Madame, Monsieur,

Je vous prie de bien vouloir trouver en pièce jointe le registre des activités de traitement de la Cnaf.

Une réponse vous sera adressée rapidement pour les deux autres volets de votre demande.

Bien cordialement,

Paule Grégoire.

Paule GRÉGOIRE 
Personne Responsable de l’Accès aux Documents Administratifs et à des questions relatives à la réutilisation des informations publiques (PRADA) 
Macssi - Mission de l'Analyse de la Conformité et de la Sécurité du Système d'Information
Tel : | [numéro de téléphone caché]
Mail :  [adresse email] 
Caisse Nationale des Allocations Familiales - site de Paris - 32, avenue de la Sibelle 75014 Paris
Contribuons au respect de l'environnement, n'imprimez ce courriel qu'en cas de nécessité et ayez le réflexe recto-verso.

-----Message d'origine-----
De : La Quadrature du Net <[FOI #44454 email]>
Envoyé : lundi 24 juillet 2023 17:26
À : CNAF-BP-PRADA <[cnaf request email]>
Objet : Demande au titre du droit d’accès aux documents administratifs - La Quadrature du Net: demande CADA registre/inventaire/AIPD

Madame, Monsieur,

Au titre du droit d’accès aux documents administratifs, tel que prévu notamment par le Livre III du Code des relations entre le public et l’administration, je sollicite auprès de vous la communication des documents suivants :
- Le registre des activités de traitement tel que prévu par l'article 30 du RGPD (voir la page de la CNIL);
- L'inventaire des principaux traitements algorithmiques tel que prévu par l'article L312-1-2 du code des relations entre le public et l'administration (CRPA);
- L'étude d'impact (AIPD) de l'algorithme de "scoring" utilisé par la CNAF afin d'organiser le contrôle des allocataires.

Je tiens à vous rappeler que dans le cadre de la demande de conseil 20225787 (voir https://secure-web.cisco.com/1EWa07x7n-T...), la CADA a rappelé que le registre des activités de traitement et les études d'impact sont bien des documents administratifs communicables à qui le demande.

Je souhaite recevoir ces documents sous forme électronique, dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, comme le prévoit l’article L300-4 du Code des relations entre le public et l’administration.

Comme l’article L311-2 du code précité le prévoit lorsque le demandeur a mal identifié celui qui est susceptible de répondre à sa requête, je vous prie de bien vouloir transmettre ma demande au service qui détient les documents demandés si tel est le cas.

Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.

Noémie Levain
Juriste à l'association La Quadrature du Net

-------------------------------------------------------------------
La demande ci-dessus vous a été envoyée par l’intermédiaire de la plateforme associative et citoyenne Ma Dada (https://secure-web.cisco.com/1Tb1fSRNcJC...), dont l’objet est de faciliter l’accès aux informations publiques.

Merci d’utiliser cette adresse email pour toutes les réponses à cette demande :
[FOI #44454 email]

Attention : les réponses que vous apporterez à cette demande, de même que les éventuels documents administratifs que vous pourriez communiquer, seront publiés en libre accès sur Ma Dada. Nous vous demandons donc de procéder, le cas échéant, à l’occultation de données à caractère personnel (noms, contacts…), comme le prévoit notamment l’article 311-7 du CRPA.

Nous vous rappelons que vous devez répondre à cette demande dans un délai d’un mois, faute de quoi votre silence vaudra refus implicite (articles R311-12 et R311-13 du CRPA).

Pour toute difficulté ou question concernant :
- Le droit d’accès, vous pouvez consulter le site Internet de la Commission d’accès aux documents administratifs (CADA), http://secure-web.cisco.com/1a9NnQgRCxcf..., ou la contacter directement.
- Ma Dada, vous pouvez consulter notre documentation (https://secure-web.cisco.com/1LtVog5xoOv...), ou nous contacter à [Ma Dada contact email].

En vous remerciant pour la bienveillance que vous pourrez apporter à cette requête,

L’équipe de Ma Dada.
-------------------------------------------------------------------
Le saviez-vous : 1,5 million de personnes piratées chaque jour dans le monde.

Ce courriel provient d’un expéditeur extérieur à la CNAF.
Merci d’être extrêmement vigilant sur son émetteur et son contenu avant d’ouvrir une pièce jointe ou de cliquer sur un lien internet présent dans ce message.
En cas de doute et avant toute action, contactez votre interlocuteur par téléphone ou votre MSSI pour vous assurer la légitimité du message.

Bonjour,

J'accuse réception de votre message de ce jour.

L'article 30 du RGPD précise que le registre comporte une information sur les catégories de données et non la liste des données.
Les notions de "vie personnelle" ou "vie professionnelle" répondent à cette exigence du RGPD.
Toutefois, je peux vous préciser qu'il s'agit de données de type : situation de famille ou situation professionnelle.
Les données de géolocalisation correspondent quant à elle au traitement de données techniques permettant de déterminer la localisation des personnes concernées dans le cadre de la lutte contre la fraude à la résidence.

Vous relevez également que des informations sont absentes d'après votre analyse.
Je vous remercie de préciser cet élément car les items de l'article 30 sont à notre sens présents dans notre livrable.
L'article 30 exige des catégories de données ou de destinataires sont exiger le détail.

Enfin, je vous informe qu'aucune fiche ne correspond à la Base Nationale des Fraudes car cette base a été supprimée en 2018.

Cordialement,

Paule GRÉGOIRE 
Déléguée à la Protection des Données (DPD)
Macssi - Mission de l'Analyse de la Conformité et de la Sécurité du Système d'Information
Tel : | [numéro de téléphone caché]
Mail :  [adresse email] 
Caisse Nationale des Allocations Familiales - site de Paris - 32, avenue de la Sibelle 75014 Paris
Contribuons au respect de l'environnement, n'imprimez ce courriel qu'en cas de nécessité et ayez le réflexe recto-verso.

-----Message d'origine-----
De : La Quadrature du Net <[FOI #44454 email]>
Envoyé : vendredi 3 novembre 2023 10:48
À : CNAF-BP-PRADA <[adresse email]>
Objet : RE: Demande au titre du droit d’accès aux documents administratifs - La Quadrature du Net: demande CADA registre/inventaire/AIPD

Bonjour Madame,

Je me permets de vous écrire après avoir consulté le registre des activités de traitements que vous m'avez communiqué.

Si je tiens tout d'abord à vous remercier de me l'avoir transmis, je souhaite vous demander si vous disposez d'une version plus complète? La version simplifiée ne semble pas contenir l'ensemble des informations prévues par l'article 30 du RGPD et/ou est vague sur certains points.

A titre d'exemple, il m'est impossible de savoir ce que recouvre concrètement des types de données comme « vie personnelle » ou « vie professionnelle ». Pourriez-vous préciser notamment ce que recouvre la catégorie « données de géolocalisation » ?

De même, les noms des traitements sont manquants ce qui complique le recoupement d'informations. Juste un exemple, je ne trouve pas de fiche concernant la « Base Nationale des Fraudes ». Est-ce celle correspondant à la fiche 1.8 « Lutte contre la fraude »? Ou cela veut-il dire que certaines fiches correspondent à plusieurs activités de traitements?

Merci de votre réponse,

Noémie Levain,
Juriste à la Quadrature du Net

Afficher les sections citées

Bonjour,

J'ai pris connaissance de votre retour sur le point du registre des
traitements et son niveau de détail.

Vous relevé que notre registre, organisé par "domaine d'activité" ne
correspond pas aux exigences de l'article 30 du RGPD.

Je prends note de votre remarque. Toutefois, l'article 30 impose que le
registre des activités de traitement comporte les informations relatives
aux finalités.

C'est bien le cas de notre document. En conséquence, l’exigence de
l’article 30 est respectée.

Vous mettez en avant l’exemple du SNLFE, « service nationale de lutte
contre la fraude à enjeu ».

Le SNLFE est un service de la Cnaf.

La lutte contre la fraude à enjeux est bien listée au nombre des
finalités, comme l’atteste la capture d’écran ci-dessus.

S’agissant de l’enquête Paiement à Bon Droit et Fraude, elle est intégrée
au domaine d’activité « enquêtes, sondages, quiz auprès d’allocataires,
d’usagers et de partenaires.  

Cordialement,

Paule Grégoire.

Paule GRÉGOIRE 
Déléguée à la Protection des Données (DPD)
Macssi - Mission de l'Analyse de la Conformité et de la
[1]Logo CNAF Sécurité du Système d'Information

Tel : | [numéro de téléphone caché]
Mail :  [2][adresse email] 
Caisse Nationale des Allocations Familiales - site de Paris - 32, avenue
de la Sibelle 75014 Paris
Contribuons au respect de l'environnement, n'imprimez ce courriel qu'en
cas de nécessité et ayez le réflexe recto-verso.

-----Message d'origine-----

De : La Quadrature du Net <[3][FOI #44454 email]>

Envoyé : lundi 20 novembre 2023 12:19

À : CNAF-BP-PRADA <[4][adresse email]>

Objet : RE: Demande au titre du droit d’accès aux documents
administratifs - La Quadrature du Net: demande CADA
registre/inventaire/AIPD

Madame,

Je me permets de vous relancer sur deux points.

1. Concernant le registre des activités de traitements tel que prévu par
l'article 30 du RGPD, ce dernier est censé contenir l'exhaustivité des
activités de traitement. Le registre simplifié que vous m'avez communiqué,
organisé par « domaine d'activité » ne semble pas répondre à cette
exigence car il semblerait que plusieurs activités de traitement soient
regroupés au sein d'un même « domaine d'activité ».

Si je note que mon exemple précédent était mauvais car la « Base Nationale
des Fraudes » n'est plus utilisée, je me permets de préciser ma remarque
avec trois autres exemples. Je ne vois nulle part de mentions des
activités de traitements relatives aux expérimentations de modélisation du
non-recours via des méthodes de datamining ni de mentions de l'activité de
traitement « Enquête PBDF » à partir de laquelle le modèle datamining de
lutte contre la fraude est mis à jour. De même je ne vois pas mention
faite de l'activité de traitement « SNLFE » (lutte contre la fraude à
enjeux). Les exemples pourraient ainsi être multipliés.

Ceci indique que le « registre simplifié » communiqué ne permet pas
d'avoir une vue exhaustive des activités de traitement, ce dernier devant
comprendre une fiche par activité de traitement.

En absence de votre part je me verrai dans l'obligation de déposer une
plainte auprès de la CNIL.

2. Je me permets enfin de vous relancer concernant l'AIPD de l'algorithme
de scoring à des fins de lutte contre la fraude dont je vous ai demandé la
communication le 24 juillet 2023.

Cordialement,

Noémie Levain

Juriste à la Quadrature du Net

Afficher les sections citées

Madame Levain,

La version que je vous ai adressée comprend les éléments qui sont communicable et exigés par le RGPD.
Je vous confirme qu'à ce jour nous ne sommes pas en mesure de vous adresser un autre document.

S'agissant de l'AIPD, vous m'avez déjà relancée aujourd'hui à travers votre message de 12h19.
J'ai bien pris connaissance de votre demande.

Cordialement,

Paule Grégoire.

-----Message d'origine-----
De : La Quadrature du Net <[FOI #44454 email]>
Envoyé : lundi 20 novembre 2023 15:36
À : CNAF-BP-PRADA <[adresse email]>
Objet : RE: Demande au titre du droit d’accès aux documents administratifs - La Quadrature du Net: demande CADA registre/inventaire/AIPD

Madame, Monsieur,

Il nous semble que les exigences du RGPD requièrent un niveau de détail plus important, d'autant plus pour une organisation comme la votre, à commencer par l'existence d'une fiche de registre par activité de traitement (https://secure-web.cisco.com/1JmmldbkkwO...).

Je comprends donc que vous n'avez pas prévu une version plus détaillée à l'avenir.

Je me permets par ailleurs de vous relancer quant à l'étude d'impact de l'algorithme de scoring « DMDE ».

Je vous prie de croire, Madame, en l'assurance de mes salutations distinguées.

Noémie Levain
La Quadrature du Net

Afficher les sections citées

Bonjour, 
J'ai pris connaissance de l'avis de la CADA portant le numéro 20237600. 
La CADA s'est prononcée sur le caractère communicable du registre des
activités de traitement. 
Ce registre, dit "simplifié" car expurgé des informations non
communicables, vous a été communiqué. 
Comme nous avons pu le mettre en avant, l'extraction du registre de
l'outil actuellement utilisé à la Cnaf génère un fichier PDF de plusieurs
milliers de pages et/ou un PDF de plusieurs milliers de colonnes. 
La relecture et le caviardage de ces documents ne sont pas envisageables.
Aussi, même avec une communication progressive, ce n'est pas envisageable
considérant la charge induite par ces traitements.
La Cnaf a publié en fin d'année 2023 un appel d'offre pour le
renouvellement de l'outil. 
Cet outil pourrait être déployé au cours du second semestre 2024. 
Je vous invite à renouveler votre demande de communication à compter du
1er septembre 2024 afin que la transmission d'un document communicable
soit envisagée.
Cordialement, 
Paule Grégoire,
Prada de la Cnaf.

══════════════════════════════════════════════════════════════════════════

De : La Quadrature du Net <[FOI #44454 email]>
Envoyé : lundi 6 novembre 2023 11:36
À : CNAF-BP-PRADA <[adresse email]>
Objet : RE: Demande au titre du droit d’accès aux documents
administratifs - La Quadrature du Net: demande CADA
registre/inventaire/AIPD
 
Bonjour Madame,

Je me permets de vous relancer sur deux points.

Concernant le registre des activités de traitements tel que prévu par
l'article 30 du RGPD, ce dernier est censé contenir l'exhaustivité des
activités de traitement. Le registre simplifié que vous m'avez communiqué,
organisé par « domaine d'activité » ne semble pas répondre à cette
exigence car il semblerait que plusieurs activités de traitement soient
regroupés au sein d'un même « domaine d'activité ».

Si je note que mon exemple précédent était mauvais car la « Base Nationale
des Fraudes » n'est plus utilisée, je me permets de préciser ma remarque
avec trois autres exemples. Je ne vois nulle part de mentions des
activités de traitements relatives aux expérimentations de modélisation du
non-recours via des méthodes de datamining ni de mentions de l'activité de
traitement « Enquête PBDF » à partir de laquelle le modèle datamining de
lutte contre la fraude est mis à jour. De même je ne vois pas mention
faite de l'activité de traitement « SNLFE » (lutte contre la fraude à
enjeux).

Ceci indique que le « registre simplifié » communiqué ne permet pas
d'avoir une vue exhaustive des activités de traitement, ce dernier devant
comprendre une fiche par activité de traitement.

Je me permets enfin de vous relancer concernant l'AIPD de l'algorithme de
scoring à des fins de lutte contre la fraude dont je vous ai demandé la
communication le 24 juillet 2023. En absence de communication de ce
document dans les jours qui viennent, je me verrai dans l'obligation de
saisir la CADA.

Cordialement,

Noémie Levain
Juriste à la Quadrature du Net

Afficher les sections citées