La Quadrature du Net: demande CADA registre des activités de traitement/inventaire des principaux traitements algorithmiques
Madame, Monsieur,
Au titre du droit d’accès aux documents administratifs, tel que prévu notamment par le Livre III du Code des Relations entre le public et l’Administration (CRPA), je sollicite auprès de vous la communication des documents suivants :
1. Le registre des activités de traitement de votre administration tel que prévu par l'article 30 du RGPD;
2. L'inventaire des principaux traitements algorithmiques mis en oeuvre par votre administration tel que prévu par l'article L312-1-3 du CRPA.
Concernant le registre des activités de traitement, je tiens à vous rappeler que dans le cadre de la demande de conseil 20225787 (voir https://www.cada.fr/20225787), la CADA a rappelé qu'il est un document administratif communicable à qui le demande.
Il doit recenser l’ensemble des traitements mis en œuvre par votre administration, y compris les expérimentations.
En outre, pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants:
- le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre;
- les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données;
- les catégories de personnes concernées (client, prospect, employé, etc.);
- les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.);
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez;
- les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts;
- les délais prévus pour l'effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre;
- les fondements juridiques de la mise en oeuvre du traitement.
Pour plus d'informations, veuillez consulter la page de la CNIL dédiée: https://www.cnil.fr/fr/RGDP-le-registre-....
Concernant l'inventaire des traitements algorithmiques ce dernier doit contenir, pour chaque algorithme, les informations suivantes:
1. Informations métier sur l'algorithme et la décision prise
- Nom de l'algorithme ou s'il n'en a pas, indiquer la décision mise en oeuvre;
- Contexte global: Pourquoi une décision administrative est-elle prise ? Qui sont les acteurs de la décision ? Quelles sont les tâches à accomplir ?
- Finalité de l'algorithme: À quoi sert cet algorithme ? Pourquoi un algorithme a-t-il été utilisé dans ce processus ? Comment et quand l'algorithme intervient-il dans la prise de décision ? Pour effectuer lesdites tâches, à quel moment s'insère l'algorithme dans le processus de décision ? Quel est le processus complet et quelle(s) partie(s) l'algorithme prend-il en charge ?
- Niveau d'automatisation de la décision: Préciser si la décision est entièrement automatisée ou s'il s'agit d'un outil d'aide à la décision.
- Fondements juridiques: Le(s) fondement(s) juridique(s) de la mise en oeuvre de la décision individuelle et, le cas échéant, du traitement des données.
- Ressources connexes: Par exemple, un lien externe vers la plateforme où se connecter pour remplir un formulaire.
2. Informations sur l'impact de la décision
- Nombre de décisions administratives prises par an;
- Portée de la décision;
- Public concerné par la décision.
3. Informations sur le fonctionnement interne de l'algorithme
- Données traitées.
- Source des données traitées: Qui fournit les données (l'usager, une autre administration, etc.) ? Comment sont elles fournies (un dossier, une API, etc.) ?
- Mode de collecte des données traitées: Comment les données sont-elles initialement collectées ? Exemple : "Les inscriptions sont très majoritairement prises en charge au sein d'un portail virtuel dédié aux familles, plus exceptionnellement par voie papier".
- Type d'algorithme: Préciser s'il s'agit d'un système de règles (les règle de calculs sont codées par des personnes) ou d'un algorithme reposant sur l'apprentissage machine (machine learning).
- Opérations effectuées par l'algorithme.
Pour plus d'informations, veuillez consulter la page dédiée de la direction interministérielle du numérique: https://guides.etalab.gouv.fr/algorithme....
Dans l'idéal, veuillez publier ces documents directement en ligne et me communiquer les liens où ils seront mis à disposition du public.
Sinon, je souhaite recevoir ces documents sous forme électronique, dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, comme le prévoit l’article L300-4 du CRPA.
Comme l’article L311-2 du CRPA le prévoit lorsque le demandeur a mal identifié celui qui est susceptible de répondre à sa requête, je vous prie de bien vouloir transmettre ma demande au service qui détient les documents demandés si tel est le cas.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Noémie Levain
Juriste à l'association La Quadrature du Net
Bonjour,
Votre demande a été transmise au service concerné (DPO).
Cordialement,
Pour la PRADA,
Bénédicte SAMAKÉ
Direction des Affaires Juridiques
[1]La Région Auvergne-Rhône-Alpes
Conseil régional Auvergne-Rhône-Alpes Lyon
101 Cours Charlemagne
CS 20033
69269 LYON CEDEX 02
Ouverture au public de 8 heures à 17 h 30
Accès tram T1 station Hôtel de Région-Montrochet
[2]Lien vers le site Internet de la Région Auvergne-Rhône-Alpes[3]Lien
vers la page Facebook de la Région Auvergne-Rhône-Alpes[4]Lien vers le
compte Twitter de la Région Auvergne-Rhône-Alpes[5]Lien vers la page
Instagram de la Région Auvergne-Rhône-Alpes [6]Lien vers la page YouTube
de la Région Auvergne-Rhône-Alpes [7][IMG]
-----Message d'origine-----
De : La Quadrature du Net <[FOI #44591 email]>
Envoyé : vendredi 4 août 2023 12:21
À : INTERNET DAJCP PRADA <[CRARA request email]>
Objet : Demande au titre du droit d’accès aux documents administratifs -
La Quadrature du Net: demande CADA registre des activités de
traitement/inventaire des principaux traitements algorithmiques
Madame, Monsieur,
Au titre du droit d’accès aux documents administratifs, tel que prévu
notamment par le Livre III du Code des Relations entre le public et
l’Administration (CRPA), je sollicite auprès de vous la communication des
documents suivants :
1. Le registre des activités de traitement de votre administration tel que
prévu par l'article 30 du RGPD; 2. L'inventaire des principaux traitements
algorithmiques mis en oeuvre par votre administration tel que prévu par
l'article L312-1-3 du CRPA.
Concernant le registre des activités de traitement, je tiens à vous
rappeler que dans le cadre de la demande de conseil 20225787 (voir
[8]https://antiphishing.vadesecure.com/v4?f...),
la CADA a rappelé qu'il est un document administratif communicable à qui
le demande.
Il doit recenser l’ensemble des traitements mis en œuvre par votre
administration, y compris les expérimentations.
En outre, pour chaque activité de traitement, la fiche de registre doit
comporter au moins les éléments suivants:
- le cas échéant, le nom et les coordonnées du responsable conjoint du
traitement mis en œuvre;
- les finalités du traitement, l’objectif en vue duquel vous avez collecté
ces données;
- les catégories de personnes concernées (client, prospect, employé,
etc.);
- les catégories de données personnelles (exemples : identité, situation
familiale, économique ou financière, données bancaires, données de
connexion, donnés de localisation, etc.);
- les catégories de destinataires auxquels les données à caractère
personnel ont été ou seront communiquées, y compris les sous-traitants
auxquels vous recourez;
- les transferts de données à caractère personnel vers un pays tiers ou à
une organisation internationale et, dans certains cas très particuliers,
les garanties prévues pour ces transferts;
- les délais prévus pour l'effacement des différentes catégories de
données, c’est-à-dire la durée de conservation, ou à défaut les critères
permettant de la déterminer dans la mesure du possible, une description
générale des mesures de sécurité techniques et organisationnelles que vous
mettez en œuvre;
- les fondements juridiques de la mise en oeuvre du traitement.
Pour plus d'informations, veuillez consulter la page de la CNIL dédiée:
[9]https://antiphishing.vadesecure.com/v4?f...
Concernant l'inventaire des traitements algorithmiques ce dernier doit
contenir, pour chaque algorithme, les informations suivantes:
1. Informations métier sur l'algorithme et la décision prise
- Nom de l'algorithme ou s'il n'en a pas, indiquer la décision mise en
oeuvre;
- Contexte global: Pourquoi une décision administrative est-elle prise ?
Qui sont les acteurs de la décision ? Quelles sont les tâches à accomplir
?
- Finalité de l'algorithme: À quoi sert cet algorithme ? Pourquoi un
algorithme a-t-il été utilisé dans ce processus ? Comment et quand
l'algorithme intervient-il dans la prise de décision ? Pour
effectuer lesdites tâches, à quel moment s'insère l'algorithme dans le
processus de décision ? Quel est le processus complet et quelle(s)
partie(s) l'algorithme prend-il en charge ?
- Niveau d'automatisation de la décision: Préciser si la décision est
entièrement automatisée ou s'il s'agit d'un outil d'aide à la décision.
- Fondements juridiques: Le(s) fondement(s) juridique(s) de la mise en
oeuvre de la décision individuelle et, le cas échéant, du traitement des
données.
- Ressources connexes: Par exemple, un lien externe vers la plateforme où
se connecter pour remplir un formulaire.
2. Informations sur l'impact de la décision
- Nombre de décisions administratives prises par an;
- Portée de la décision;
- Public concerné par la décision.
3. Informations sur le fonctionnement interne de l'algorithme
- Données traitées.
- Source des données traitées: Qui fournit les données (l'usager, une
autre administration, etc.) ? Comment sont elles fournies (un dossier, une
API, etc.) ?
- Mode de collecte des données traitées: Comment les données sont-elles
initialement collectées ? Exemple : "Les inscriptions sont très
majoritairement prises en charge au sein d'un portail virtuel dédié aux
familles, plus exceptionnellement par voie papier".
- Type d'algorithme: Préciser s'il s'agit d'un système de règles (les
règle de calculs sont codées par des personnes) ou d'un algorithme
reposant sur l'apprentissage machine (machine learning).
- Opérations effectuées par l'algorithme.
Pour plus d'informations, veuillez consulter la page dédiée de la
direction interministérielle du numérique:
[10]https://antiphishing.vadesecure.com/v4?f...
Dans l'idéal, veuillez publier ces documents directement en ligne et me
communiquer les liens où ils seront mis à disposition du public.
Sinon, je souhaite recevoir ces documents sous forme électronique, dans un
standard ouvert, aisément réutilisable et exploitable par un système de
traitement automatisé, comme le prévoit l’article L300-4 du CRPA.
Comme l’article L311-2 du CRPA le prévoit lorsque le demandeur a mal
identifié celui qui est susceptible de répondre à sa requête, je vous prie
de bien vouloir transmettre ma demande au service qui détient les
documents demandés si tel est le cas.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments
distingués.
Noémie Levain
Juriste à l'association La Quadrature du Net
-------------------------------------------------------------------
La demande ci-dessus vous a été envoyée par l’intermédiaire de la
plateforme associative et citoyenne Ma Dada
([11]https://antiphishing.vadesecure.com/v4?f...),
dont l’objet est de faciliter l’accès aux informations publiques.
Merci d’utiliser cette adresse email pour toutes les réponses à cette
demande :
[12][FOI #44591 email]
Attention : les réponses que vous apporterez à cette demande, de même que
les éventuels documents administratifs que vous pourriez communiquer,
seront publiés en libre accès sur Ma Dada. Nous vous demandons donc de
procéder, le cas échéant, à l’occultation de données à caractère personnel
(noms, contacts…), comme le prévoit notamment l’article 311-7 du CRPA.
Nous vous rappelons que vous devez répondre à cette demande dans un délai
d’un mois, faute de quoi votre silence vaudra refus implicite (articles
R311-12 et R311-13 du CRPA).
Pour toute difficulté ou question concernant :
- Le droit d’accès, vous pouvez consulter le site Internet de la
Commission d’accès aux documents administratifs (CADA), [13]www.cada.fr,
ou la contacter directement.
- Ma Dada, vous pouvez consulter notre documentation
([14]https://antiphishing.vadesecure.com/v4?f...),
ou nous contacter à [15][Ma Dada contact email].
En vous remerciant pour la bienveillance que vous pourrez apporter à cette
requête,
L’équipe de Ma Dada.
-------------------------------------------------------------------
References
Visible links
1. https://www.auvergnerhonealpes.fr/
2. https://www.auvergnerhonealpes.fr/
3. https://www.facebook.com/RegionAuvergneR...
4. https://twitter.com/auvergnerhalpes
5. https://www.instagram.com/region_auvergn...
6. https://www.youtube.com/c/regionauvergne...
7. https://www.linkedin.com/company/auvergn...
8. https://antiphishing.vadesecure.com/v4?f...
9. https://antiphishing.vadesecure.com/v4?f...
10. https://antiphishing.vadesecure.com/v4?f...
11. https://antiphishing.vadesecure.com/v4?f...
12. mailto:[FOI #44591 email]
13. http://www.cada.fr/
14. https://antiphishing.vadesecure.com/v4?f...
15. mailto:[ma%20dada%20contact%20email]
Madame,
Je vous prie de bien vouloir trouver en pièce jointe la réponse de la
Région Auvergne-Rhône-Alpes à votre demande.
Cordialement,
Pour la PRADA,
Bénédicte SAMAKÉ
Direction des Affaires Juridiques
[1]La Région Auvergne-Rhône-Alpes
Conseil régional Auvergne-Rhône-Alpes Lyon
101 Cours Charlemagne
CS 20033
69269 LYON CEDEX 02
Ouverture au public de 8 heures à 17 h 30
Accès tram T1 station Hôtel de Région-Montrochet
[2]Lien vers le site Internet de la Région Auvergne-Rhône-Alpes[3]Lien
vers la page Facebook de la Région Auvergne-Rhône-Alpes[4]Lien vers le
compte Twitter de la Région Auvergne-Rhône-Alpes[5]Lien vers la page
Instagram de la Région Auvergne-Rhône-Alpes [6]Lien vers la page YouTube
de la Région Auvergne-Rhône-Alpes [7][IMG]
De : INTERNET DAJCP PRADA
Envoyé : mardi 8 août 2023 17:14
À : 'La Quadrature du Net' <[FOI #44591 email]>
Objet : RE: Demande au titre du droit d’accès aux documents administratifs
- La Quadrature du Net: demande CADA registre des activités de
traitement/inventaire des principaux traitements algorithmiques
Bonjour,
Votre demande a été transmise au service concerné (DPO).
Cordialement,
Pour la PRADA,
Bénédicte SAMAKÉ
Direction des Affaires Juridiques
[8]La Région Auvergne-Rhône-Alpes
Conseil régional Auvergne-Rhône-Alpes Lyon
101 Cours Charlemagne
CS 20033
69269 LYON CEDEX 02
Ouverture au public de 8 heures à 17 h 30
Accès tram T1 station Hôtel de Région-Montrochet
[9]Lien vers le site Internet de la Région Auvergne-Rhône-Alpes[10]Lien
vers la page Facebook de la Région Auvergne-Rhône-Alpes[11]Lien vers le
compte Twitter de la Région Auvergne-Rhône-Alpes[12]Lien vers la page
Instagram de la Région Auvergne-Rhône-Alpes [13]Lien vers la page YouTube
de la Région Auvergne-Rhône-Alpes [14][IMG]
-----Message d'origine-----
De : La Quadrature du Net <[15][FOI #44591 email]>
Envoyé : vendredi 4 août 2023 12:21
À : INTERNET DAJCP PRADA <[16][CRARA request email]>
Objet : Demande au titre du droit d’accès aux documents administratifs -
La Quadrature du Net: demande CADA registre des activités de
traitement/inventaire des principaux traitements algorithmiques
Madame, Monsieur,
Au titre du droit d’accès aux documents administratifs, tel que prévu
notamment par le Livre III du Code des Relations entre le public et
l’Administration (CRPA), je sollicite auprès de vous la communication des
documents suivants :
1. Le registre des activités de traitement de votre administration tel que
prévu par l'article 30 du RGPD; 2. L'inventaire des principaux traitements
algorithmiques mis en oeuvre par votre administration tel que prévu par
l'article L312-1-3 du CRPA.
Concernant le registre des activités de traitement, je tiens à vous
rappeler que dans le cadre de la demande de conseil 20225787 (voir
[17]https://antiphishing.vadesecure.com/v4?f...),
la CADA a rappelé qu'il est un document administratif communicable à qui
le demande.
Il doit recenser l’ensemble des traitements mis en œuvre par votre
administration, y compris les expérimentations.
En outre, pour chaque activité de traitement, la fiche de registre doit
comporter au moins les éléments suivants:
- le cas échéant, le nom et les coordonnées du responsable conjoint du
traitement mis en œuvre;
- les finalités du traitement, l’objectif en vue duquel vous avez collecté
ces données;
- les catégories de personnes concernées (client, prospect, employé,
etc.);
- les catégories de données personnelles (exemples : identité, situation
familiale, économique ou financière, données bancaires, données de
connexion, donnés de localisation, etc.);
- les catégories de destinataires auxquels les données à caractère
personnel ont été ou seront communiquées, y compris les sous-traitants
auxquels vous recourez;
- les transferts de données à caractère personnel vers un pays tiers ou à
une organisation internationale et, dans certains cas très particuliers,
les garanties prévues pour ces transferts;
- les délais prévus pour l'effacement des différentes catégories de
données, c’est-à-dire la durée de conservation, ou à défaut les critères
permettant de la déterminer dans la mesure du possible, une description
générale des mesures de sécurité techniques et organisationnelles que vous
mettez en œuvre;
- les fondements juridiques de la mise en oeuvre du traitement.
Pour plus d'informations, veuillez consulter la page de la CNIL dédiée:
[18]https://antiphishing.vadesecure.com/v4?f...
Concernant l'inventaire des traitements algorithmiques ce dernier doit
contenir, pour chaque algorithme, les informations suivantes:
1. Informations métier sur l'algorithme et la décision prise
- Nom de l'algorithme ou s'il n'en a pas, indiquer la décision mise en
oeuvre;
- Contexte global: Pourquoi une décision administrative est-elle prise ?
Qui sont les acteurs de la décision ? Quelles sont les tâches à accomplir
?
- Finalité de l'algorithme: À quoi sert cet algorithme ? Pourquoi un
algorithme a-t-il été utilisé dans ce processus ? Comment et quand
l'algorithme intervient-il dans la prise de décision ? Pour
effectuer lesdites tâches, à quel moment s'insère l'algorithme dans le
processus de décision ? Quel est le processus complet et quelle(s)
partie(s) l'algorithme prend-il en charge ?
- Niveau d'automatisation de la décision: Préciser si la décision est
entièrement automatisée ou s'il s'agit d'un outil d'aide à la décision.
- Fondements juridiques: Le(s) fondement(s) juridique(s) de la mise en
oeuvre de la décision individuelle et, le cas échéant, du traitement des
données.
- Ressources connexes: Par exemple, un lien externe vers la plateforme où
se connecter pour remplir un formulaire.
2. Informations sur l'impact de la décision
- Nombre de décisions administratives prises par an;
- Portée de la décision;
- Public concerné par la décision.
3. Informations sur le fonctionnement interne de l'algorithme
- Données traitées.
- Source des données traitées: Qui fournit les données (l'usager, une
autre administration, etc.) ? Comment sont elles fournies (un dossier, une
API, etc.) ?
- Mode de collecte des données traitées: Comment les données sont-elles
initialement collectées ? Exemple : "Les inscriptions sont très
majoritairement prises en charge au sein d'un portail virtuel dédié aux
familles, plus exceptionnellement par voie papier".
- Type d'algorithme: Préciser s'il s'agit d'un système de règles (les
règle de calculs sont codées par des personnes) ou d'un algorithme
reposant sur l'apprentissage machine (machine learning).
- Opérations effectuées par l'algorithme.
Pour plus d'informations, veuillez consulter la page dédiée de la
direction interministérielle du numérique:
[19]https://antiphishing.vadesecure.com/v4?f...
Dans l'idéal, veuillez publier ces documents directement en ligne et me
communiquer les liens où ils seront mis à disposition du public.
Sinon, je souhaite recevoir ces documents sous forme électronique, dans un
standard ouvert, aisément réutilisable et exploitable par un système de
traitement automatisé, comme le prévoit l’article L300-4 du CRPA.
Comme l’article L311-2 du CRPA le prévoit lorsque le demandeur a mal
identifié celui qui est susceptible de répondre à sa requête, je vous prie
de bien vouloir transmettre ma demande au service qui détient les
documents demandés si tel est le cas.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments
distingués.
Noémie Levain
Juriste à l'association La Quadrature du Net
-------------------------------------------------------------------
La demande ci-dessus vous a été envoyée par l’intermédiaire de la
plateforme associative et citoyenne Ma Dada
([20]https://antiphishing.vadesecure.com/v4?f...),
dont l’objet est de faciliter l’accès aux informations publiques.
Merci d’utiliser cette adresse email pour toutes les réponses à cette
demande :
[21][FOI #44591 email]
Attention : les réponses que vous apporterez à cette demande, de même que
les éventuels documents administratifs que vous pourriez communiquer,
seront publiés en libre accès sur Ma Dada. Nous vous demandons donc de
procéder, le cas échéant, à l’occultation de données à caractère personnel
(noms, contacts…), comme le prévoit notamment l’article 311-7 du CRPA.
Nous vous rappelons que vous devez répondre à cette demande dans un délai
d’un mois, faute de quoi votre silence vaudra refus implicite (articles
R311-12 et R311-13 du CRPA).
Pour toute difficulté ou question concernant :
- Le droit d’accès, vous pouvez consulter le site Internet de la
Commission d’accès aux documents administratifs (CADA), [22]www.cada.fr,
ou la contacter directement.
- Ma Dada, vous pouvez consulter notre documentation
([23]https://antiphishing.vadesecure.com/v4?f...),
ou nous contacter à [24][Ma Dada contact email].
En vous remerciant pour la bienveillance que vous pourrez apporter à cette
requête,
L’équipe de Ma Dada.
-------------------------------------------------------------------
References
Visible links
1. https://www.auvergnerhonealpes.fr/
2. https://www.auvergnerhonealpes.fr/
3. https://www.facebook.com/RegionAuvergneR...
4. https://twitter.com/auvergnerhalpes
5. https://www.instagram.com/region_auvergn...
6. https://www.youtube.com/c/regionauvergne...
7. https://www.linkedin.com/company/auvergn...
8. https://www.auvergnerhonealpes.fr/
9. https://www.auvergnerhonealpes.fr/
10. https://www.facebook.com/RegionAuvergneR...
11. https://twitter.com/auvergnerhalpes
12. https://www.instagram.com/region_auvergn...
13. https://www.youtube.com/c/regionauvergne...
14. https://www.linkedin.com/company/auvergn...
15. mailto:[FOI #44591 email]
16. mailto:[crara%20request%20email]
17. https://antiphishing.vadesecure.com/v4?f...
18. https://antiphishing.vadesecure.com/v4?f...
19. https://antiphishing.vadesecure.com/v4?f...
20. https://antiphishing.vadesecure.com/v4?f...
21. mailto:[FOI #44591 email]
22. http://www.cada.fr/
23. https://antiphishing.vadesecure.com/v4?f...
24. mailto:[ma%20dada%20contact%20email]