Fiche de registre et AIPD de la plateforme "Terr-eSanté"
Chère Agence Régionale de Santé Île-de-France,
En application de la loi n° 78-575 du 17 juillet 1978 relative aux documents administratifs, je souhaite recevoir communication des documents administratifs suivants :
1) la fiche de registre des activités de traitement des données à caractère personnel mis en œuvre au travers de la plateforme "Terr-eSanté" ;
2) l’analyse d’impact relative à la protection des données (AIPD) du traitement des données à caractère personnel mis en œuvre au travers de la plateforme "Terr-eSanté".
Je souhaite recevoir ces documents dans un format numérique, ouvert et réutilisable. Pour ce faire, veuillez m’indiquer leur adresse de téléchargement ou me les envoyer en pièce jointe.
Comme le livre III du code des relations entre le public et l’administration le prévoit lorsque le demandeur a mal identifié celui qui est susceptible de répondre à sa requête, je vous prie de bien vouloir transmettre ma demande au service qui détient les documents demandés si tel est le cas.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Joran LE GALL
Monsieur,
Je fais suite à votre demande de communication de documents administratifs
ci-dessous.
Pour nous permettre de vous apporter une réponse par écrit et vous
adresser ainsi les documents sollicités, nous vous saurions gré de bien
vouloir nous communiquer, par retour de mail, votre adresse postale.
Cordialement
Sandrine RIBEIRO DE SOUSA
Département des affaires juridiques et marchés publics
13, rue du Landy 93200 SAINT-DENIS
Tél : [numéro de téléphone caché] [Gsm].22.05.86.87
[1]ars.iledefrance.sante.fr
[2]Logo[3]bluefiles-signature-b
-----Message d'origine-----
De : Joran LE GALL <[FOI #1840 email]>
Envoyé : vendredi 5 août 2022 16:45
À : ARS-IDF-JURIDIQUE <[adresse email]>
Objet : Demande au titre du droit d’accès aux documents administratifs -
Fiche de registre et AIPD de la plateforme "Terr-eSanté"
Chère Agence Régionale de Santé Île-de-France,
En application de la loi n° 78-575 du 17 juillet 1978 relative aux
documents administratifs, je souhaite recevoir communication des documents
administratifs suivants :
1) la fiche de registre des activités de traitement des données à
caractère personnel mis en œuvre au travers de la plateforme "Terr-eSanté"
;
2) l’analyse d’impact relative à la protection des données (AIPD) du
traitement des données à caractère personnel mis en œuvre au travers de la
plateforme "Terr-eSanté".
Je souhaite recevoir ces documents dans un format numérique, ouvert et
réutilisable. Pour ce faire, veuillez m’indiquer leur adresse de
téléchargement ou me les envoyer en pièce jointe.
Comme le livre III du code des relations entre le public et
l’administration le prévoit lorsque le demandeur a mal identifié celui qui
est susceptible de répondre à sa requête, je vous prie de bien vouloir
transmettre ma demande au service qui détient les documents demandés si
tel est le cas.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments
distingués.
Joran LE GALL
══════════════════════════════════════════════════════════════════════════
Nos ministères agissent pour un développement durable.
Préservons l'environnement : n'imprimons que si nécessaire !
References
Visible links
1. http://www.ars.iledefrance.sante.fr/
2. http://www.ars.iledefrance.sante.fr/
3. https://bluefiles.orange-business.com/ap...
4. mailto:[FOI #1840 email]
5. mailto:[Agence Régionale de Santé Île-de-France request email]
6. https://urldefense.com/v3/__https:/madad...
7. https://urldefense.com/v3/__https:/madad...
Chère Madame RIBEIRO DE SOUSA,
Je vous remercie pour votre message.
Je préfère recevoir les documents sollicités par courrier électronique tel que le permet l'article L311-9 du code des relations entre le public et l'administration.
Dans cette attente, je vous prie de croire, Madame, Monsieur, en l'assurance de mes salutations distinguées.
Joran LE GALL
Commentaire posté le
Réponse de la CADA :
Avis n° 20225747 du 03 novembre 2022
Monsieur Joran LE GALL a saisi la commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 19 septembre 2022, à la suite du refus opposé par le directeur général de l'agence régionale de santé d'Ile-de-France à sa demande de communication, dans un format numérique ouvert et réutilisable, par téléchargement ou attachés à un courrier électronique, des documents et éléments suivants :
1) la fiche de registre des activités de traitement des données à caractère personnel mis en œuvre via la plateforme « Terr-eSanté » ;
2) l’analyse d’impact relative à la protection des données (AIPD) du traitement des données à caractère personnel mis en œuvre via la plateforme « Terr-eSanté ».
En l'absence de réponse de l'administration à la date de sa séance, la commission rappelle que l'article 30 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement général sur la protection des données (RGPD), prévoit que chaque responsable d'un traitement de données à caractère personnel et, le cas échéant, son représentant, tiennent, sous forme écrite, y compris électronique, un registre des activités de traitement effectuées sous leur responsabilité.
Ce registre précise notamment, pour chaque traitement sous la forme d'une fiche, le nom et les coordonnées du responsable du traitement, les finalités du traitement, une description des catégories de personnes concernées et des catégories de données à caractère personnel, les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, ou encore, dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données. Il résulte du 5. de l'article 30 du RGPD que l'obligation de tenir un tel registre s'impose de manière générale aux entreprises et organisations comptant au moins 250 employés. Elle peut également s'appliquer aux entreprises et organisations de taille moindre, en fonction de la nature des traitements de données à caractère personnel qu'elles réalisent.
La commission en déduit qu'un tel registre est un document de recensement et d’analyse, permettant de documenter les traitements qu'une organisation soumise à sa tenue applique aux données personnelles qu'elle collecte.
Au regard de ces éléments, la commission estime que le registre des activités de traitement tenu par une administration en application de l'article 30 du RGPD, en ce compris les fiches de traitement qui le composent, est un document administratif communicable à toute personne qui en fait la demande, en application de l'article L311-1 du code des relations entre le public et l'administration, après occultation, le cas échéant, de toute information dont la divulgation pourrait porter atteinte aux secrets protégés par la loi, et notamment à la sécurité des systèmes d’information ou à la protection de la vie privée. Elle émet donc, dans cette mesure, un avis favorable au point 1) à la demande.
S'agissant du point 2), la commission rappelle qu'il ressort des dispositions de la loi du 6 janvier 1978 que les documents soumis à la CNIL par les responsables de traitements, dans le cadre des formalités préalables prévues par cette loi, de même que les décisions prises par cette commission au terme de ces procédures, font l'objet d'un régime particulier de communication, défini aux articles 31, 32 et 36 de cette loi, qui échappe au champ d'application du livre III du code des relations entre le public et l’administration. L'article L342-2 de ce code n'ayant pas étendu ses compétences à ce régime.
En revanche, la commission relève qu'elle a déduit des dispositions des article 35 du RGPD et 90 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés qu’une analyse d’impact relative à la protection des données, portant sur un traitement mis en œuvre par ou pour le compte de l’une des personnes visées à l’article L300-2 du code des relations entre le public et l’administration, constituait un document administratif au sens de cet article, communicable par cette autorité administrative à toute personne qui en fait la demande sur le fondement du code des relations entre le public et l’administration en application de l’article L311-1 du code des relations entre le public et l’administration, sous les réserves prévues par les articles L311-5 et L311-6 du même code (avis n° 20183041du 8 novembre 2018). Elle émet dès lors et sous ces réserves un avis favorable sur ce point.
Commentaire posté le
Recours déposé via Télé-recours auprès du TA de Montreuil ce jour.
Chère Madame RIBEIRO DE SOUSA,
Je vous remercie pour votre courrier recommandé que j'ai bien reçu à mon domicile et contenant une partie des informations demandées.
Toutefois, je trouve regrettable que l'AIPD (le document ayant pour titre "EIVP") fasse l'objet de telles occultations qu'elles en dénaturent le document. Or, le respect des dispositions relatives à la protection du secret des procédés, dont vous vous prévalez, ne contraint pas l'administration à occulter l'ensemble des éléments faisant l'objet de la demande de communication mais seulement ce qui est strictement nécessaire à la protection des secrets mentionnés. Par exemple, la communication de plusieurs AIPD d'outils numériques de lutte contre la COVID n'ont pas fait l'objet d'occultations de la part du Ministère des solidarités et de la santé lors de leur communication : https://madada.fr/demande/aipd_des_outil...
Aussi, je saurais gré de bien vouloir compléter votre transmission par la version bien moindrement occultée de l'AIPD.
Je souhaite recevoir ces documents dans un format numérique, ouvert et réutilisable. Pour ce faire, veuillez m’indiquer leur adresse de téléchargement ou me les envoyer en pièce jointe.
Comme le livre III du code des relations entre le public et l’administration le prévoit lorsque le demandeur a mal identifié celui qui est susceptible de répondre à sa requête, je vous prie de bien vouloir transmettre ma demande au service qui détient les documents demandés si tel est le cas.
Dans cette attente, je vous prie de croire, Madame, en l'assurance de mes salutations distinguées.
Joran LE GALL
Commentaire posté le
Saisine CADA complémentaire interrogeant le caractère excessif des occultations
Commentaire posté le
Réception d'un mémoire en défense le 17/10/2023 concluant au non-lieu à statuer sur la requête.
Commentaire posté le
Dépôt d'un mémoire en réplique
Commentaire posté le
Avis CADA n° 20241684 du 28 mars 2024 :
Monsieur Joran LE GALL a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 12 décembre 2023, à la suite du refus opposé par la directrice générale de l'agence régionale de santé d'Ile-de-France à sa demande de communication, dans un format numérique, ouvert et réutilisable, des documents suivants, dont il a obtenu une copie occultée selon lui de façon excessive :
1) la fiche de registre des activités de traitement des données à caractère personnel mis en œuvre au travers de la plateforme « Terr-eSanté » ;
2) l’analyse d’impact relative à la protection des données (AIPD) du traitement des données à caractère personnel mis en œuvre au travers de la plateforme « Terr-eSanté ».
La commission rappelle, en premier lieu, que l'article 30 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement général sur la protection des données (RGPD), prévoit que chaque responsable d'un traitement de données à caractère personnel et, le cas échéant, son représentant, tiennent, sous forme écrite, y compris électronique, un registre des activités de traitement effectuées sous leur responsabilité.
Ce registre précise notamment le nom et les coordonnées du responsable du traitement, les finalités du traitement, une description des catégories de personnes concernées et des catégories de données à caractère personnel, les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, ou encore, dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données. Il résulte du 5 de l'article 30 du RGPD que l'obligation de tenir un tel registre s'impose de manière générale aux entreprises et organisations comptant au moins 250 employés. Elle peut également s'appliquer aux entreprises et organisations de taille moindre, en fonction de la nature des traitements de données à caractère personnel qu'elles réalisent.
La commission en déduit qu'un tel registre est un document de recensement et d’analyse permettant de documenter les traitements qu'une organisation soumise à sa tenue applique aux données personnelles qu'elle collecte.
Au regard de ces éléments, la commission estime que le registre des activités de traitement tenu par une autorité administrative en application de l'article 30 du RGPD est un document administratif communicable à toute personne qui en fait la demande, en application de l'article L311-1 du code des relations entre le public et l'administration, après occultation, le cas échéant, de toute information dont la divulgation pourrait porter atteinte aux secrets protégés par la loi, et notamment à la sécurité des systèmes d’information ou à la protection de la vie privée.
En second lieu, la commission rappelle que l’article 35 du RGPD prévoit l’obligation pour un responsable de traitement d’effectuer, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel, « lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». L’article 36 du même règlement définit les cas dans lesquels le responsable du traitement est tenu de consulter l’autorité de contrôle et de lui transmettre l’analyse effectuée.
L’article 90 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dispose, pour sa part, que : « Si le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu'il porte sur des données mentionnées au I de l'article 6, (données sensibles) le responsable de traitement effectue une analyse d'impact relative à la protection des données à caractère personnel. / Si le traitement est mis en œuvre pour le compte de l’État, cette analyse d'impact est adressée à la Commission nationale de l'informatique et des libertés avec la demande d'avis prévue à l'article 33. / Dans les autres cas, le responsable de traitement ou son sous-traitant consulte la Commission nationale de l'informatique et des libertés préalablement à la mise en œuvre du traitement de données à caractère personnel, qui se prononce également dans les délais prévus à l'article 34 : / 1° Soit lorsque l'analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque ; / 2° Soit lorsque le type de traitement, en particulier en raison de l'utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées. »
La commission a déduit de ces dispositions qu’une analyse d’impact relative à la protection des données, portant sur un traitement mis en œuvre par ou pour le compte de l’une des personnes visées à l’article L300-2 du code des relations entre le public et l’administration, constitue un document administratif au sens de cet article, communicable par cette autorité administrative à toute personne qui en fait la demande sur le fondement du code des relations entre le public et l’administration en application de l’article L311-1 du code des relations entre le public et l’administration, sous les réserves prévues par les articles L311-5 et L311-6 du même code (conseil de partie II n° 20183041 du 8 novembre 2018), et à condition qu’elle n’ait pas été transmise à la CNIL dans le cadre des formalités préalables prévues par le chapitre IV de la loi du 6 janvier 1978 (avis de partie II n° 20223598 du 3 novembre 2022).
En l’espèce, le demandeur conteste les occultations mises en œuvre dans les versions de la fiche de registre mentionnée au point 1) et de l’analyse d’impact mentionnée au point 2) qui lui ont été communiquées.
En réponse à la demande qui lui a été adressée, la directrice générale de l'agence régionale de santé d'Ile-de-France a informé la commission qu’elle estimait que la communication des mentions occultées porterait atteinte à la sécurité des systèmes d’information, au sens du d) du 2° de l’article L311-5 du code des relations entre le public et l'administration, tout en soulignant la précision et la sensibilité des données enregistrées dans le traitement « Parcours insertion emploi », concernant un très grand nombre de personnes physiques.
A cet égard, la commission rappelle, ainsi qu’elle l’a fait dans son avis n° 20213847 du 13 janvier 2022, que la sécurité des systèmes d’information - dispositif ou ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques - consiste en leur capacité de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces systèmes d'information offrent ou rendent accessibles (loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité). Cette notion ne doit pas être confondue avec la sûreté du fonctionnement des systèmes d’information, qui traite de leur aspect qualitatif, c’est-à-dire leur aptitude à remplir une ou plusieurs fonctions requises dans des conditions données.
Après avoir pris connaissance des documents sollicités dans leur version intégrale, la commission estime que les occultations auxquelles il a été procédé ne sont pas toutes justifiées par la protection de la sécurité des systèmes d’information de l’administration.
Il en va ainsi en particulier, dans la fiche de registre des activités de traitement de l'ensemble des données occultées qui demeurent très générales et imprécises.
Il en va ainsi également, dans l’étude d’impact des données occultées dans la partie « mesures organisationnelles » (page 9) qui sont très générales, des mesures de sécurité logique rappelées (pages 10 et 11) sauf pour celles relatives à la « lutte contre les codes malveillants », des mesures de sécurité physiques sauf pour celles relatives au « contrôle d'accès physique », ainsi que de la description des types de menaces (pages 13 et 14), de l'analyse des évènements redoutés (pages 15 et 16) et de l'analyse des menaces (pages 17 et 18) qui restent très générales et non spécifiques sans indiquer les mesures correctives propres à l'institution. Enfin, les occultations prévues page 30 sont également excessives compte tenu de leur caractère général.
La commission émet par suite un avis favorable à la communication des documents sollicités dans une version occultée de seules mentions couvertes par le d) du 2° de l’article L311-5 du code des relations entre le public et l'administration.
Commentaire posté le
Saisine CADA réalisée le 17 septembre 2022