La Quadrature du Net: demande CADA registre des activités de traitement/inventaire des principaux traitements algorithmiques
Madame, Monsieur,
Au titre du droit d’accès aux documents administratifs, tel que prévu notamment par le Livre III du Code des Relations entre le public et l’Administration (CRPA), je sollicite auprès de vous la communication des documents suivants :
1. Le registre des activités de traitement de votre administration tel que prévu par l'article 30 du RGPD;
2. L'inventaire des principaux traitements algorithmiques mis en oeuvre par votre administration tel que prévu par l'article L312-1-3 du CRPA.
Concernant le registre des activités de traitement, je tiens à vous rappeler que dans le cadre de la demande de conseil 20225787 (voir https://www.cada.fr/20225787), la CADA a rappelé qu'il est un document administratif communicable à qui le demande.
Il doit recenser l’ensemble des traitements mis en œuvre par votre administration, y compris les expérimentations.
En outre, pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants:
- le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre;
- les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données;
- les catégories de personnes concernées (client, prospect, employé, etc.);
- les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.);
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez;
- les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts;
- les délais prévus pour l'effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre;
- les fondements juridiques de la mise en oeuvre du traitement.
Pour plus d'informations, veuillez consulter la page de la CNIL dédiée: https://www.cnil.fr/fr/RGDP-le-registre-....
Concernant l'inventaire des traitements algorithmiques ce dernier doit contenir, pour chaque algorithme, les informations suivantes:
1. Informations métier sur l'algorithme et la décision prise
- Nom de l'algorithme ou s'il n'en a pas, indiquer la décision mise en oeuvre;
- Contexte global: Pourquoi une décision administrative est-elle prise ? Qui sont les acteurs de la décision ? Quelles sont les tâches à accomplir ?
- Finalité de l'algorithme: À quoi sert cet algorithme ? Pourquoi un algorithme a-t-il été utilisé dans ce processus ? Comment et quand l'algorithme intervient-il dans la prise de décision ? Pour effectuer lesdites tâches, à quel moment s'insère l'algorithme dans le processus de décision ? Quel est le processus complet et quelle(s) partie(s) l'algorithme prend-il en charge ?
- Niveau d'automatisation de la décision: Préciser si la décision est entièrement automatisée ou s'il s'agit d'un outil d'aide à la décision.
- Fondements juridiques: Le(s) fondement(s) juridique(s) de la mise en oeuvre de la décision individuelle et, le cas échéant, du traitement des données.
- Ressources connexes: Par exemple, un lien externe vers la plateforme où se connecter pour remplir un formulaire.
2. Informations sur l'impact de la décision
- Nombre de décisions administratives prises par an;
- Portée de la décision;
- Public concerné par la décision.
3. Informations sur le fonctionnement interne de l'algorithme
- Données traitées.
- Source des données traitées: Qui fournit les données (l'usager, une autre administration, etc.) ? Comment sont elles fournies (un dossier, une API, etc.) ?
- Mode de collecte des données traitées: Comment les données sont-elles initialement collectées ? Exemple : "Les inscriptions sont très majoritairement prises en charge au sein d'un portail virtuel dédié aux familles, plus exceptionnellement par voie papier".
- Type d'algorithme: Préciser s'il s'agit d'un système de règles (les règle de calculs sont codées par des personnes) ou d'un algorithme reposant sur l'apprentissage machine (machine learning).
- Opérations effectuées par l'algorithme.
Pour plus d'informations, veuillez consulter la page dédiée de la direction interministérielle du numérique: https://guides.etalab.gouv.fr/algorithme....
Dans l'idéal, veuillez publier ces documents directement en ligne et me communiquer les liens où ils seront mis à disposition du public.
Sinon, je souhaite recevoir ces documents sous forme électronique, dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, comme le prévoit l’article L300-4 du CRPA.
Comme l’article L311-2 du CRPA le prévoit lorsque le demandeur a mal identifié celui qui est susceptible de répondre à sa requête, je vous prie de bien vouloir transmettre ma demande au service qui détient les documents demandés si tel est le cas.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Noémie Levain
Juriste à l'association La Quadrature du Net
Bonjour,
Par mail en date du 4 août 2023, adressé par l’intermédiaire de la
plateforme Ma Dada , Mme Noémie Levain, juriste à l’association La
Quadrature du Net, demande d’une part la communication du registre des
activités de traitement mentionné à l’article 30 du RGPD et d’autre part
les principaux traitements algorithmiques mis en œuvre par la collectivité
parisienne.
S'agissant du registre des activités de traitement, les éléments de
réponse que je suis en mesure de vous apporter sont les suivants :
- le registre des traitements de la Ville a été constitué sous forme de
tableur (outil Eudonet), organisé par directions (la Ville de Paris est
composée de 22 directions) et comprend des fiches (près de 800 en tout
mais avec des niveaux de détail variés) auxquelles sont généralement
associés des éléments de documentation relatifs à la conformité RGPD des
traitements de données. Un document type, reprenant les principes du RGPD
et les informations mentionnées en son article 30, a été élaboré pour
s’assurer de la conformité des traitements mis en œuvre. Le registre est
alimenté par les référents RGPD des différentes directions de la Ville, la
documentation associée faisant l’objet d’une validation par le délégué à
la protection des données ;
- comme l'indique la CNIL sur son site internet, même si le registre est
considéré comme un document administratif, il est "par nature un document
interne et évolutif qui doit avant tout aider l'organisme à piloter sa
conformité";
- une partie des documents y figurant peuvent d’ailleurs être considérés à
ce titre comme inachevés, et donc non communicables ;
- en conséquence des points précédents, le registre des traitements de la
Ville de Paris, en tant que tel, n’existe pas dans une forme communicable
ou publiable. Outre que le registre n’a pas été conçu initialement dans
cette optique, et qu’une partie des informations qu’il contient sont dans
un statut pouvant être qualifié d’inachevé, il n’y aurait pas de sens à
mettre à disposition une partie seulement des éléments y figurant
(desquels il faudrait d’ailleurs au moins supprimer les éléments liés à la
sécurité informatique) ;
- il arrive que la Ville de Paris réponde à des demandes de communication
d’éléments du registre quand celles-ci portent sur des traitements de
données précis, identifiés, correspondant à un traitement en particulier ;
- rendre communicable et publiable le registre des traitements, compris
comme une entité en soi, supposerait, à l’issue d’un travail très
substantiel, de produire un nouveau document, une nouvelle base de
données ;
- si la CNIL a pu le faire, à l’issue d’un travail ad hoc, dans un but
d’information sur ses propres traitements mais aussi dans un souci
pédagogique, il est à noter que le registre publié sur son site comprend
une cinquantaine de traitements recensés.
Ainsi, en l’état actuel des choses, et pour toutes les raisons évoquées,
je ne suis pas en mesure de répondre favorablement à votre demande.
S’agissant des principaux traitements algorithmiques mis en œuvre par la
collectivité parisienne.
Il convient de rappeler que l’article L312-1-3 du CRPA prévoit que, sauf
certaines exceptions, les administrations publient en ligne les règles
définissant les principaux traitements algorithmiques utilisés dans
l'accomplissement de leurs missions lorsqu'ils fondent des décisions
individuelles.
La Ville de Paris a publié sur son site internet (Paris.fr) dans la
rubrique dédiée à l’open data (Paris Data) la liste et les
caractéristiques des principaux traitements algorithmiques.
Vous pouvez y accéder grâce au lien suivant
[1]https://opendata.paris.fr/pages/algorith...
Cordialement.
Cédric
HERANVAL-MALLET
Délégué à la
protection des
[2]Paris.fr données
Secrétariat
Général de la
Ville de Paris
5 rue Lobau
75004 Paris
References
Visible links
1. https://opendata.paris.fr/pages/algorith...
2. http://www.paris.fr/