Fiche de registre et AIPD de « IODAS »
Madame, Monsieur,
Au titre du droit d’accès aux documents administratifs, tel que prévu notamment par le Livre III du Code des relations entre le public et l’administration, je sollicite auprès de vous la communication des documents suivants :
1) la fiche de registre des activités de traitement des données à caractère personnel « IODAS » ;
2) l’analyse d’impact relative à la protection des données (AIPD) du traitement des données à caractère personnel « IODAS ».
Je souhaite recevoir ces documents sous forme électronique, dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, comme le prévoit l’article L300-4 du Code des relations entre le public et l’administration.
Comme l’article L311-2 du code précité le prévoit lorsque le demandeur a mal identifié celui qui est susceptible de répondre à sa requête, je vous prie de bien vouloir transmettre ma demande au service qui détient les documents demandés si tel est le cas.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Joran LE GALL
[1]Logo
Bonjour,
Vous venez de me contacter par email pour la première fois. Ma messagerie
est protégée par la solution Protect de Mailinblack pour faire face aux
cyberattaques.
Votre email a été analysé par des filtres de sécurité anti-spam et
anti-virus basés sur de l’intelligence artificielle et des technologies
avancées. Il ne vous reste plus qu’à cliquer sur le bouton ci-dessous
pour le délivrer.
[2]Délivrer mon email
[Conseil départemental - Ain request email]
[3]banner_eye_mib
References
Visible links
2. https://app.mailinblack.com/mibc-fr-04/i...
3. https://www.mailinblack.com/produits/mai...
Monsieur,
Par un courriel en date du 7 décembre 2023, vous avez saisi le Département
de l’Ain d’une demande de communication portant sur les documents
suivants :
• « la fiche de registre des activités de traitement des données à
caractère personnel « IODAS » ;
• l’analyse d’impact relative à la protection des données (AIPD) du
traitement des données à caractère personnel « IODAS ». »
Il résulte des dispositions de l’article L. 311-2 du code des relations
entre le public et l’administration (CRPA) que le droit de communication
ne s’applique qu’à des documents détenus par l’administration.
Je vous informe que le Département de l’Ain n’est pas en possession d’une
fiche de registre des activités de traitement « IODAS » ni d’une
AIPD « IODAS ». Ces deux types de documents sont réalisés pour des
traitements de données personnelles et non pour des outils. IODAS étant un
logiciel, il ne constitue pas un traitement de données à caractère
personnel.
Je vous prie d’agréer, Monsieur, l’expression de mes salutations
distinguées.
Alexandre MANON
Délégué à la protection des données
Direction de l’appui aux politiques publiques
Direction générale adjointe Conformité
10 rue du Pavé d’amour
01000 BOURG EN BRESSE
[1]http:/www.ain.fr
-----Message d'origine-----
De : Joran LE GALL <[FOI #45058 email]>
Envoyé : jeudi 7 décembre 2023 11:05
À : Service Affaires Juridiques <[Conseil départemental - Ain request email]>
Objet : Demande au titre du droit d’accès aux documents administratifs -
Fiche de registre et AIPD de « IODAS »
Madame, Monsieur,
Au titre du droit d’accès aux documents administratifs, tel que prévu
notamment par le Livre III du Code des relations entre le public et
l’administration, je sollicite auprès de vous la communication des
documents suivants :
1) la fiche de registre des activités de traitement des données à
caractère personnel « IODAS » ;
2) l’analyse d’impact relative à la protection des données (AIPD) du
traitement des données à caractère personnel « IODAS ».
Je souhaite recevoir ces documents sous forme électronique, dans un
standard ouvert, aisément réutilisable et exploitable par un système de
traitement automatisé, comme le prévoit l’article L300-4 du Code des
relations entre le public et l’administration.
Comme l’article L311-2 du code précité le prévoit lorsque le demandeur a
mal identifié celui qui est susceptible de répondre à sa requête, je vous
prie de bien vouloir transmettre ma demande au service qui détient les
documents demandés si tel est le cas.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments
distingués.
Joran LE GALL
-------------------------------------------------------------------
La demande ci-dessus vous a été envoyée par l’intermédiaire de la
plateforme associative et citoyenne Ma Dada ([2]https://madada.fr), dont
l’objet est de faciliter l’accès aux informations publiques.
Merci d’utiliser cette adresse email pour toutes les réponses à cette
demande :
[3][FOI #45058 email]
Attention : les réponses que vous apporterez à cette demande, de même que
les éventuels documents administratifs que vous pourriez communiquer,
seront publiés en libre accès sur Ma Dada. Nous vous demandons donc de
procéder, le cas échéant, à l’occultation de données à caractère personnel
(noms, contacts…), comme le prévoit notamment l’article 311-7 du CRPA.
Nous vous rappelons que vous devez répondre à cette demande dans un délai
d’un mois, faute de quoi votre silence vaudra refus implicite (articles
R311-12 et R311-13 du CRPA).
Pour toute difficulté ou question concernant :
- Le droit d’accès, vous pouvez consulter le site Internet de la
Commission d’accès aux documents administratifs (CADA), [4]www.cada.fr, ou
la contacter directement.
- Ma Dada, vous pouvez consulter notre documentation
([5]https://doc.madada.fr), ou nous contacter à [6][Ma Dada contact email].
En vous remerciant pour la bienveillance que vous pourrez apporter à cette
requête,
L’équipe de Ma Dada.
-------------------------------------------------------------------
References
Visible links
1. http://www.ain.fr/
2. https://madada.fr/
3. mailto:[FOI #45058 email]
4. http://www.cada.fr/
5. https://doc.madada.fr/
6. mailto:[Ma Dada contact email]
Bonjour Monsieur MANON,
Je vous remercie pour votre réponse qui me conduit à préciser ma demande.
Aussi, au titre du droit d’accès aux documents administratifs, tel que prévu notamment par le Livre III du Code des relations entre le public et l’administration, je sollicite auprès de vous la communication des documents suivants :
1) la ou les fiche(s) de registre des activités de traitement de données à caractère personnel dans laquelle (ou lesquelles) le logiciel « IODAS » est impliqué ;
2) la ou les analyse(s) d’impact relative(s) à la protection des données (AIPD) du (ou des) traitement(s) de données à caractère personnel dans laquelle (ou lesquelles) le logiciel « IODAS » est impliqué.
Je souhaite recevoir ces documents sous forme électronique, dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, comme le prévoit l’article L300-4 du Code des relations entre le public et l’administration.
Comme l’article L311-2 du code précité le prévoit lorsque le demandeur a mal identifié celui qui est susceptible de répondre à sa requête, je vous prie de bien vouloir transmettre ma demande au service qui détient les documents demandés si tel est le cas.
Je vous prie de croire, Monsieur, en l'assurance de mes salutations distinguées.
Joran LE GALL
[1]Logo
Bonjour,
Vous venez de me contacter par email pour la première fois. Ma messagerie
est protégée par la solution Protect de Mailinblack pour faire face aux
cyberattaques.
Votre email a été analysé par des filtres de sécurité anti-spam et
anti-virus basés sur de l’intelligence artificielle et des technologies
avancées. Il ne vous reste plus qu’à cliquer sur le bouton ci-dessous
pour le délivrer.
[2]Délivrer mon email
ALEXANDRE MANON
[adresse email]
[3]banner_eye_mib
References
Visible links
2. https://app.mailinblack.com/mibc-fr-04/i...
3. https://www.mailinblack.com/produits/mai...
Bonjour,
Votre courrier électronique est bien parvenu au secrétariat général de la
Commission d’accès aux documents administratifs (CADA).
Il n’est pas utile de le doubler d’un envoi postal.
Cordialement.
Le secrétariat général de la CADA
Adresse postale : TSA 50730 - 75334 PARIS CEDEX 07
Localisation : 20 avenue de Ségur - 75007 PARIS
Site internet : [1]https://www.cada.fr/
[2]cid:image001.png@01DA1DFD.122866E0
References
Visible links
1. https://www.cada.fr/
Monsieur,
Nous faisons suite à votre demande d'accès aux documents administratifs et à votre saisine CADA.
Vous trouverez en pièce-jointe le registre des traitements qui utilisent l'outil IODAS, en format ouvert. Certains traitements font l'objet d'une refonte et n'y figurent pas.
Concernant les AIPD, celles que nous avons réalisées ont été clôturées en raison de l'arrêt du service dont elles faisaient l'objet. Les conditions de sécurité de IODAS ayant évoluées, nous avons commencé un travail de fond pour la réalisation des AIPD des traitements passant par IODAS. Compte-tenu de l'ampleur de la tâche et des moyens à mobiliser, nous ne sommes pour le moment pas en mesure de vous communiquer les AIPD en cours d'élaboration.
Je vous prie d’agréer, Monsieur, l’expression de mes salutations distinguées.
Alexandre MANON
Délégué à la protection des données
Direction de l’appui aux politiques publiques
Direction générale adjointe Conformité
10 rue du Pavé d’amour
01000 BOURG EN BRESSE
http:/www.ain.fr
-----Message d'origine-----
De : Joran LE GALL <[FOI #45058 email]>
Envoyé : vendredi 5 janvier 2024 13:20
À : manon alexandre <[adresse email]>
Objet : RE: Demande au titre du droit d’accès aux documents administratifs - Fiche de registre et AIPD de « IODAS »
Bonjour Monsieur MANON,
Je vous remercie pour votre réponse qui me conduit à préciser ma demande.
Aussi, au titre du droit d’accès aux documents administratifs, tel que prévu notamment par le Livre III du Code des relations entre le public et l’administration, je sollicite auprès de vous la communication des documents suivants :
1) la ou les fiche(s) de registre des activités de traitement de données à caractère personnel dans laquelle (ou lesquelles) le logiciel « IODAS » est impliqué ;
2) la ou les analyse(s) d’impact relative(s) à la protection des données (AIPD) du (ou des) traitement(s) de données à caractère personnel dans laquelle (ou lesquelles) le logiciel « IODAS » est impliqué.
Je souhaite recevoir ces documents sous forme électronique, dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, comme le prévoit l’article L300-4 du Code des relations entre le public et l’administration.
Comme l’article L311-2 du code précité le prévoit lorsque le demandeur a mal identifié celui qui est susceptible de répondre à sa requête, je vous prie de bien vouloir transmettre ma demande au service qui détient les documents demandés si tel est le cas.
Je vous prie de croire, Monsieur, en l'assurance de mes salutations distinguées.
Joran LE GALL
Commentaire posté le
Avis CADA n° 20241022 du 28 mars 2024 :
Monsieur Joran LE GALL a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 9 février 2024, à la suite du refus opposé par le président du conseil départemental de l'Ain à sa demande de communication, sous forme électronique, dans un standard ouvert, réutilisable et exploitable, des documents suivants :
1) les fiches de registre des activités de traitement de données à caractère personnel dans lesquelles le logiciel « IODAS » est impliqué ;
2) les analyses d’impact relatives à la protection des données (AIPD) des traitements de données à caractère personnel dans lesquelles le logiciel « IODAS » est impliqué.
A titre liminaire, la commission rappelle, d’une part, que l'article 30 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement général sur la protection des données (RGPD), prévoit que chaque responsable d'un traitement de données à caractère personnel et, le cas échéant, son représentant, tiennent, sous forme écrite, y compris électronique, un registre des activités de traitement effectuées sous leur responsabilité.
Ce registre précise notamment, pour chaque traitement sous la forme d’une fiche, le nom et les coordonnées du responsable du traitement, les finalités du traitement, une description des catégories de personnes concernées et des catégories de données à caractère personnel, les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, ou encore, dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données. Le 4. de l'article 30 du RGPD prévoit que le registre est mis à disposition de l’autorité de contrôle sur demande. Il résulte en outre du 5. du même article que l'obligation de tenir un tel registre s'impose de manière générale aux entreprises et organisations comptant au moins 250 employés. Elle peut également s'appliquer aux entreprises et organisations de taille moindre, en fonction de la nature des traitements de données à caractère personnel qu'elles réalisent.
La commission en déduit qu'un tel registre est un document de recensement et d’analyse permettant de documenter les traitements qu'une organisation soumise à sa tenue applique aux données personnelles qu'elle collecte.
Au regard de ces éléments, la commission estime que le registre des activités de traitement tenu par une administration en application de l'article 30 du RGPD, en ce compris les fiches de traitement qui le composent, est un document administratif communicable à toute personne qui en fait la demande, en application de l'article L311-1 du code des relations entre le public et l'administration, après occultation, le cas échéant, de toute information dont la divulgation pourrait porter atteinte aux secrets protégés par la loi.
La commission précise, d’autre part, qu'elle a déduit des dispositions des articles 35 du RGPD et 90 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés qu’une analyse d’impact relative à la protection des données, portant sur un traitement mis en œuvre par ou pour le compte de l’une des personnes visées à l’article L300-2 du code des relations entre le public et l’administration, constituait un document administratif au sens de cet article, communicable par cette autorité administrative à toute personne qui en fait la demande sur le fondement du code des relations entre le public et l’administration en application de l’article L311-1 du code des relations entre le public et l’administration, sous les réserves prévues par les articles L311-5 et L311-6 du même code (avis n° 20183041 du 8 novembre 2018).
La commission émet donc, en l'absence de réponse de l'administration à la date de sa demande, un avis favorable, sous réserve que les documents sollicités existent et sous les réserves susmentionnées.