Demande de documents concernant le site nordemploi.fr
Madame, Monsieur,
Au titre du droit d’accès aux documents administratifs, tel que prévu notamment par le Livre III du Code des relations entre le public et l’administration, je sollicite auprès de vous la communication des documents suivants :
1) la ou les fiche(s) de registre des activités de traitement de données à caractère personnel dans laquelle (ou lesquelles) le site nordemploi.fr est impliqué ;
2) la ou les analyse(s) d’impact relative(s) à la protection des données (AIPD) du (ou des) traitement(s) de données à caractère personnel dans laquelle (ou lesquelles) le site nordemploi.fr est impliqué ;
3) la notification initiale de violation de données personnelles transmise à la CNIL concernant la cyberattaque dont le site nordemploi.fr a été victimes tel qu’annoncé sur sa page d'accueil aux alentours du 6 février 2025 ;
4) le cas échéant, toute notification complémentaire concernant cette même violation de données personnelles.
Je souhaite recevoir ces documents sous forme électronique, dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, comme le prévoit l’article L300-4 du Code des relations entre le public et l’administration.
Comme l’article L311-2 du code précité le prévoit lorsque le demandeur a mal identifié celui qui est susceptible de répondre à sa requête, je vous prie de bien vouloir transmettre ma demande au service qui détient les documents demandés si tel est le cas.
Veuillez agréer, Madame, Monsieur, mes salutations distinguées.
Joran LE GALL
Bonjour Monsieur LE GALL,
Je reviens vers vous suite à votre demande de communication de documents
administratifs en application des principes fixés au sein du Livre III du
Code des relations entre le public et l’administration.
Par une demande en date du 11 février 2025, vous avez souhaité obtenir la
liste des documents suivants :
1) la ou les fiche(s) de registre des activités de traitement de données à
caractère personnel dans laquelle (ou lesquelles) le site nordemploi.fr
est impliqué ;
2) la ou les analyse(s) d’impact relative(s) à la protection des données
(AIPD) du (ou des) traitement(s) de données à caractère personnel dans
laquelle (ou lesquelles) le site nordemploi.fr est impliqué ;
3) la notification initiale de violation de données personnelles transmise
à la CNIL concernant la cyberattaque dont le site nordemploi.fr a été
victimes tel qu’annoncé sur sa page d'accueil aux alentours du 6 février
2025 ;
4) le cas échéant, toute notification complémentaire concernant cette même
violation de données personnelles.
Si vous souhaitez recevoir ces documents sous format électronique en
application des dispositions de l'article L300-4 du CRPA, le département
du Nord ne souhaite pas quant à lui voir publier automatiquement des
documents pouvant contenir des données à caractère personnel en
application des dispositions de l'article L312-1-2 du CRPA.
Une réponse sur cette adresse mail impliquant une publication automatique
des documents fournis, le Département du Nord tient ces documents à votre
disposition dès que vous lui communiquerait une adresse mail valide et
personnelle pour vous faire parvenir ces documents.
Vous pouvez transmettre cette dernière sur l’adresse [1][adresse email]
Aux termes de l'article L300-2 du code des relations entre le public et
l'administration, sont considérés comme documents administratifs, « quels
que soient leur date, leur lieu de conservation, leur forme et leur
support, les documents produits ou reçus, dans le cadre de leur mission de
service public, par l’État, les collectivités territoriales ainsi que par
les autres personnes de droit public ou les personnes de droit privé
chargées d'une telle mission. Constituent de tels documents notamment les
dossiers, rapports, études, comptes rendus, procès-verbaux, statistiques,
instructions, circulaires, notes et réponses ministérielles,
correspondances, avis, prévisions, codes sources et décisions.
• Pour votre demande de communication n°1 :
Le registre des activités de traitement tenu en application de l'article
30 du RGPD, en ce compris les fiches de traitement qui le composent, est
un document administratif communicable à toute personne qui en fait la
demande, en application de l'article L311-1 du code des relations entre le
public et l'administration, après occultation, le cas échéant, de toute
information dont la divulgation pourrait porter atteinte aux secrets
protégés par la loi, et notamment à la sécurité des systèmes d’information
ou à la protection de la vie privé (voir en ce sens CADA, Avis
20210039 Séance du 04/03/2021)
Ce document sera donc tenu à votre disposition occulté des éléments
relatif à la sécurité su système d’information.
• Pour votre demande de communication n°2 :
L’analyse d’impact relative à la protection des données, portant sur un
traitement mis en œuvre par ou pour le compte de l’une des personnes
visées à l’article L300-2 du code des relations entre le public et
l’administration, constitue un document administratif au sens de cet
article. Cette dernière est donc, dès lors qu'elle est achevée,
communicable à toute personne qui en fait la demande sur le fondement du
code des relations entre le public et l’administration en application de
l’article L311-1 du code des relations entre le public et
l’administration, sous les réserves prévues par les articles L311-5 et
L311-6 du même code (voir en ce sens CADA, Avis 20210039 Séance du
04/03/2021)
Ce document sera donc tenu à votre disposition occulté des éléments
relatif à la sécurité su système d’information.
• Pour votre demande de communication n°3 et 4 :
Les notifications des violations de données à caractère personnel, dès
lors qu'elles ne contiennent pas d'informations relatives à
l'environnement, ne sont pas communicables aux tiers en application des
dispositions précitées du 3° de l'article L311-6 du code des relations
entre le public et l'administration.
Au surplus, ces documents comportant dont la communication serait
susceptible de porter atteinte à la sécurité des systèmes d'information du
département du Nord, cette dernière n’est pas communicable en application
des dispositions de l'article L311-5 précité (voir en ce sens CADA Conseil
20201779 Séance du 04/06/2020).
Ce document ne vous sera donc pas communiqué.
Vous disposez d'un délai de deux mois à compter de la notification de la
présente décision pour contester celle-ci devant la Commission d’Accès aux
Documents Administratifs (TSA 50730 75334 PARIS CEDEX 07 Tel : [numéro de
téléphone caché] - Adresse mail : [2][adresse email]).
Je vous prie de croire, Monsieur LE GALL, à l’assurance de mes salutations
distinguées.
ADRIEN HOFFMANN
RESPONSABLE DE SERVICE - DPD PRADA
[3][IMG] Mission déléguée à la protection des données
DIRECTION DES AFFAIRES JURIDIQUES ET DE L'ACHAT PUBLIC
-----Message d'origine-----
De : Joran LE GALL <[FOI #48096 email]>
Envoyé : mardi 11 février 2025 19:40
À : HOFFMANN ADRIEN <[adresse email]>
Objet : Demande au titre du droit d’accès aux documents administratifs -
Demande de documents concernant le site nordemploi.fr
Madame, Monsieur,
Au titre du droit d’accès aux documents administratifs, tel que prévu
notamment par le Livre III du Code des relations entre le public et
l’administration, je sollicite auprès de vous la communication des
documents suivants :
1) la ou les fiche(s) de registre des activités de traitement de données à
caractère personnel dans laquelle (ou lesquelles) le site nordemploi.fr
est impliqué ;
2) la ou les analyse(s) d’impact relative(s) à la protection des données
(AIPD) du (ou des) traitement(s) de données à caractère personnel dans
laquelle (ou lesquelles) le site nordemploi.fr est impliqué ;
3) la notification initiale de violation de données personnelles transmise
à la CNIL concernant la cyberattaque dont le site nordemploi.fr a été
victimes tel qu’annoncé sur sa page d'accueil aux alentours du 6 février
2025 ;
4) le cas échéant, toute notification complémentaire concernant cette même
violation de données personnelles.
Je souhaite recevoir ces documents sous forme électronique, dans un
standard ouvert, aisément réutilisable et exploitable par un système de
traitement automatisé, comme le prévoit l’article L300-4 du Code des
relations entre le public et l’administration.
Comme l’article L311-2 du code précité le prévoit lorsque le demandeur a
mal identifié celui qui est susceptible de répondre à sa requête, je vous
prie de bien vouloir transmettre ma demande au service qui détient les
documents demandés si tel est le cas.
Veuillez agréer, Madame, Monsieur, mes salutations distinguées.
Joran LE GALL
-------------------------------------------------------------------
La demande ci-dessus vous a été envoyée par l’intermédiaire de la
plateforme associative et citoyenne Ma Dada
([4]https://m365.eu.vadesecure.com/safeproxy...),
dont l’objet est de faciliter l’accès aux informations publiques.
Merci d’utiliser cette adresse email pour toutes les réponses à cette
demande :
[5][FOI #48096 email]
Attention : les réponses que vous apporterez à cette demande, de même que
les éventuels documents administratifs que vous pourriez communiquer,
seront publiés en libre accès sur Ma Dada. Nous vous demandons donc de
procéder, le cas échéant, à l’occultation de données à caractère personnel
(noms, contacts…), comme le prévoit notamment l’article 311-7 du CRPA.
Nous vous rappelons que vous devez répondre à cette demande dans un délai
d’un mois, faute de quoi votre silence vaudra refus implicite (articles
R311-12 et R311-13 du CRPA).
Pour toute difficulté ou question concernant :
- Le droit d’accès, vous pouvez consulter le site Internet de la
Commission d’accès aux documents administratifs (CADA), [6]www.cada.fr, ou
la contacter directement.
- Ma Dada, vous pouvez consulter notre documentation
([7]https://m365.eu.vadesecure.com/safeproxy...),
ou nous contacter à [8][Ma Dada contact email].
En vous remerciant pour la bienveillance que vous pourrez apporter à cette
requête,
L’équipe de Ma Dada.
-------------------------------------------------------------------
References
Visible links
1. mailto:[adresse email]
2. mailto:[adresse email]
3. https://cloud.letsignit.com/collect/bc/6...
4. https://m365.eu.vadesecure.com/safeproxy...
5. mailto:[foi%20#48096%20email]
6. http://www.cada.fr/
7. https://m365.eu.vadesecure.com/safeproxy...
8. mailto:[ma%20dada%20contact%20email]
Bonjour Monsieur HOFFMANN,
Merci pour votre réponse circonstanciée dont j'ai bien pris connaissance.
Je vous confirme toutefois ma demande de communication de chacun des documents.
S’agissant des modalités de communication, l’article L. 311-9 du CRPA dispose que : « L’accès aux documents administratifs s’exerce, au choix du demandeur et dans la limite des possibilités techniques de l’administration :
(…)
3° Par courrier électronique et sans frais lorsque le document est disponible sous forme électronique ;
4° Par publication des informations en ligne, à moins que les documents ne soient communicables qu’à l’intéressé en application de l’article L. 311-6. »
De plus, s’agissant des données personnelles, l’article L311-7 CRPA prévoit que : « Lorsque la demande porte sur un document comportant des mentions qui ne sont pas communicables en application des articles L. 311-5 et L. 311-6 mais qu'il est possible d'occulter ou de disjoindre, le document est communiqué au demandeur après occultation ou disjonction de ces mentions. »
Toutefois, s’agissant des occultations dont la nécessité alléguée résulterait de la protection de la vie privée, les noms et prénoms des agents ne peuvent faire l’objet, en principe, d’une occultation au titre de la protection de la vie privée (avis CADA no 20163437, séance du 22/09/2016). La CADA considère ainsi que « le nom des agents publics n’a, en principe, pas à faire l’objet d’une occultation » (Conseil CADA no 20225787, séance du 15/12/2022). Cette solution est également retenue par le Conseil d’État qui considère que les noms et prénoms d’une personne ne font pas, par eux-mêmes, partie des éléments protégés au titre de la vie privée (CE, 30 mars 1990, no 90237).
Par ailleurs, dans son avis no 20235476 du 12 octobre 2023 ainsi que son avis no 20241684 du 28 mars 2024 (retenu par le TA Montreuil, 31 mars 2025, no 2218539), la CADA a rappelé le caractère strict des occultations justifiées par la protection de la sécurité des systèmes d’information de l’administration : « À cet égard, la commission rappelle (…), que la sécurité des systèmes d’information - dispositif ou ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques - consiste en leur capacité de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, et des services connexes que ces systèmes d’information offrent ou rendent accessibles (loi no 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité). Cette notion ne doit pas être confondue avec la sûreté du fonctionnement des systèmes d’information, qui traite de leur aspect qualitatif, c’est-à-dire leur aptitude à remplir une ou plusieurs fonctions requises dans des conditions données. »
Aussi et à la lumière de ces éléments, je vous demande de bien vouloir reconsidérer votre décision en faisant droit à la communication de chacun de ces documents.
Je vous prie de croire, Monsieur HOFFMANN, en l'assurance de mes salutations distinguées.
Joran LE GALL