intégrale jugée disproportionnée pour les parlementaires, illustrant le test de proportionnalité applicable.

Enfin le RNCS et le BODACC, qui publient quotidiennement les actes des sociétés, leurs dirigeants et leurs immatriculations. L’INPI gère le RNCS et a engagé en 2017 un contentieux avec Infogreffe et des éditeurs juridiques sur les conditions de réutilisation. La CJUE a précisé dans l’arrêt C-398/15 Manni du 9 mars 2017 que la publicité du registre des sociétés est essentielle à la sécurité juridique, mais qu’un droit limité à l’oubli peut s’exercer dans des cas exceptionnels après un délai suffisant. Cette décision est régulièrement citée par les analystes du droit à l’effacement et de l’Art. 17 RGPD lorsque des dirigeants demandent le retrait d’anciennes mentions.

Jurisprudence européenne structurante

La grille de lecture européenne s’est affinée. Quatre arrêts donnent les paramètres opérationnels du test de proportionnalité que toute administration doit conduire avant publication.

L’arrêt CJUE C-92/09 et C-93/09 Volker und Markus Schecke du 9 novembre 2010 pose le principe : la publication nominative ne se justifie que si elle est nécessaire à l’objectif d’intérêt général poursuivi (en l’espèce, le contrôle citoyen des aides agricoles). L’absence de gradation selon la nature et le montant des aides a entraîné l’invalidation partielle du règlement européen concerné.

L’arrêt CJUE C-184/20 Vyriausioji tarnybinės etikos komisija du 1er août 2022 a confirmé et étendu cette grille au régime déclaratif des fonctionnaires lituaniens. La mise en ligne intégrale a été jugée contraire à la Charte parce qu’elle exposait des données sur des tiers (conjoints, partenaires) et que des moyens moins intrusifs étaient disponibles. Cet arrêt est devenu la référence centrale en matière de publicité administrative depuis 2022.

L’arrêt CJUE C-398/15 Manni du 9 mars 2017 a précisé que la publicité des registres du commerce est légitime dans son principe, mais que l’absence de toute limite temporelle peut être contestée au regard du RGPD. La Cour a renvoyé aux États membres la définition des cas exceptionnels où la suppression peut être demandée.

L’arrêt CJUE C-740/22 Endemol Shine Finland du 7 mars 2024 a précisé les conditions de communication orale d’informations sur des condamnations pénales : même un accès oral à des données figurant dans des documents officiels reste un traitement soumis au RGPD. Cette décision affine le périmètre de l’Art. 86 et confirme que la matérialité du support n’exonère pas la conciliation.

À ces arrêts s’ajoute la jurisprudence française : CE 21 janvier 2021 n° 437037 La Quadrature du Net (open data décisions de justice), CE 8 février 2017 n° 389806 sur l’articulation CADA-vie privée, CE 6 décembre 2019 Mme A. n° 423326 sur le déréférencement de décisions de justice antérieures à la pseudonymisation.

Articulation avec les autres articles du RGPD

L’Art. 86 ne fonctionne jamais isolément. Sa lecture suppose une articulation systématique avec d’autres dispositions du RGPD.

L’Art. 6(1)© ou (e) RGPD fournit la base légale : obligation légale pour les régimes obligatoires, mission d’intérêt public pour les diffusions discrétionnaires. La base légale RGPD doit être identifiée explicitement et inscrite au registre Art. 30.

L’Art. 9 RGPD s’applique sans réserve lorsque les documents officiels contiennent des données sensibles (santé, opinions politiques, condamnations Art. 10). La publication doit alors satisfaire à la fois l’Art. 86 et une exception de l’Art. 9(2), typiquement (g) « motifs d’intérêt public important ».

L’Art. 10 RGPD sur les données pénales s’applique aux décisions de justice publiées. L’Art. 46 LIL en France autorise expressément la réutilisation des décisions par les éditeurs juridiques sous conditions (anonymisation, finalité d’information du public).

L’Art. 5 RGPD impose la minimisation : ne sont publiables que les données strictement nécessaires à l’objectif de transparence poursuivi. Cette minimisation est le levier de la pseudonymisation et de l’occultation.

L’Art. 25 RGPD sur la privacy by design impose de concevoir les plateformes de publication avec la pseudonymisation intégrée dès l’origine (cas JUDILIBRE, JADE, HATVP).

L’Art. 35 RGPD impose une AIPD dès lors qu’une publication massive de données personnelles est envisagée. La délibération CNIL n° 2018-327 du 11 octobre 2018 sur la liste des traitements obligatoirement soumis à AIPD inclut les traitements de mise à disposition d’open data « comportant des données sensibles ou un nombre élevé de personnes ».

L’Art. 17 RGPD sur le droit à l’effacement et la jurisprudence Manni s’articulent dans les cas individuels où une mention ancienne porte atteinte à la dignité d’une personne (jurisprudence du « droit à l’oubli » pour les décisions de justice anciennes).

L’Art. 89 RGPD sur l’archivage public s’articule avec l’Art. 86 en aval : ce qui a été publié au titre de la transparence peut basculer ensuite dans le régime des archives publiques (Code du patrimoine Art. L. 211-1 et s.), avec ses propres règles de communicabilité (délais 50, 75, 100, 150 ans selon la nature).

Six chantiers opérationnels pour une organisation publique

Dans la pratique, j’observe que les administrations qui maîtrisent l’Art. 86 RGPD ont structuré six chantiers parallèles.

D’abord la cartographie des documents officiels diffusés ou diffusables. Il s’agit de recenser tous les flux : publications spontanées sur le site institutionnel, communications sur demande au titre du CRPA, mise à disposition open data sur data.gouv.fr, transmissions à des éditeurs juridiques, alimentation de registres centralisés (BODACC, JO, BOAMP). Cette cartographie doit s’intégrer au registre des traitements au sens de l’Art. 30 RGPD.

Ensuite la qualification juridique. Pour chaque flux, l’administration doit identifier la base légale Art. 6, vérifier l’absence d’application des Art. 9 et 10 ou, à défaut, identifier l’exception applicable, et apprécier si une mission d’intérêt public est suffisamment caractérisée. Cette qualification doit être documentée dans une fiche flux unique reliant Art. 86 RGPD, disposition nationale (CRPA, loi spéciale) et Art. 30 RGPD.

Troisième chantier : la politique de pseudonymisation. Toute publication doit faire l’objet d’un arbitrage explicite entre anonymisation totale (l’irréversibilité supprime le caractère personnel) et pseudonymisation (les données restent personnelles mais l’identification directe est neutralisée). Le guide CNIL-CADA de juillet 2019 fournit la méthodologie. Les techniques varient : remplacement par initiales (« M. X. »), tokenisation, hachage cryptographique. Pour les décisions de justice, le décret du 29 juin 2020 impose le remplacement par lettres uniques (« partie A », « partie B »).

Quatrième chantier : l’information des personnes concernées au titre des Art. 13 et 14 RGPD. Toute personne dont les données figurent dans un document officiel diffusable doit en être informée à un moment du processus : au dépôt de la déclaration (HATVP), à l’enregistrement (RCS), à l’audience (justice). Cette information doit mentionner les destinataires potentiels, la durée de mise en ligne, et les droits opposables (Art. 15-22 RGPD).

Cinquième chantier : la procédure de demande de retrait ou d’occultation. Toute organisation publiant doit prévoir un canal opérationnel pour traiter les demandes d’effacement, de rectification ou de limitation au sens de l’Art. 17, l’Art. 16 et l’Art. 18. Le délai de l’Art. 12 (un mois prorogeable deux fois) s’applique. Les motifs de refus doivent être motivés par référence à l’obligation légale fondant la publication (Art. 17(3)(b) RGPD).

Sixième chantier : la sécurité et la qualité technique. La publication massive expose au scraping, à la réidentification croisée, à la constitution de fichiers parallèles. L’Art. 32 RGPD impose des mesures techniques proportionnées : limitation des fonctionnalités de téléchargement massif, watermarking, journalisation des accès, mesures anti-bot, robots.txt restrictif pour certaines bases. La sanction CNIL SAN-2024-001 Hubside du 5 février 2024 (525 000 €) sur la cartographie défaillante des sous-traitants montre que la chaîne technique doit elle-même être maîtrisée.

Sanctions et contentieux

L’Art. 86 ne définit pas de régime de sanction spécifique. C’est le droit commun du RGPD qui s’applique. La diffusion d’une donnée personnelle au-delà du fondement légal est susceptible de constituer une violation de l’Art. 6 (absence de base légale) sanctionnée par l’Art. 83 au plafond haut de 20 millions d’euros ou 4 % du chiffre d’affaires mondial. L’absence de pseudonymisation lorsqu’elle est requise constitue une violation de l’Art. 5(1)© (minimisation) et de l’Art. 25 (privacy by design), également au plafond haut.

Côté civil, l’Art. 82 RGPD ouvre un droit à indemnisation depuis la jurisprudence CJUE C-300/21 Österreichische Post du 4 mai 2023. Les juridictions françaises ont déjà accordé des dommages-intérêts pour publication non pseudonymisée : TJ Paris 17 janvier 2024 (publication d’une décision sans occultation par un éditeur juridique).

Côté pénal, l’Art. 226-22 du Code pénal sanctionne la divulgation à un tiers de données collectées dans le cadre d’un traitement automatisé (5 ans + 300 000 €, multiplié par 5 pour les personnes morales soit 1,5 M€), articulé avec l’Art. 84 RGPD. L’action de groupe issue de la loi n° 2024-364 du 22 avril 2024 peut s’appliquer aux publications massives illégales (jurisprudence Doctrine.fr et contentieux ultérieurs potentiels).

Du côté CADA, l’avis n’a pas de portée contraignante mais joue un rôle de filtre pré-contentieux : la saisine du tribunal administratif suppose en principe un avis CADA préalable. La CADA et la CNIL ont signé une convention de coopération en 2018 (renouvelée en 2024) qui prévoit la transmission croisée des demandes touchant à la fois aux deux compétences.

Ce qu’il faut retenir

• L’Art. 86 RGPD impose à toute administration publique ou délégataire d’une mission de service public de concilier transparence et protection des données sur la base d’un fondement national exprès (CRPA, loi spéciale).
• Le fondement juridique national est obligatoire : sans loi, décret ou disposition expresse, aucune communication ne peut être effectuée. Le RGPD ne crée pas un droit d’accès autonome.
• La jurisprudence CJUE C-184/20 du 1er août 2022 est devenue la référence centrale du test de proportionnalité : la diffusion intégrale est presque toujours disproportionnée, sauf justification spécifique.
• En France, le triptyque CRPA + loi République numérique + régimes sectoriels (décisions de justice, BODACC, HATVP, publicité foncière) encadre toutes les diffusions. Chaque flux doit être qualifié individuellement.
• La pseudonymisation est la norme par défaut, sauf disposition contraire explicite, pour toute publication massive ou diffusion en open data, conformément à l’Art. 5(1)© et l’Art. 25 RGPD.
• Les sanctions cumulatives atteignent 20 millions d’euros au titre de l’Art. 83(5) RGPD, des dommages-intérêts civils au titre de l’Art. 82, des peines de 5 ans + 1,5 M€ au titre de l’Art. 226-22 C. pén., et une action de groupe potentielle depuis la loi du 22 avril 2024.

Pour anticiper les évolutions du cadre (révision en cours du règlement européen sur la réutilisation des informations du secteur public et premiers contentieux européens sur l’open data des décisions de justice), abonnez-vous à notre newsletter et recevez nos analyses conformité chaque semaine.

FAQ

L’Art. 86 RGPD s’applique-t-il aux entreprises privées ?

Non, dans son principe l’Art. 86 vise les autorités publiques, organismes publics et organismes privés exécutant une mission d’intérêt public. Une entreprise commerciale classique ne peut pas se prévaloir de l’Art. 86 pour publier des données personnelles. En revanche, elle peut être destinataire de documents officiels publiés par une administration (RCS, BODACC) et doit alors respecter les conditions de réutilisation de l’Art. L. 322-1 et suivants du CRPA, qui incluent une interdiction de détournement aux fins commerciales non autorisé. La jurisprudence CJUE C-398/15 Manni du 9 mars 2017 et la doctrine CNIL sur la réutilisation des données publiques sont les références applicables.

La CADA peut-elle imposer la communication d’un document contenant des données personnelles ?

La CADA peut rendre un avis favorable à la communication, mais cet avis ne lie pas l’administration et peut être contesté devant le tribunal administratif. Surtout, la CADA est tenue d’articuler son analyse avec le RGPD depuis 2018 : la convention CADA-CNIL prévoit que la CADA refuse la communication ou impose l’occultation lorsque la diffusion porterait une atteinte disproportionnée à la vie privée au sens de l’Art. L. 311-6 CRPA et de l’Art. 86 RGPD. L’avis CADA n° 20210148 du 25 mars 2021 est représentatif de cette approche équilibrée.

Quelle base légale RGPD utiliser pour publier des données au titre de l’Art. 86 ?

Deux bases légales sont mobilisables au sens de l’Art. 6 RGPD. L’Art. 6(1)© « obligation légale » s’applique lorsque la publication est imposée par la loi (publicité du RCS, du BODACC, des décisions de justice). L’Art. 6(1)(e) « mission d’intérêt public » s’applique lorsque la publication est discrétionnaire mais qu’elle s’inscrit dans une mission de service public (diffusion proactive d’un rapport, mise à disposition d’une étude). Le consentement Art. 6(1)(a) est inopérant pour une publication imposée et ne devrait pas être utilisé pour les diffusions au titre de l’Art. 86. Pour les données sensibles, il faut cumuler l’Art. 6 avec une exception de l’Art. 9(2), typiquement (g) « motifs d’intérêt public important ».

Une administration peut-elle être contrainte à pseudonymiser un document avant publication ?

Oui, depuis la loi République numérique du 7 octobre 2016 et son décret d’application n° 2018-1117 du 10 décembre 2018, l’occultation préalable est obligatoire pour toute publication en open data au sens de l’Art. L. 312-1-2 CRPA. La jurisprudence CE 21 janvier 2021 n° 437037 La Quadrature du Net a confirmé cette obligation pour les décisions de justice. Le défaut de pseudonymisation est sanctionnable au titre de l’Art. 5(1)© RGPD (minimisation) et de l’Art. 25 RGPD (privacy by design), avec un plafond Art. 83(5) à 20 millions d’euros ou 4 % du CA mondial.

Comment articuler le droit à l’effacement Art. 17 RGPD avec la publication Art. 86 ?

L’Art. 17(3)(b) RGPD prévoit explicitement que le droit à l’effacement ne s’applique pas lorsque le traitement est nécessaire pour respecter une obligation légale ou pour exécuter une mission d’intérêt public. La publication imposée par la loi (RCS, BODACC, décisions de justice) résiste donc en principe à une demande d’effacement. Mais la jurisprudence CJUE Manni C-398/15 et CE 6 décembre 2019 Mme A. n° 423326 ouvrent des exceptions individuelles : ancienneté de la mention, absence de pertinence actuelle, atteinte disproportionnée à la dignité. Dans ces cas exceptionnels, l’administration doit instruire la demande et peut être contrainte au déréférencement ou à la pseudonymisation a posteriori.