La Quadrature du Net: demande CADA registre des activités de traitement/inventaire des principaux traitements algorithmiques
Madame, Monsieur,
Au titre du droit d’accès aux documents administratifs, tel que prévu notamment par le Livre III du Code des relations entre le public et l’administration, je sollicite auprès de vous la communication des documents suivants :
- Le registre des activités de traitement tel que prévu par l'article 30 du RGPD de votre administration;
- L'inventaire des principaux traitements algorithmiques mis en oeuvre par votre administration tel que prévu par l'article L312-1-2 du code des relations entre le public et l'administration (CRPA).
Je tiens à vous rappeler que dans le cadre de la demande de conseil 20225787 (voir https://www.cada.fr/20225787), la CADA a rappelé que le registre des activités de traitements est bien un document administratif communicable à qui le demande.
Il doit contenir recenser l’ensemble des traitements mis en œuvre par votre administration, y compris les expérimentations.
En outre, pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants :
- le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre;
- les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données;
- les catégories de personnes concernées (client, prospect, employé, etc.);
- les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.);
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez;
- les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts;
- les délais prévus pour l'effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre.
Pour plus d'informations, veuillez consulter la page de la CNIL dédiée: https://www.cnil.fr/fr/RGDP-le-registre-....
Je souhaite recevoir ces documents sous forme électronique, dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, comme le prévoit l’article L300-4 du Code des relations entre le public et l’administration.
Comme l’article L311-2 du code précité le prévoit lorsque le demandeur a mal identifié celui qui est susceptible de répondre à sa requête, je vous prie de bien vouloir transmettre ma demande au service qui détient les documents demandés si tel est le cas.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Noémie Levain
Juriste à l'association La Quadrature du Net
Madame Levain,
Vous trouvez ci-joint la réponse à votre demande pour la Cnam.
Veuillez agréer, Madame, l'expression de ma considération distinguée
Gildine Croizé
-----Message d'origine-----
De : La Quadrature du Net <[FOI #44457 email]>
Envoyé : lundi 24 juillet 2023 18:20
À : MP107501-DPO <[CNAM request email]>
Objet : Demande au titre du droit d’accès aux documents administratifs - La Quadrature du Net: demande CADA registre des activités de traitement/inventaire des principaux traitements algorithmiques
Madame, Monsieur,
Au titre du droit d’accès aux documents administratifs, tel que prévu notamment par le Livre III du Code des relations entre le public et l’administration, je sollicite auprès de vous la communication des documents suivants :
- Le registre des activités de traitement tel que prévu par l'article 30 du RGPD de votre administration;
- L'inventaire des principaux traitements algorithmiques mis en oeuvre par votre administration tel que prévu par l'article L312-1-2 du code des relations entre le public et l'administration (CRPA).
Je tiens à vous rappeler que dans le cadre de la demande de conseil 20225787 (voir https://urldefense.com/v3/__https://www.... ), la CADA a rappelé que le registre des activités de traitements est bien un document administratif communicable à qui le demande.
Il doit contenir recenser l’ensemble des traitements mis en œuvre par votre administration, y compris les expérimentations.
En outre, pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants :
- le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre;
- les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données;
- les catégories de personnes concernées (client, prospect, employé, etc.);
- les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.);
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez;
- les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts;
- les délais prévus pour l'effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre.
Pour plus d'informations, veuillez consulter la page de la CNIL dédiée: https://urldefense.com/v3/__https://www.... .
Je souhaite recevoir ces documents sous forme électronique, dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, comme le prévoit l’article L300-4 du Code des relations entre le public et l’administration.
Comme l’article L311-2 du code précité le prévoit lorsque le demandeur a mal identifié celui qui est susceptible de répondre à sa requête, je vous prie de bien vouloir transmettre ma demande au service qui détient les documents demandés si tel est le cas.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Noémie Levain
Juriste à l'association La Quadrature du Net
-------------------------------------------------------------------
La demande ci-dessus vous a été envoyée par l’intermédiaire de la plateforme associative et citoyenne Ma Dada (https://urldefense.com/v3/__https://mada... ), dont l’objet est de faciliter l’accès aux informations publiques.
Merci d’utiliser cette adresse email pour toutes les réponses à cette demande :
[FOI #44457 email]
Attention : les réponses que vous apporterez à cette demande, de même que les éventuels documents administratifs que vous pourriez communiquer, seront publiés en libre accès sur Ma Dada. Nous vous demandons donc de procéder, le cas échéant, à l’occultation de données à caractère personnel (noms, contacts…), comme le prévoit notamment l’article 311-7 du CRPA.
Nous vous rappelons que vous devez répondre à cette demande dans un délai d’un mois, faute de quoi votre silence vaudra refus implicite (articles R311-12 et R311-13 du CRPA).
Pour toute difficulté ou question concernant :
- Le droit d’accès, vous pouvez consulter le site Internet de la Commission d’accès aux documents administratifs (CADA), https://urldefense.com/v3/__http://www.c... , ou la contacter directement.
- Ma Dada, vous pouvez consulter notre documentation (https://urldefense.com/v3/__https://doc.... ), ou nous contacter à [Ma Dada contact email].
En vous remerciant pour la bienveillance que vous pourrez apporter à cette requête,
L’équipe de Ma Dada.
-------------------------------------------------------------------
*****************************************************
"Le contenu de ce courriel et ses éventuelles pièces jointes sont confidentiels. Ils s'adressent exclusivement à la personne destinataire. Si cet envoi ne vous est pas destiné, ou si vous l'avez reçu par erreur, et afin de ne pas violer le secret des correspondances, vous ne devez pas le transmettre à d'autres personnes ni le reproduire. Merci de le renvoyer à l'émetteur et de le détruire.
Attention : L'organisme de l'émetteur du message ne pourra être tenu responsable de l'altération du présent courriel. Il appartient au destinataire de vérifier que les messages et pièces jointes reçus ne contiennent pas de virus. Les opinions contenues dans ce courriel et ses éventuelles pièces jointes sont celles de l'émetteur. Elles ne reflètent pas la position de l'organisme sauf s'il en est disposé autrement dans le présent courriel."
*****************************************************
Madame, Monsieur,
Merci de votre réponse.
Nous attendons le reste des informations.
Je vous prie de croire, Madame, en l'assurance de mes salutations distinguées.
Noémie Levain
La Quadrature du Net
Madame, Monsieur,
Merci de votre réponse,
Je vous prie de croire, Madame, Monsieur, en l'assurance de mes salutations distinguées.
La Quadrature du Net
Bonjour Madame Levain,
Je vous prie de bien vouloir trouver ci-joint le registre des activités de traitement de la Cnam.
Vous en souhaitant bonne récéption.
Cordialement
Sophie DAUMONT
Juriste d’entreprise/ coordonnatrice technique
PRADA de la Cnam
SG/ Département Juridique
Caisse nationale de l’Assurance Maladie
50 avenue du Professeur André Lemierre – 75986 Paris cedex 20
-----Message d'origine-----
De : La Quadrature du Net <[FOI #44457 email]>
Envoyé : vendredi 29 septembre 2023 15:28
À : MP107501-PRADA <[adresse email]>
Objet : RE: Demande au titre du droit d’accès aux documents administratifs - La Quadrature du Net: demande CADA registre des activités de traitement/inventaire des principaux traitements algorithmiques
Madame, Monsieur,
Merci de votre réponse,
Je vous prie de croire, Madame, Monsieur, en l'assurance de mes salutations distinguées.
La Quadrature du Net
-----Original Message-----
Madame Levain,
Vous trouvez ci-joint la réponse à votre demande pour la Cnam.
Veuillez agréer, Madame, l'expression de ma considération distinguée Gildine Croizé
-----Message d'origine-----
De : La Quadrature du Net <[FOI #44457 email]>
Envoyé : lundi 24 juillet 2023 18:20
À : MP107501-DPO <[CNAM request email]>
Objet : Demande au titre du droit d’accès aux documents administratifs - La Quadrature du Net: demande CADA registre des activités de traitement/inventaire des principaux traitements algorithmiques
Madame, Monsieur,
Au titre du droit d’accès aux documents administratifs, tel que prévu notamment par le Livre III du Code des relations entre le public et l’administration, je sollicite auprès de vous la communication des documents suivants :
- Le registre des activités de traitement tel que prévu par l'article 30 du RGPD de votre administration;
- L'inventaire des principaux traitements algorithmiques mis en oeuvre par votre administration tel que prévu par l'article L312-1-2 du code des relations entre le public et l'administration (CRPA).
Je tiens à vous rappeler que dans le cadre de la demande de conseil 20225787 (voir https://urldefense.com/v3/__https://www.... ), la CADA a rappelé que le registre des activités de traitements est bien un document administratif communicable à qui le demande.
Il doit contenir recenser l’ensemble des traitements mis en œuvre par votre administration, y compris les expérimentations.
En outre, pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants :
- le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre;
- les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données;
- les catégories de personnes concernées (client, prospect, employé, etc.);
- les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.);
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez;
- les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts;
- les délais prévus pour l'effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre.
Pour plus d'informations, veuillez consulter la page de la CNIL dédiée: https://urldefense.com/v3/__https://www.... .
Je souhaite recevoir ces documents sous forme électronique, dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, comme le prévoit l’article L300-4 du Code des relations entre le public et l’administration.
Comme l’article L311-2 du code précité le prévoit lorsque le demandeur a mal identifié celui qui est susceptible de répondre à sa requête, je vous prie de bien vouloir transmettre ma demande au service qui détient les documents demandés si tel est le cas.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Noémie Levain
Juriste à l'association La Quadrature du Net
-------------------------------------------------------------------
La demande ci-dessus vous a été envoyée par l’intermédiaire de la plateforme associative et citoyenne Ma Dada (https://urldefense.com/v3/__https://mada... ), dont l’objet est de faciliter l’accès aux informations publiques.
Merci d’utiliser cette adresse email pour toutes les réponses à cette demande :
[FOI #44457 email]
Attention : les réponses que vous apporterez à cette demande, de même que les éventuels documents administratifs que vous pourriez communiquer, seront publiés en libre accès sur Ma Dada. Nous vous demandons donc de procéder, le cas échéant, à l’occultation de données à caractère personnel (noms, contacts…), comme le prévoit notamment l’article 311-7 du CRPA.
Nous vous rappelons que vous devez répondre à cette demande dans un délai d’un mois, faute de quoi votre silence vaudra refus implicite (articles R311-12 et R311-13 du CRPA).
Pour toute difficulté ou question concernant :
- Le droit d’accès, vous pouvez consulter le site Internet de la Commission d’accès aux documents administratifs (CADA), https://urldefense.com/v3/__http://www.c... , ou la contacter directement.
- Ma Dada, vous pouvez consulter notre documentation (https://urldefense.com/v3/__https://doc.... ), ou nous contacter à [Ma Dada contact email].
En vous remerciant pour la bienveillance que vous pourrez apporter à cette requête,
L’équipe de Ma Dada.
-------------------------------------------------------------------
Le code des relations entre le public et l’administration fixe les conditions dans lesquels les documents administratifs sont communiqués aux citoyens. En particulier, dès qu’un citoyen en fait la demande, tout document administratif communicable doit être mis en ligne de façon à être accessible à chacun.e (article L311-9), et ce dans leur version mise à jour (article L312-1-1).
Merci d'utiliser cette adresse email pour toutes les réponses à cette demande :
[FOI #44457 email]
Attention : Ce message et les réponses/documents que vous écrivez seront publiés en libre accès sur internet. Notre politique en matière de confidentialité et de droits d'auteur :
https://urldefense.com/v3/__https://doc....
Notez bien que dans certains cas, la publication des demandes et des réponses sera retardée.
Si vous trouvez ce service utile en tant que plateforme d'accès à l'information, pouvez-vous demander à votre webmaster de mettre un lien vers notre site à partir de la page "droit d'accès à l'information" de votre organisation ?
-------------------------------------------------------------------
*****************************************************
"Le contenu de ce courriel et ses éventuelles pièces jointes sont confidentiels. Ils s'adressent exclusivement à la personne destinataire. Si cet envoi ne vous est pas destiné, ou si vous l'avez reçu par erreur, et afin de ne pas violer le secret des correspondances, vous ne devez pas le transmettre à d'autres personnes ni le reproduire. Merci de le renvoyer à l'émetteur et de le détruire.
Attention : L'organisme de l'émetteur du message ne pourra être tenu responsable de l'altération du présent courriel. Il appartient au destinataire de vérifier que les messages et pièces jointes reçus ne contiennent pas de virus. Les opinions contenues dans ce courriel et ses éventuelles pièces jointes sont celles de l'émetteur. Elles ne reflètent pas la position de l'organisme sauf s'il en est disposé autrement dans le présent courriel."
*****************************************************
Madame,
Merci de votre courriel.
Je vous prie de croire en l'assurance de mes salutations distinguées.
Noémie Levain
Juriste à La Quadrature du Net
Madame, Monsieur,
Je me permets de vous relancer concernant le registre des activités de traitements, soit une fiche par activité de traitement.
Tel que prévu par l'article 30 du RGPD, ce dernier est censé contenir l'exhaustivité des activités de traitement.
Le registre simplifié que vous m'avez communiqué, organisé par finalité, ne semble pas répondre à cette exigence car il semblerait que plusieurs activités de traitement soient regroupés au sein d'une même finalité.
Aucun nom d'activité de traitement n'est indiqué et je prendrai deux exemples à titre d'illustration qui semblent indiquer que le registre ne contient pas une fiche par traitement. Ainsi pour les traitements utilisés pour le contrôle de résidence PUMA (https://assurance-maladie.ameli.fr/sites...) ou pour les expérimentations liées au contrôle du traitement « Contrôles CMU-C » (https://www.ameli.fr/sites/default/files...). Je suppose que ces deux traitements sont regroupés dans la fiche 21 ce qui indiquerait que cette fiche regroupe plusieurs activités de traitements.
Ceci indique que le registre communiqué ne permet pas d'avoir une vue exhaustive des activités de traitement, ce dernier devant comprendre une fiche par activité de traitement.
Je me permets donc de vous relancer concernant la communication du registre des activités de traitements de la CNAM. Pouvez-vous m'envoyer une version complète de ce dernier?
Cordialement,
Noémie Levain
Juriste à la Quadrature du Net
Madame, Monsieur,
Je me permets de vous relancer concernant le registre des activités de traitements.
Ce dernier est censé contenir l'exhaustivité des activités de traitement, soit une fiche par activité de traitement tel que prévu par l'article 30 du RGPD.
Le registre simplifié que vous m'avez communiqué, organisé par finalité, ne semble pas répondre à cette exigence car il semblerait que plusieurs activités de traitement soient regroupés au sein d'une même finalité.
Aucun nom d'activité de traitement n'est indiqué et je prendrai deux exemples à titre d'illustration qui semblent indiquer que le registre ne contient pas une fiche par traitement. Ainsi pour les traitements utilisés pour le contrôle de résidence PUMA (https://assurance-maladie.ameli.fr/sites...) ou pour les expérimentations liées au contrôle du traitement « Contrôles CMU-C » (https://www.ameli.fr/sites/default/files...). Je suppose que ces deux traitements sont regroupés dans la fiche 21 ce qui indiquerait que cette fiche regroupe plusieurs activités de traitements.
Ceci indique que le registre communiqué ne permet pas d'avoir une vue exhaustive des activités de traitement, ce dernier devant comprendre une fiche par activité de traitement.
Je me permets donc de vous relancer concernant la communication du registre des activités de traitements de la CNAM. Pouvez-vous m'envoyer une version complète de ce dernier?
Dans l'hypothèse où ce document serait en création, veuillez me le préciser. Dans le cas contraire, je me verrai dans l'obligation de déposer une plainte auprès de la CNIL.
Cordialement,
Noémie Levain
Juriste à la Quadrature du Net