La Quadrature du Net: demande CADA registre des activités de traitement/inventaire des principaux traitements algorithmiques

Selon la loi, Ministère de l'action et des comptes publics aurait dû répondre avant le . Cette demande a donc reçu un refus implicite.

Madame, Monsieur,

Au titre du droit d’accès aux documents administratifs, tel que prévu notamment par le Livre III du Code des relations entre le public et l’administration, je sollicite auprès de vous la communication des documents suivants :
- Le registre des activités de traitement tel que prévu par l'article 30 du RGPD de votre administration;
- L'inventaire des principaux traitements algorithmiques mis en oeuvre par votre administration tel que prévu par l'article L312-1-2 du code des relations entre le public et l'administration (CRPA).

Je tiens à vous rappeler que dans le cadre de la demande de conseil 20225787 (voir https://www.cada.fr/20225787), la CADA a rappelé que le registre des activités de traitements est bien un document administratif communicable à qui le demande.

Il doit contenir recenser l’ensemble des traitements mis en œuvre par votre administration, y compris les expérimentations.

En outre, pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants :

- le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre;
- les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données;
- les catégories de personnes concernées (client, prospect, employé, etc.);
- les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.);
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez;
- les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts;
- les délais prévus pour l'effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre.

Pour plus d'informations, veuillez consulter la page de la CNIL dédiée: https://www.cnil.fr/fr/RGDP-le-registre-....

Je souhaite recevoir ces documents sous forme électronique, dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, comme le prévoit l’article L300-4 du Code des relations entre le public et l’administration.

Comme l’article L311-2 du code précité le prévoit lorsque le demandeur a mal identifié celui qui est susceptible de répondre à sa requête, je vous prie de bien vouloir transmettre ma demande au service qui détient les documents demandés si tel est le cas.

Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.

Noémie Levain
Juriste à l'association La Quadrature du Net