La Quadrature du Net: demande CADA registre des activités de traitement/inventaire des principaux traitements algorithmiques
Madame, Monsieur,
Au titre du droit d’accès aux documents administratifs, tel que prévu notamment par le Livre III du Code des Relations entre le public et l’Administration (CRPA), je sollicite auprès de vous la communication des documents suivants :
1. Le registre des activités de traitement de votre administration tel que prévu par l'article 30 du RGPD;
2. L'inventaire des principaux traitements algorithmiques mis en oeuvre par votre administration tel que prévu par l'article L312-1-3 du CRPA.
Concernant le registre des activités de traitement, je tiens à vous rappeler que dans le cadre de la demande de conseil 20225787 (voir https://www.cada.fr/20225787), la CADA a rappelé qu'il est un document administratif communicable à qui le demande.
Il doit recenser l’ensemble des traitements mis en œuvre par votre administration, y compris les expérimentations.
En outre, pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants:
- le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre;
- les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données;
- les catégories de personnes concernées (client, prospect, employé, etc.);
- les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.);
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez;
- les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts;
- les délais prévus pour l'effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre;
- les fondements juridiques de la mise en oeuvre du traitement.
Pour plus d'informations, veuillez consulter la page de la CNIL dédiée: https://www.cnil.fr/fr/RGDP-le-registre-....
Concernant l'inventaire des traitements algorithmiques ce dernier doit contenir, pour chaque algorithme, les informations suivantes:
1. Informations métier sur l'algorithme et la décision prise
- Nom de l'algorithme ou s'il n'en a pas, indiquer la décision mise en oeuvre;
- Contexte global: Pourquoi une décision administrative est-elle prise ? Qui sont les acteurs de la décision ? Quelles sont les tâches à accomplir ?
- Finalité de l'algorithme: À quoi sert cet algorithme ? Pourquoi un algorithme a-t-il été utilisé dans ce processus ? Comment et quand l'algorithme intervient-il dans la prise de décision ? Pour effectuer lesdites tâches, à quel moment s'insère l'algorithme dans le processus de décision ? Quel est le processus complet et quelle(s) partie(s) l'algorithme prend-il en charge ?
- Niveau d'automatisation de la décision: Préciser si la décision est entièrement automatisée ou s'il s'agit d'un outil d'aide à la décision.
- Fondements juridiques: Le(s) fondement(s) juridique(s) de la mise en oeuvre de la décision individuelle et, le cas échéant, du traitement des données.
- Ressources connexes: Par exemple, un lien externe vers la plateforme où se connecter pour remplir un formulaire.
2. Informations sur l'impact de la décision
- Nombre de décisions administratives prises par an;
- Portée de la décision;
- Public concerné par la décision.
3. Informations sur le fonctionnement interne de l'algorithme
- Données traitées.
- Source des données traitées: Qui fournit les données (l'usager, une autre administration, etc.) ? Comment sont elles fournies (un dossier, une API, etc.) ?
- Mode de collecte des données traitées: Comment les données sont-elles initialement collectées ? Exemple : "Les inscriptions sont très majoritairement prises en charge au sein d'un portail virtuel dédié aux familles, plus exceptionnellement par voie papier".
- Type d'algorithme: Préciser s'il s'agit d'un système de règles (les règle de calculs sont codées par des personnes) ou d'un algorithme reposant sur l'apprentissage machine (machine learning).
- Opérations effectuées par l'algorithme.
Pour plus d'informations, veuillez consulter la page dédiée de la direction interministérielle du numérique: https://guides.etalab.gouv.fr/algorithme....
Dans l'idéal, veuillez publier ces documents directement en ligne et me communiquer les liens où ils seront mis à disposition du public.
Sinon, je souhaite recevoir ces documents sous forme électronique, dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, comme le prévoit l’article L300-4 du CRPA.
Comme l’article L311-2 du CRPA le prévoit lorsque le demandeur a mal identifié celui qui est susceptible de répondre à sa requête, je vous prie de bien vouloir transmettre ma demande au service qui détient les documents demandés si tel est le cas.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Noémie Levain
Juriste à l'association La Quadrature du Net
(Ne pas répondre à ce message automatique SVP)
Bonjour ,
Nous avons bien reçu votre message le 2023-08-04 10:21:22 concernant
l'objet suivant : Demande au titre du droit d’accès aux documents
administratifs - La Quadrature du Net: demande CADA registre des activités
de traitement/inventaire des principaux traitements algorithmiques .
Cordialement,
Conseil départemental de la Manche
Centre de contact - T : 02 33 055 550
Bonjour,
Le traitement de votre demande est en cours concernant la communication du
registre des activités de traitements en externe. Le prestataire de notre
logiciel a été sollicité afin que tous les champs exigibles par le RGPD
soient accessibles. Je reviens vers vous dans un délai maximum de deux
mois.
Concernant l'inventaire des principaux traitements algorithmiques mis en
œuvre par votre administration tel que prévu par l'article L312-1-3 du
CRPA cet inventaire n’existe pas à l’heure actuelle, nous ne sommes donc
pas en mesure de vous le communiquer.
Cordialement,
[1][IMG] Isabelle Lison
Responsable de la gouvernance des données
Data Protection Officer/ Déléguée à la protection des données
(DPO)
Personne Responsable de l’Accès aux Documents Administratifs
(PRADA)
Direction de la Maîtrise des Risques
Conseil départemental de la Manche - 50050 SAINT-LÔ CEDEX
[Gsm]– [2][adresse email]
[3][IMG][4][IMG][5][IMG][6][IMG][7][IMG]
Afin de contribuer au respect de l'environnement, merci de
n'imprimer les éléments de ce courriel que si nécessaire.
Conformément à la réglementation applicable, notamment au
Règlement européen 2016/679, dit règlement général sur la
protection des données (RGPD) et les dispositions nationales
relatives à l'informatique, aux fichiers et libertés, vous
disposez d’un droit d’accès, de rectification, de suppression et
d’opposition, pour motifs légitimes, aux données à caractère
personnel vous concernant.
Ces droits peuvent être exercés par l’envoi d’un courriel à notre
DPO : [8][adresse email]
Par ailleurs, ce message et toutes les pièces jointes sont
établis à l'intention exclusive de ses destinataires et sont
confidentiels. Si vous recevez ce message par erreur ou s'il ne
vous est pas destiné, merci de le détruire avec toutes les copies
que vous auriez pu faire sur un support informatique (poste de
travail, clé USB, tablette, smartphone, serveur…) et d'en avertir
immédiatement l'expéditeur. Toute lecture non autorisée, toute
utilisation de ce message qui n'est pas conforme à sa
destination, toute diffusion ou toute publication, totale ou
partielle, est interdite et pourra faire l'objet de sanctions.
[9][IMG]
References
Visible links
1. https://www.manche.fr/
2. mailto:[adresse email]
3. https://www.facebook.com/MancheDepartement
4. https://twitter.com/LaManche50
5. https://www.instagram.com/lamanche_depar...
6. https://www.linkedin.com/company/conseil...
7. https://www.manche.fr/
8. mailto:[adresse email]
9. https://manche.fr/cd-liensignature.htm
Madame,
Merci de votre réponse et de bien vouloir me prévenir lorsque le registre sera disponible.
Je vous prie de croire, Madame, en l'assurance de mes salutations distinguées.
Noémie Levain
La Quadrature du Net
Bonjour,
Nous ne sommes pas en mesure de vous transmettre notre registre des traitements car l'outil de gestion ne permet pas de supprimer les données à caractère personnel avant diffusion.
Je vous souhaite une belle journée
Isabelle Lison
Responsable de la gouvernance des données
Data Protection Officer/ Déléguée à la protection des données (DPO)
Personne Responsable de l’Accès aux Documents Administratifs (PRADA)
Direction de la Maîtrise des Risques
Conseil départemental de la Manche - 50050 SAINT-LÔ CEDEX
Afin de contribuer au respect de l'environnement, merci de n'imprimer les éléments de ce courriel que si nécessaire.
Conformément à la réglementation applicable, notamment au Règlement européen 2016/679, dit règlement général sur la protection des données (RGPD) et les dispositions nationales relatives à l'informatique, aux fichiers et libertés, vous disposez d’un droit d’accès, de rectification, de suppression et d’opposition, pour motifs légitimes, aux données à caractère personnel vous concernant.
Ces droits peuvent être exercés par l’envoi d’un courriel à notre DPO : [adresse email]
Par ailleurs, ce message et toutes les pièces jointes sont établis à l'intention exclusive de ses destinataires et sont confidentiels. Si vous recevez ce message par erreur ou s'il ne vous est pas destiné, merci de le détruire avec toutes les copies que vous auriez pu faire sur un support informatique (poste de travail, clé USB, tablette, smartphone, serveur…) et d'en avertir immédiatement l'expéditeur. Toute lecture non autorisée, toute utilisation de ce message qui n'est pas conforme à sa destination, toute diffusion ou toute publication, totale ou partielle, est interdite et pourra faire l'objet de sanctions.
-----Message d'origine-----
De : La Quadrature du Net <[FOI #44554 email]>
Envoyé : mercredi 8 novembre 2023 22:54
À : LISON Isabelle <[adresse email]>
Objet : Re: Publication du registre en externe et inventaire des principaux TTT algorthmiques
Madame,
Merci de votre réponse et de bien vouloir me prévenir lorsque le registre sera disponible.
Je vous prie de croire, Madame, en l'assurance de mes salutations distinguées.
Noémie Levain
La Quadrature du Net
-----Original Message-----
Bonjour,
Le traitement de votre demande est en cours concernant la communication du registre des activités de traitements en externe. Le prestataire de notre logiciel a été sollicité afin que tous les champs exigibles par le RGPD soient accessibles. Je reviens vers vous dans un délai maximum de deux mois.
Concernant l'inventaire des principaux traitements algorithmiques mis en œuvre par votre administration tel que prévu par l'article L312-1-3 du CRPA cet inventaire n’existe pas à l’heure actuelle, nous ne sommes donc pas en mesure de vous le communiquer.
Cordialement,
[1][IMG] Isabelle Lison
Responsable de la gouvernance des données
Data Protection Officer/ Déléguée à la protection des données
(DPO)
Personne Responsable de l’Accès aux Documents Administratifs
(PRADA)
Direction de la Maîtrise des Risques
Conseil départemental de la Manche - 50050 SAINT-LÔ CEDEX
[Gsm]– [2][adresse email]
[3][IMG][4][IMG][5][IMG][6][IMG][7][IMG]
Afin de contribuer au respect de l'environnement, merci de n'imprimer les éléments de ce courriel que si nécessaire.
Conformément à la réglementation applicable, notamment au Règlement européen 2016/679, dit règlement général sur la protection des données (RGPD) et les dispositions nationales relatives à l'informatique, aux fichiers et libertés, vous disposez d’un droit d’accès, de rectification, de suppression et d’opposition, pour motifs légitimes, aux données à caractère personnel vous concernant.
Ces droits peuvent être exercés par l’envoi d’un courriel à notre DPO : [8][adresse email]
Par ailleurs, ce message et toutes les pièces jointes sont établis à l'intention exclusive de ses destinataires et sont confidentiels. Si vous recevez ce message par erreur ou s'il ne vous est pas destiné, merci de le détruire avec toutes les copies que vous auriez pu faire sur un support informatique (poste de travail, clé USB, tablette, smartphone, serveur…) et d'en avertir immédiatement l'expéditeur. Toute lecture non autorisée, toute utilisation de ce message qui n'est pas conforme à sa destination, toute diffusion ou toute publication, totale ou partielle, est interdite et pourra faire l'objet de sanctions.
[9][IMG]
References
Visible links
1. https://www.manche.fr/
2. mailto:[adresse email]
3. https://urldefense.com/v3/__https://www....
4. https://urldefense.com/v3/__https://twit...
5. https://urldefense.com/v3/__https://www....
6. https://urldefense.com/v3/__https://www....
7. https://www.manche.fr/
8. mailto:[adresse email]
9. https://manche.fr/cd-liensignature.htm
-------------------------------------------------------------------
Le code des relations entre le public et l’administration fixe les conditions dans lesquels les documents administratifs sont communiqués aux citoyens. En particulier, dès qu’un citoyen en fait la demande, tout document administratif communicable doit être mis en ligne de façon à être accessible à chacun.e (article L311-9), et ce dans leur version mise à jour (article L312-1-1).
Merci d'utiliser cette adresse email pour toutes les réponses à cette demande :
[FOI #44554 email]
Attention : Ce message et les réponses/documents que vous écrivez seront publiés en libre accès sur internet. Notre politique en matière de confidentialité et de droits d'auteur :
https://urldefense.com/v3/__https://doc....
Notez bien que dans certains cas, la publication des demandes et des réponses sera retardée.
Si vous trouvez ce service utile en tant que plateforme d'accès à l'information, pouvez-vous demander à votre webmaster de mettre un lien vers notre site à partir de la page "droit d'accès à l'information" de votre organisation ?
-------------------------------------------------------------------