La Quadrature du Net: demande CADA registre des activités de traitement/inventaire des principaux traitements algorithmiques
Madame, Monsieur,
Au titre du droit d’accès aux documents administratifs, tel que prévu notamment par le Livre III du Code des Relations entre le public et l’Administration (CRPA), je sollicite auprès de vous la communication des documents suivants :
1. Le registre des activités de traitement de votre administration tel que prévu par l'article 30 du RGPD;
2. L'inventaire des principaux traitements algorithmiques mis en oeuvre par votre administration tel que prévu par l'article L312-1-3 du CRPA.
Concernant le registre des activités de traitement, je tiens à vous rappeler que dans le cadre de la demande de conseil 20225787 (voir https://www.cada.fr/20225787), la CADA a rappelé qu'il est un document administratif communicable à qui le demande.
Il doit recenser l’ensemble des traitements mis en œuvre par votre administration, y compris les expérimentations.
En outre, pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants:
- le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre;
- les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données;
- les catégories de personnes concernées (client, prospect, employé, etc.);
- les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.);
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez;
- les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts;
- les délais prévus pour l'effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre;
- les fondements juridiques de la mise en oeuvre du traitement.
Pour plus d'informations, veuillez consulter la page de la CNIL dédiée: https://www.cnil.fr/fr/RGDP-le-registre-....
Concernant l'inventaire des traitements algorithmiques ce dernier doit contenir, pour chaque algorithme, les informations suivantes:
1. Informations métier sur l'algorithme et la décision prise
- Nom de l'algorithme ou s'il n'en a pas, indiquer la décision mise en oeuvre;
- Contexte global: Pourquoi une décision administrative est-elle prise ? Qui sont les acteurs de la décision ? Quelles sont les tâches à accomplir ?
- Finalité de l'algorithme: À quoi sert cet algorithme ? Pourquoi un algorithme a-t-il été utilisé dans ce processus ? Comment et quand l'algorithme intervient-il dans la prise de décision ? Pour effectuer lesdites tâches, à quel moment s'insère l'algorithme dans le processus de décision ? Quel est le processus complet et quelle(s) partie(s) l'algorithme prend-il en charge ?
- Niveau d'automatisation de la décision: Préciser si la décision est entièrement automatisée ou s'il s'agit d'un outil d'aide à la décision.
- Fondements juridiques: Le(s) fondement(s) juridique(s) de la mise en oeuvre de la décision individuelle et, le cas échéant, du traitement des données.
- Ressources connexes: Par exemple, un lien externe vers la plateforme où se connecter pour remplir un formulaire.
2. Informations sur l'impact de la décision
- Nombre de décisions administratives prises par an;
- Portée de la décision;
- Public concerné par la décision.
3. Informations sur le fonctionnement interne de l'algorithme
- Données traitées.
- Source des données traitées: Qui fournit les données (l'usager, une autre administration, etc.) ? Comment sont elles fournies (un dossier, une API, etc.) ?
- Mode de collecte des données traitées: Comment les données sont-elles initialement collectées ? Exemple : "Les inscriptions sont très majoritairement prises en charge au sein d'un portail virtuel dédié aux familles, plus exceptionnellement par voie papier".
- Type d'algorithme: Préciser s'il s'agit d'un système de règles (les règle de calculs sont codées par des personnes) ou d'un algorithme reposant sur l'apprentissage machine (machine learning).
- Opérations effectuées par l'algorithme.
Pour plus d'informations, veuillez consulter la page dédiée de la direction interministérielle du numérique: https://guides.etalab.gouv.fr/algorithme....
Dans l'idéal, veuillez publier ces documents directement en ligne et me communiquer les liens où ils seront mis à disposition du public.
Sinon, je souhaite recevoir ces documents sous forme électronique, dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, comme le prévoit l’article L300-4 du CRPA.
Comme l’article L311-2 du CRPA le prévoit lorsque le demandeur a mal identifié celui qui est susceptible de répondre à sa requête, je vous prie de bien vouloir transmettre ma demande au service qui détient les documents demandés si tel est le cas.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Noémie Levain
Juriste à l'association La Quadrature du Net
Bonjour Madame,
Votre demande concerne le RGPD
Je ne comprends pas votre demande d'algorithme
Pourquoi faudrait-il un algorithme ?
Les données personnelles ne sont pas enregistrées à la préfecture
Les données pour les permis de conduire et les cartes d'identité sont
traitées par l'ANTS qui met en œuvre une charte particulière.
Merci donc de préciser votre question en rapport avec les activités de la
préfecture
En vous souhaitant une bonne journée
Cordialement
-------- Message original --------
Sujet : [INTERNET] Demande au titre du droit d’accès aux documents
administratifs - La Quadrature du Net: demande CADA registre des activités
de traitement/inventaire des principaux traitements algorithmiques
De : La Quadrature du Net [1]<[FOI #44624 email]>
Pour : droit d'accès à l'information demandes à Préfecture de la
Seine-Saint-Denis [2]<[Préfecture de la Seine-Saint-Denis request email]>
Date : 04/08/2023 12:21
Madame, Monsieur,
Au titre du droit d’accès aux documents administratifs, tel que prévu notamment par le Livre III du Code des Relations entre le public et l’Administration (CRPA), je sollicite auprès de vous la communication des documents suivants :
1. Le registre des activités de traitement de votre administration tel que prévu par l'article 30 du RGPD;
2. L'inventaire des principaux traitements algorithmiques mis en oeuvre par votre administration tel que prévu par l'article L312-1-3 du CRPA.
Concernant le registre des activités de traitement, je tiens à vous rappeler que dans le cadre de la demande de conseil 20225787 (voir [3]https://www.cada.fr/20225787), la CADA a rappelé qu'il est un document administratif communicable à qui le demande.
Il doit recenser l’ensemble des traitements mis en œuvre par votre administration, y compris les expérimentations.
En outre, pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants:
- le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre;
- les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données;
- les catégories de personnes concernées (client, prospect, employé, etc.);
- les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.);
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez;
- les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts;
- les délais prévus pour l'effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre;
- les fondements juridiques de la mise en oeuvre du traitement.
Pour plus d'informations, veuillez consulter la page de la CNIL dédiée: [4]https://www.cnil.fr/fr/RGDP-le-registre-....
Concernant l'inventaire des traitements algorithmiques ce dernier doit contenir, pour chaque algorithme, les informations suivantes:
1. Informations métier sur l'algorithme et la décision prise
- Nom de l'algorithme ou s'il n'en a pas, indiquer la décision mise en oeuvre;
- Contexte global: Pourquoi une décision administrative est-elle prise ? Qui sont les acteurs de la décision ? Quelles sont les tâches à accomplir ?
- Finalité de l'algorithme: À quoi sert cet algorithme ? Pourquoi un algorithme a-t-il été utilisé dans ce processus ? Comment et quand l'algorithme intervient-il dans la prise de décision ? Pour effectuer lesdites tâches, à quel moment s'insère l'algorithme dans le processus de décision ? Quel est le processus complet et quelle(s) partie(s) l'algorithme prend-il en charge ?
- Niveau d'automatisation de la décision: Préciser si la décision est entièrement automatisée ou s'il s'agit d'un outil d'aide à la décision.
- Fondements juridiques: Le(s) fondement(s) juridique(s) de la mise en oeuvre de la décision individuelle et, le cas échéant, du traitement des données.
- Ressources connexes: Par exemple, un lien externe vers la plateforme où se connecter pour remplir un formulaire.
2. Informations sur l'impact de la décision
- Nombre de décisions administratives prises par an;
- Portée de la décision;
- Public concerné par la décision.
3. Informations sur le fonctionnement interne de l'algorithme
- Données traitées.
- Source des données traitées: Qui fournit les données (l'usager, une autre administration, etc.) ? Comment sont elles fournies (un dossier, une API, etc.) ?
- Mode de collecte des données traitées: Comment les données sont-elles initialement collectées ? Exemple : "Les inscriptions sont très majoritairement prises en charge au sein d'un portail virtuel dédié aux familles, plus exceptionnellement par voie papier".
- Type d'algorithme: Préciser s'il s'agit d'un système de règles (les règle de calculs sont codées par des personnes) ou d'un algorithme reposant sur l'apprentissage machine (machine learning).
- Opérations effectuées par l'algorithme.
Pour plus d'informations, veuillez consulter la page dédiée de la direction interministérielle du numérique: [5]https://guides.etalab.gouv.fr/algorithme....
Dans l'idéal, veuillez publier ces documents directement en ligne et me communiquer les liens où ils seront mis à disposition du public.
Sinon, je souhaite recevoir ces documents sous forme électronique, dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, comme le prévoit l’article L300-4 du CRPA.
Comme l’article L311-2 du CRPA le prévoit lorsque le demandeur a mal identifié celui qui est susceptible de répondre à sa requête, je vous prie de bien vouloir transmettre ma demande au service qui détient les documents demandés si tel est le cas.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Noémie Levain
Juriste à l'association La Quadrature du Net
-------------------------------------------------------------------
La demande ci-dessus vous a été envoyée par l’intermédiaire de la plateforme associative et citoyenne Ma Dada ([6]https://madada.fr), dont l’objet est de faciliter l’accès aux informations publiques.
Merci d’utiliser cette adresse email pour toutes les réponses à cette demande :
[7][FOI #44624 email]
Attention : les réponses que vous apporterez à cette demande, de même que les éventuels documents administratifs que vous pourriez communiquer, seront publiés en libre accès sur Ma Dada. Nous vous demandons donc de procéder, le cas échéant, à l’occultation de données à caractère personnel (noms, contacts…), comme le prévoit notamment l’article 311-7 du CRPA.
Nous vous rappelons que vous devez répondre à cette demande dans un délai d’un mois, faute de quoi votre silence vaudra refus implicite (articles R311-12 et R311-13 du CRPA).
Pour toute difficulté ou question concernant :
- Le droit d’accès, vous pouvez consulter le site Internet de la Commission d’accès aux documents administratifs (CADA), [8]www.cada.fr, ou la contacter directement.
- Ma Dada, vous pouvez consulter notre documentation ([9]https://doc.madada.fr), ou nous contacter à [10][Ma Dada contact email].
En vous remerciant pour la bienveillance que vous pourrez apporter à cette requête,
L’équipe de Ma Dada.
-------------------------------------------------------------------
References
Visible links
1. mailto:[FOI #44624 email]
2. mailto:[Préfecture de la Seine-Saint-Denis request email]
3. https://www.cada.fr/20225787
4. https://www.cnil.fr/fr/RGDP-le-registre-...
5. https://guides.etalab.gouv.fr/algorithme...
6. https://madada.fr/
7. mailto:[FOI #44624 email]
8. http://www.cada.fr/
9. https://doc.madada.fr/
10. mailto:[Ma Dada contact email]
Monsieur,
Je ne comprends pas bien votre réponse.
Il ne fait aucun doute qu'une préfecture traite des données personnelles.
Les votres par exemple à titre d'employé de cette administration (fiche de paye etc). Mais une préfecture traite aussi bien sûr des données personnelles de l'ensemble du public auprès duquel elle intervient.
Comme n'importe quelle administration votre préfecture doit tenir un registre des activités de traitement au titre de l'article 30 du RGPD.
Je vous conseille de vous rapprocher de votre responsable RGPD (DPO) pour plus d'informations.
En tant que référent PRADA, c'est néammoins à vous qu'il incombe la responsabilité de me le communiquer.
Merci de faire le nécessaire et de me l'envoyer dans les plus brefs délais - le délai légal étant d'un mois.
Je vous prie de croire, Madame, Monsieur, en l'assurance de mes salutations distinguées.
La Quadrature du Net
Bonjour Monsieur,
Nous n’avons pas de traitement algorithme de données personnelles à la
préfecture
Les données personnelles des agents sont traités par le ministère de
l’intérieur services centraux et service RH
En qui concerne les donnés des usagers,seule la direction des étrangers
les manipule avec un protocole adéquate mais en format papiers
les données électroniques sont transmises à ANTS;
Donc qu'elle est exactement votre question ?
Pourquoi aurions nous un registre de traitement des activités??
Nous ne collectons pas de données personnelles qui seraient mises en ligne
Nous publions uniquement un bulletin des actes administratifs qui ne font
pas l'objet de traitement numérique puisque les actes sont publier en PDF
non indexable uniquement
Bien cordialement
-------- Message original --------
Sujet : [INTERNET] Re: Demande au titre du droit d’accès aux documents
administratifs - La Quadrature du Net: demande CADA registre des
activités de traitement/inventaire des principaux traitements
algorithmiques
De : La Quadrature du Net [1]<[FOI #44624 email]>
Pour : PREF93 Correspondant CADA
[2]<[Préfecture de la Seine-Saint-Denis request email]>
Date : 08/11/2023 23:31
Monsieur,
Je ne comprends pas bien votre réponse.
Il ne fait aucun doute qu'une préfecture traite des données personnelles.
Les votres par exemple à titre d'employé de cette administration (fiche de paye etc). Mais une préfecture traite aussi bien sûr des données personnelles de l'ensemble du public auprès duquel elle intervient.
Comme n'importe quelle administration votre préfecture doit tenir un registre des activités de traitement au titre de l'article 30 du RGPD.
Je vous conseille de vous rapprocher de votre responsable RGPD (DPO) pour plus d'informations.
En tant que référent PRADA, c'est néammoins à vous qu'il incombe la responsabilité de me le communiquer.
Merci de faire le nécessaire et de me l'envoyer dans les plus brefs délais - le délai légal étant d'un mois.
Je vous prie de croire, Madame, Monsieur, en l'assurance de mes salutations distinguées.
La Quadrature du Net
-----Original Message-----
Bonjour Madame,
Votre demande concerne le RGPD
Je ne comprends pas votre demande d'algorithme
Pourquoi faudrait-il un algorithme ?
Les données personnelles ne sont pas enregistrées à la préfecture
Les données pour les permis de conduire et les cartes d'identité sont
traitées par l'ANTS qui met en œuvre une charte particulière.
Merci donc de préciser votre question en rapport avec les activités de la
préfecture
En vous souhaitant une bonne journée
Cordialement
-------- Message original --------
Sujet : [INTERNET] Demande au titre du droit d’accès aux documents
administratifs - La Quadrature du Net: demande CADA registre des activités
de traitement/inventaire des principaux traitements algorithmiques
De : La Quadrature du Net [1]<[FOI #44624 email]>
Pour : droit d'accès à l'information demandes à Préfecture de la
Seine-Saint-Denis [2]<[Préfecture de la Seine-Saint-Denis request email]>
Date : 04/08/2023 12:21
Madame, Monsieur,
Au titre du droit d’accès aux documents administratifs, tel que prévu notamment par le Livre III du Code des Relations entre le public et l’Administration (CRPA), je sollicite auprès de vous la communication des documents suivants :
1. Le registre des activités de traitement de votre administration tel que prévu par l'article 30 du RGPD;
2. L'inventaire des principaux traitements algorithmiques mis en oeuvre par votre administration tel que prévu par l'article L312-1-3 du CRPA.
Concernant le registre des activités de traitement, je tiens à vous rappeler que dans le cadre de la demande de conseil 20225787 (voir [3][3]https://www.cada.fr/20225787), la CADA a rappelé qu'il est un document administratif communicable à qui le demande.
Il doit recenser l’ensemble des traitements mis en œuvre par votre administration, y compris les expérimentations.
En outre, pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants:
- le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre;
- les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données;
- les catégories de personnes concernées (client, prospect, employé, etc.);
- les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.);
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez;
- les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts;
- les délais prévus pour l'effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre;
- les fondements juridiques de la mise en oeuvre du traitement.
Pour plus d'informations, veuillez consulter la page de la CNIL dédiée: [4][4]https://www.cnil.fr/fr/RGDP-le-registre-....
Concernant l'inventaire des traitements algorithmiques ce dernier doit contenir, pour chaque algorithme, les informations suivantes:
1. Informations métier sur l'algorithme et la décision prise
- Nom de l'algorithme ou s'il n'en a pas, indiquer la décision mise en oeuvre;
- Contexte global: Pourquoi une décision administrative est-elle prise ? Qui sont les acteurs de la décision ? Quelles sont les tâches à accomplir ?
- Finalité de l'algorithme: À quoi sert cet algorithme ? Pourquoi un algorithme a-t-il été utilisé dans ce processus ? Comment et quand l'algorithme intervient-il dans la prise de décision ? Pour effectuer lesdites tâches, à quel moment s'insère l'algorithme dans le processus de décision ? Quel est le processus complet et quelle(s) partie(s) l'algorithme prend-il en charge ?
- Niveau d'automatisation de la décision: Préciser si la décision est entièrement automatisée ou s'il s'agit d'un outil d'aide à la décision.
- Fondements juridiques: Le(s) fondement(s) juridique(s) de la mise en oeuvre de la décision individuelle et, le cas échéant, du traitement des données.
- Ressources connexes: Par exemple, un lien externe vers la plateforme où se connecter pour remplir un formulaire.
2. Informations sur l'impact de la décision
- Nombre de décisions administratives prises par an;
- Portée de la décision;
- Public concerné par la décision.
3. Informations sur le fonctionnement interne de l'algorithme
- Données traitées.
- Source des données traitées: Qui fournit les données (l'usager, une autre administration, etc.) ? Comment sont elles fournies (un dossier, une API, etc.) ?
- Mode de collecte des données traitées: Comment les données sont-elles initialement collectées ? Exemple : "Les inscriptions sont très majoritairement prises en charge au sein d'un portail virtuel dédié aux familles, plus exceptionnellement par voie papier".
- Type d'algorithme: Préciser s'il s'agit d'un système de règles (les règle de calculs sont codées par des personnes) ou d'un algorithme reposant sur l'apprentissage machine (machine learning).
- Opérations effectuées par l'algorithme.
Pour plus d'informations, veuillez consulter la page dédiée de la direction interministérielle du numérique: [5][5]https://guides.etalab.gouv.fr/algorithme....
Dans l'idéal, veuillez publier ces documents directement en ligne et me communiquer les liens où ils seront mis à disposition du public.
Sinon, je souhaite recevoir ces documents sous forme électronique, dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, comme le prévoit l’article L300-4 du CRPA.
Comme l’article L311-2 du CRPA le prévoit lorsque le demandeur a mal identifié celui qui est susceptible de répondre à sa requête, je vous prie de bien vouloir transmettre ma demande au service qui détient les documents demandés si tel est le cas.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Noémie Levain
Juriste à l'association La Quadrature du Net
-------------------------------------------------------------------
La demande ci-dessus vous a été envoyée par l’intermédiaire de la plateforme associative et citoyenne Ma Dada ([6][6]https://madada.fr), dont l’objet est de faciliter l’accès aux informations publiques.
Merci d’utiliser cette adresse email pour toutes les réponses à cette demande :
[7][FOI #44624 email]
Attention : les réponses que vous apporterez à cette demande, de même que les éventuels documents administratifs que vous pourriez communiquer, seront publiés en libre accès sur Ma Dada. Nous vous demandons donc de procéder, le cas échéant, à l’occultation de données à caractère personnel (noms, contacts…), comme le prévoit notamment l’article 311-7 du CRPA.
Nous vous rappelons que vous devez répondre à cette demande dans un délai d’un mois, faute de quoi votre silence vaudra refus implicite (articles R311-12 et R311-13 du CRPA).
Pour toute difficulté ou question concernant :
- Le droit d’accès, vous pouvez consulter le site Internet de la Commission d’accès aux documents administratifs (CADA), [8]www.cada.fr, ou la contacter directement.
- Ma Dada, vous pouvez consulter notre documentation ([9][7]https://doc.madada.fr), ou nous contacter à [10][Ma Dada contact email].
En vous remerciant pour la bienveillance que vous pourrez apporter à cette requête,
L’équipe de Ma Dada.
-------------------------------------------------------------------
References
Visible links
1. mailto:[FOI #44624 email]
2. mailto:[Préfecture de la Seine-Saint-Denis request email]
3. [8]https://www.cada.fr/20225787
4. [9]https://www.cnil.fr/fr/RGDP-le-registre-...
5. [10]https://guides.etalab.gouv.fr/algorithme...
6. [11]https://madada.fr/
7. mailto:[FOI #44624 email]
8. [12]http://www.cada.fr/
9. [13]https://doc.madada.fr/
10. mailto:[Ma Dada contact email]
-------------------------------------------------------------------
Le code des relations entre le public et l’administration fixe les conditions dans lesquels les documents administratifs sont communiqués aux citoyens. En particulier, dès qu’un citoyen en fait la demande, tout document administratif communicable doit être mis en ligne de façon à être accessible à chacun.e (article L311-9), et ce dans leur version mise à jour (article L312-1-1).
Merci d'utiliser cette adresse email pour toutes les réponses à cette demande :
[14][FOI #44624 email]
Attention : Ce message et les réponses/documents que vous écrivez seront publiés en libre accès sur internet. Notre politique en matière de confidentialité et de droits d'auteur :
[15]https://doc.madada.fr/prada/
Notez bien que dans certains cas, la publication des demandes et des réponses sera retardée.
Si vous trouvez ce service utile en tant que plateforme d'accès à l'information, pouvez-vous demander à votre webmaster de mettre un lien vers notre site à partir de la page "droit d'accès à l'information" de votre organisation ?
-------------------------------------------------------------------
References
Visible links
1. mailto:[FOI #44624 email]
2. mailto:[Préfecture de la Seine-Saint-Denis request email]
3. https://www.cada.fr/20225787
4. https://www.cnil.fr/fr/RGDP-le-registre-...
5. https://guides.etalab.gouv.fr/algorithme...
6. https://madada.fr/
7. https://doc.madada.fr/
8. https://www.cada.fr/20225787
9. https://www.cnil.fr/fr/RGDP-le-registre-...
10. https://guides.etalab.gouv.fr/algorithme...
11. https://madada.fr/
12. http://www.cada.fr/
13. https://doc.madada.fr/
14. mailto:[FOI #44624 email]
15. https://doc.madada.fr/prada/
Monsieur,
Je suis désolé, il y a clairement une lacune juridique de votre côté et une incompréhension quant à la notion de traitements de données personnelles et la législation qui s'y rattache.
Nous pouvons éventuellement nous appeler demain ou la semaine prochaine si vous le souhaitez?
Sinon, pouvez vous vous rapprocher du Délégué à la Protection des Données de votre préfecture?
Merci à vous
Madame, Monsieur,
J'assure la mission de référent RGPD pour la préfecture de
Seine-Saint-Denis. Je suis bien évidemment à votre disposition.
Afin de faciliter nos échanges et de mieux répondre à votre demande, je
souhaiterai pouvoir convenir avec vous d'un échange téléphonique.
Bien cordialement,
Maxime BESSELIÈVRE
Chef du bureau de la qualité et de la performance (BQP)
Bureau 224
1 esplanade Jean Moulin - 93007 Bobigny Cedex
Tél : [numéro de téléphone caché]
[1]www.seine-saint-denis.gouv.fr
Secrétariat Général
-------- Message original --------
Sujet : Demande au titre du droit acces aux documents administratifs - La
Quadrature du Net: demande CADA registre des activites de
traitement/inventaire des principaux traitements algorithmiques
Date : 14/11/2023 16:49
-------- Message transféré --------
Sujet : [INTERNET] Re: Demande au titre du droit d’accès aux
documents administratifs - La Quadrature du Net: demande CADA
registre des activités de traitement/inventaire des principaux
traitements algorithmiques
Date : Wed, 08 Nov 2023 23:31:28 +0100
De : La Quadrature du Net [2]<[FOI #44624 email]>
Pour : PREF93 Correspondant CADA
[3]<[Préfecture de la Seine-Saint-Denis request email]>
Monsieur,
Je ne comprends pas bien votre réponse.
Il ne fait aucun doute qu'une préfecture traite des données personnelles.
Les votres par exemple à titre d'employé de cette administration (fiche de paye etc). Mais une préfecture traite aussi bien sûr des données personnelles de l'ensemble du public auprès duquel elle intervient.
Comme n'importe quelle administration votre préfecture doit tenir un registre des activités de traitement au titre de l'article 30 du RGPD.
Je vous conseille de vous rapprocher de votre responsable RGPD (DPO) pour plus d'informations.
En tant que référent PRADA, c'est néammoins à vous qu'il incombe la responsabilité de me le communiquer.
Merci de faire le nécessaire et de me l'envoyer dans les plus brefs délais - le délai légal étant d'un mois.
Je vous prie de croire, Madame, Monsieur, en l'assurance de mes salutations distinguées.
La Quadrature du Net
-----Original Message-----
Bonjour Madame,
Votre demande concerne le RGPD
Je ne comprends pas votre demande d'algorithme
Pourquoi faudrait-il un algorithme ?
Les données personnelles ne sont pas enregistrées à la préfecture
Les données pour les permis de conduire et les cartes d'identité sont
traitées par l'ANTS qui met en œuvre une charte particulière.
Merci donc de préciser votre question en rapport avec les activités de la
préfecture
En vous souhaitant une bonne journée
Cordialement
-------- Message original --------
Sujet : [INTERNET] Demande au titre du droit d’accès aux documents
administratifs - La Quadrature du Net: demande CADA registre des activités
de traitement/inventaire des principaux traitements algorithmiques
De : La Quadrature du Net [1]<[FOI #44624 email]>
Pour : droit d'accès à l'information demandes à Préfecture de la
Seine-Saint-Denis [2]<[Préfecture de la Seine-Saint-Denis request email]>
Date : 04/08/2023 12:21
Madame, Monsieur,
Au titre du droit d’accès aux documents administratifs, tel que prévu notamment par le Livre III du Code des Relations entre le public et l’Administration (CRPA), je sollicite auprès de vous la communication des documents suivants :
1. Le registre des activités de traitement de votre administration tel que prévu par l'article 30 du RGPD;
2. L'inventaire des principaux traitements algorithmiques mis en oeuvre par votre administration tel que prévu par l'article L312-1-3 du CRPA.
Concernant le registre des activités de traitement, je tiens à vous rappeler que dans le cadre de la demande de conseil 20225787 (voir [3][4]https://www.cada.fr/20225787), la CADA a rappelé qu'il est un document administratif communicable à qui le demande.
Il doit recenser l’ensemble des traitements mis en œuvre par votre administration, y compris les expérimentations.
En outre, pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants:
- le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre;
- les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données;
- les catégories de personnes concernées (client, prospect, employé, etc.);
- les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.);
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez;
- les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts;
- les délais prévus pour l'effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre;
- les fondements juridiques de la mise en oeuvre du traitement.
Pour plus d'informations, veuillez consulter la page de la CNIL dédiée: [4][5]https://www.cnil.fr/fr/RGDP-le-registre-....
Concernant l'inventaire des traitements algorithmiques ce dernier doit contenir, pour chaque algorithme, les informations suivantes:
1. Informations métier sur l'algorithme et la décision prise
- Nom de l'algorithme ou s'il n'en a pas, indiquer la décision mise en oeuvre;
- Contexte global: Pourquoi une décision administrative est-elle prise ? Qui sont les acteurs de la décision ? Quelles sont les tâches à accomplir ?
- Finalité de l'algorithme: À quoi sert cet algorithme ? Pourquoi un algorithme a-t-il été utilisé dans ce processus ? Comment et quand l'algorithme intervient-il dans la prise de décision ? Pour effectuer lesdites tâches, à quel moment s'insère l'algorithme dans le processus de décision ? Quel est le processus complet et quelle(s) partie(s) l'algorithme prend-il en charge ?
- Niveau d'automatisation de la décision: Préciser si la décision est entièrement automatisée ou s'il s'agit d'un outil d'aide à la décision.
- Fondements juridiques: Le(s) fondement(s) juridique(s) de la mise en oeuvre de la décision individuelle et, le cas échéant, du traitement des données.
- Ressources connexes: Par exemple, un lien externe vers la plateforme où se connecter pour remplir un formulaire.
2. Informations sur l'impact de la décision
- Nombre de décisions administratives prises par an;
- Portée de la décision;
- Public concerné par la décision.
3. Informations sur le fonctionnement interne de l'algorithme
- Données traitées.
- Source des données traitées: Qui fournit les données (l'usager, une autre administration, etc.) ? Comment sont elles fournies (un dossier, une API, etc.) ?
- Mode de collecte des données traitées: Comment les données sont-elles initialement collectées ? Exemple : "Les inscriptions sont très majoritairement prises en charge au sein d'un portail virtuel dédié aux familles, plus exceptionnellement par voie papier".
- Type d'algorithme: Préciser s'il s'agit d'un système de règles (les règle de calculs sont codées par des personnes) ou d'un algorithme reposant sur l'apprentissage machine (machine learning).
- Opérations effectuées par l'algorithme.
Pour plus d'informations, veuillez consulter la page dédiée de la direction interministérielle du numérique: [5][6]https://guides.etalab.gouv.fr/algorithme....
Dans l'idéal, veuillez publier ces documents directement en ligne et me communiquer les liens où ils seront mis à disposition du public.
Sinon, je souhaite recevoir ces documents sous forme électronique, dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, comme le prévoit l’article L300-4 du CRPA.
Comme l’article L311-2 du CRPA le prévoit lorsque le demandeur a mal identifié celui qui est susceptible de répondre à sa requête, je vous prie de bien vouloir transmettre ma demande au service qui détient les documents demandés si tel est le cas.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Noémie Levain
Juriste à l'association La Quadrature du Net
-------------------------------------------------------------------
La demande ci-dessus vous a été envoyée par l’intermédiaire de la plateforme associative et citoyenne Ma Dada ([6][7]https://madada.fr), dont l’objet est de faciliter l’accès aux informations publiques.
Merci d’utiliser cette adresse email pour toutes les réponses à cette demande :
[7][FOI #44624 email]
Attention : les réponses que vous apporterez à cette demande, de même que les éventuels documents administratifs que vous pourriez communiquer, seront publiés en libre accès sur Ma Dada. Nous vous demandons donc de procéder, le cas échéant, à l’occultation de données à caractère personnel (noms, contacts…), comme le prévoit notamment l’article 311-7 du CRPA.
Nous vous rappelons que vous devez répondre à cette demande dans un délai d’un mois, faute de quoi votre silence vaudra refus implicite (articles R311-12 et R311-13 du CRPA).
Pour toute difficulté ou question concernant :
- Le droit d’accès, vous pouvez consulter le site Internet de la Commission d’accès aux documents administratifs (CADA), [8]www.cada.fr, ou la contacter directement.
- Ma Dada, vous pouvez consulter notre documentation ([9][8]https://doc.madada.fr), ou nous contacter à [10][Ma Dada contact email].
En vous remerciant pour la bienveillance que vous pourrez apporter à cette requête,
L’équipe de Ma Dada.
-------------------------------------------------------------------
References
Visible links
1. mailto:[FOI #44624 email]
2. mailto:[Préfecture de la Seine-Saint-Denis request email]
3. [9]https://www.cada.fr/20225787
4. [10]https://www.cnil.fr/fr/RGDP-le-registre-...
5. [11]https://guides.etalab.gouv.fr/algorithme...
6. [12]https://madada.fr/
7. mailto:[FOI #44624 email]
8. [13]http://www.cada.fr/
9. [14]https://doc.madada.fr/
10. mailto:[Ma Dada contact email]
-------------------------------------------------------------------
Le code des relations entre le public et l’administration fixe les conditions dans lesquels les documents administratifs sont communiqués aux citoyens. En particulier, dès qu’un citoyen en fait la demande, tout document administratif communicable doit être mis en ligne de façon à être accessible à chacun.e (article L311-9), et ce dans leur version mise à jour (article L312-1-1).
Merci d'utiliser cette adresse email pour toutes les réponses à cette demande :
[15][FOI #44624 email]
Attention : Ce message et les réponses/documents que vous écrivez seront publiés en libre accès sur internet. Notre politique en matière de confidentialité et de droits d'auteur :
[16]https://doc.madada.fr/prada/
Notez bien que dans certains cas, la publication des demandes et des réponses sera retardée.
Si vous trouvez ce service utile en tant que plateforme d'accès à l'information, pouvez-vous demander à votre webmaster de mettre un lien vers notre site à partir de la page "droit d'accès à l'information" de votre organisation ?
-------------------------------------------------------------------
References
Visible links
1. http://www.seine-saint-denis.gouv.fr/
2. mailto:[FOI #44624 email]
3. mailto:[Préfecture de la Seine-Saint-Denis request email]
4. https://www.cada.fr/20225787
5. https://www.cnil.fr/fr/RGDP-le-registre-...
6. https://guides.etalab.gouv.fr/algorithme...
7. https://madada.fr/
8. https://doc.madada.fr/
9. https://www.cada.fr/20225787
10. https://www.cnil.fr/fr/RGDP-le-registre-...
11. https://guides.etalab.gouv.fr/algorithme...
12. https://madada.fr/
13. http://www.cada.fr/
14. https://doc.madada.fr/
15. mailto:[FOI #44624 email]
16. https://doc.madada.fr/prada/
Monsieur,
Merci de votre réponse. Je suis joignable au [numéro de téléphone caché] et disponible quand vous le souhaitez à partir de la semaine prochaine du mardi au jeudi.
Je vous prie de croire, Madame, Monsieur, en l'assurance de mes salutations distinguées.
La Quadrature du Net