La Quadrature du Net: demande CADA registre des activités de traitement/inventaire des principaux traitements algorithmiques
Madame, Monsieur,
Au titre du droit d’accès aux documents administratifs, tel que prévu notamment par le Livre III du Code des relations entre le public et l’administration, je sollicite auprès de vous la communication des documents suivants :
- Le registre des activités de traitement tel que prévu par l'article 30 du RGPD de votre administration;
- L'inventaire des principaux traitements algorithmiques mis en oeuvre par votre administration tel que prévu par l'article L312-1-2 du code des relations entre le public et l'administration (CRPA).
Je tiens à vous rappeler que dans le cadre de la demande de conseil 20225787 (voir https://www.cada.fr/20225787), la CADA a rappelé que le registre des activités de traitements est bien un document administratif communicable à qui le demande.
Il doit contenir recenser l’ensemble des traitements mis en œuvre par votre administration, y compris les expérimentations.
En outre, pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants :
- le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre;
- les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données;
- les catégories de personnes concernées (client, prospect, employé, etc.);
- les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.);
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez;
- les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts;
- les délais prévus pour l'effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre.
Pour plus d'informations, veuillez consulter la page de la CNIL dédiée: https://www.cnil.fr/fr/RGDP-le-registre-....
Je souhaite recevoir ces documents sous forme électronique, dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, comme le prévoit l’article L300-4 du Code des relations entre le public et l’administration.
Comme l’article L311-2 du code précité le prévoit lorsque le demandeur a mal identifié celui qui est susceptible de répondre à sa requête, je vous prie de bien vouloir transmettre ma demande au service qui détient les documents demandés si tel est le cas.
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Noémie Levain
Juriste à l'association La Quadrature du Net
Madame, Monsieur,
Par un courriel reçu le 24 juillet 2023 vous avez sollicité :
- Le « registre des activités de traitement tel que prévu par l'article 30
du RGPD de votre administration » ;
- « L'inventaire des principaux traitements algorithmiques mis en œuvre
par votre administration tel que prévu par l'article L312-1-2 du code des
relations entre le public et l'administration (CRPA) ».
En réponse à votre demande, je vous indique :
1. S’agissant des fiches de registre relatives aux traitements dont le
ministère de la justice est responsable
Il résulte de la combinaison des articles L.311-1 et L. 311-7 du code des
relations entre le public et l'administration que la communication ou la
diffusion ne s’effectue qu’après occultation, le cas échéant, de toute
information dont la divulgation pourrait porter atteinte aux secrets
protégés par la loi, et notamment à la sécurité des systèmes d’information
ou à la protection de la vie privée.
L’article L.311-5 du même code prévoit d’ailleurs que : « […] ne sont pas
communicables : 2° Les autres documents administratifs dont la
consultation ou la communication porterait atteinte :
a) Au secret des délibérations du Gouvernement et des autorités
responsables relevant du pouvoir exécutif;
b) Au secret de la défense nationale;
c) A la conduite de la politique extérieure de la France;
d) A la sûreté de l'État, à la sécurité publique à la sécurité des
personnes ou à la sécurité des systèmes d'information des administrations;
e) A la monnaie et au crédit public;
f) Au déroulement des procédures engagées devant les juridictions ou
d'opérations préliminaires à de telles procédures, sauf autorisation
donnée par l'autorité compétente;
g) A la recherche et à la prévention, par les services compétents,
d'infractions de toute nature ;
h) Ou sous réserve de l'article L. 124-4 du code de l'environnement, aux
autres secrets protégés par la loi »
En conséquence, les fiches de registre communiquées ont notamment été
expurgées des informations relatives aux mesures de sécurité visées au g)
du 1 de l’article 30 du RGPD.
En outre, la transmission effectuée ce jour ne comprend pas l’ensemble des
fiches de traitement relevant du RGPD et ceci pour deux raisons :
• Certaines fiches de registre sont en cours de validation interne.
Pour mémoire, l’article L. 311-2 prévoit que le droit à communication ne
s’applique qu’à des documents achevés. Un état partiel ou provisoire d'un
document en cours d'élaboration n'est pas un document
achevé (CE, sect., 11 févr. 1983, Min. Urb. et Logement c/ Assoc. Atelier
libre d'urbanisme de la région lyonnaise, n^o 35565 ; CE, 14 oct. 2010,
Président de la CNIL, n^o 20103832).
• La transformation de ces fiches dans un format aisément réutilisable
et exploitable par un système de traitement automatisé de données mais
non modifiable (afin de garantir la fiabilité des données
communiquées) nécessite un délai de mise en œuvre.
Des envois ultérieurs complèteront donc celui-ci.
2. S’agissant de l’inventaire des principaux traitements algorithmiques
mis en œuvre par votre administration tel que prévu par l'article
L312-1-2 du code des relations entre le public et l'administration
Aucun document de ce type n’existe au sein du ministère de la justice et
sa création n’est pas rendue obligatoire par les textes.
En l’occurrence, il sera relevé que les dispositions de l’articles L.
312-1-2 du CRPA n’imposent pas la tenue d’un inventaire des traitements
algorithmiques.
En effet, cet article fixe des règles générales en matière de diffusion
des documents administratif sans faire une quelconque référence aux
algorithmes. Il dispose que « Sauf dispositions législatives ou
réglementaires contraires, lorsque les documents et données mentionnés aux
articles L. 312-1 ou L. 312-1-1 comportent des mentions entrant dans le
champ d'application des articles L. 311-5 ou L. 311-6, ils ne peuvent être
rendus publics qu'après avoir fait l'objet d'un traitement permettant
d'occulter ces mentions.
/ Sauf dispositions législatives contraires ou si les personnes
intéressées ont donné leur accord, lorsque les documents et les données
mentionnés aux articles L. 312-1 ou L. 312-1-1 comportent des données à
caractère personnel, ils ne peuvent être rendus publics qu'après avoir
fait l'objet d'un traitement permettant de rendre impossible
l'identification de ces personnes. Une liste des catégories de documents
pouvant être rendus publics sans avoir fait l'objet du traitement
susmentionné est fixée par décret pris après avis motivé et publié de la
Commission nationale de l'informatique et des libertés. / Les
administrations mentionnées au premier alinéa de l'article L. 300-2 du
présent code ne sont pas tenues de publier les archives publiques issues
des opérations de sélection prévues aux articles L. 212-2 et L. 212-3 du
code du patrimoine ».
En deuxième lieu, les dispositions du CRPA qui imposent une communication
ou une publication d’éléments en lien avec des algorithmes ne s’appliquent
qu’en matière de décisions individuelles.
En effet, les dispositions de l’article L. 311-3-1 du code des relations
entre le public et l’administration prévoient que : « Sous réserve de
l'application du 2° de l'article [1]L. 311-5, une décision individuelle
prise sur le fondement d'un traitement algorithmique comporte une mention
explicite en informant l'intéressé. Les règles définissant ce traitement
ainsi que les principales caractéristiques de sa mise en œuvre sont
communiquées par l'administration à l'intéressé s'il en fait la demande.
[…] »
Par ailleurs, l’article R. 311-3-1-2 du même code prévoit que :
« L'administration communique à la personne faisant l'objet d'une décision
individuelle prise sur le fondement d'un traitement algorithmique, à la
demande de celle-ci, sous une forme intelligible et sous réserve de ne pas
porter atteinte à des secrets protégés par la loi, les informations
suivantes : / 1° Le degré et le mode de contribution du traitement
algorithmique à la prise de décision ; / 2° Les données traitées et leurs
sources ; / 3° Les paramètres de traitement et, le cas échéant, leur
pondération, appliqués à la situation de l'intéressé ; / 4° Les opérations
effectuées par le traitement. »
En outre, les dispositions de l’article L. 312-1-3 prévoient que « Sous
réserve des secrets protégés en application du 2° de l'article [2]L.
311-5, les administrations mentionnées au premier alinéa de
l'article [3]L. 300-2, à l'exception des personnes morales dont le nombre
d'agents ou de salariés est inférieur à un seuil fixé par décret, publient
en ligne les règles définissant les principaux traitements algorithmiques
utilisés dans l'accomplissement de leurs missions lorsqu'ils fondent des
décisions individuelles. »
En troisième lieu, il sera relevé que le Conseil constitutionnel en se
prononçant sur la loi relative à la protection des données personnelles a
relevé que s’agissant de l’utilisation du seul recours à un algorithme
pour fonder une décision administrative individuelle, les conditions du
CRPA s’imposent, et le Conseil n’a pas étendu ce principe à l’ensemble des
décisions qui ne seraient pas de nature individuelle (Conseil
Constitutionnel, décision n° 2018-765 DC du 12 juin 2018).
Les fiches de registre correspondantes vous sont transmises via France
Transfert.
Flavien Fouquet
Délégué à la protection des données
References
Visible links
1. Code des relations entre le public et l
https://www.legifrance.gouv.fr/affichCod...
2. Code des relations entre le public et l
https://www.legifrance.gouv.fr/affichCod...
3. Code des relations entre le public et l
https://www.legifrance.gouv.fr/affichCod...
[1]France transfert
══════════════════════════════════════════════════════════════════════════
Vous avez reçu un pli
Expéditeur : [adresse email]
Objet : Demande au titre du droit d’accès aux documents administratifs
- La Quadrature du Net: demande CADA registre des activités de
traitement/inventaire des principaux traitements algorithmiques
Message : Veuillez trouver ci-joint les documents demandés. Un courriel
vous est transmis parallèlement.
Contenu du pli : 31 élément(s), 32.87 Mo au total
• SG_Registre gestion des violations de données et incidents de sécurité
DPD • fichier pdf • 531.41 Ko
• Registre OMEGA • fichier pdf • 2.66 Mo
• SG_SNUM_APTF_RG_GAIA C • fichier pdf • 530.18 Ko
• SG_SNUM_APT_RG_JOA_VDEF • fichier pdf • 591.47 Ko
• Fiche de registre NED_Portail grand public • fichier pdf • 52.38 Ko
• RegistreBluefiles • fichier pdf • 538.97 Ko
• Registre RSST • fichier pdf • 534.03 Ko
• SG_SNUM_APTF_RG_Gestion accès web à distance C • fichier pdf • 532.37
Ko
• Registre SIAJ • fichier pdf • 633.64 Ko
• Registre EVOTE • fichier pdf • 754.36 Ko
• SG_SNUM_APTF_RG_LDAP_SSO • fichier pdf • 547.41 Ko
• SG_SNUM_APTF_RG_VPN • fichier pdf • 528.2 Ko
• Registre Portalis contentieux prud'homal (CPH) • fichier pdf •
542.53 Ko
• COMEDEC • fichier pdf • 605.52 Ko
• Registre Harmonie • fichier pdf • 727.6 Ko
• Registre gestion des plaintes et réclamations DPD • fichier pdf •
533.98 Ko
• Fiche de registre IPRO360 • fichier pdf • 54.18 Ko
• RegistreSIGNA_VDEF • fichier pdf • 654.65 Ko
• Fiche de registre OPM • fichier pdf • 68.14 Ko
• PJJ_EnqueteSanté_VDEF • fichier pdf • 9.61 Mo
• Registre SI candidature • fichier pdf • 544.83 Ko
• Fiche de registre Natacha • fichier pdf • 58.38 Ko
• RegistrePLINEPLEX_VDEF • fichier pdf • 530.49 Ko
• DSJ_PortailJusticiable_VDEF • fichier pdf • 717.8 Ko
• Registre SIVAC • fichier pdf • 544.55 Ko
• Fiche de registre Justinat • fichier pdf • 52.83 Ko
• DSJ_AJWIN_VDEF • fichier pdf • 771.85 Ko
• DSJ_FicheIncidents_VDEF • fichier pdf • 538.38 Ko
• PJJ_Parcours_VDEF • fichier pdf • 7.52 Mo
• RegistreWEBRADIO_VDEF • fichier pdf • 611.99 Ko
• Fiche de registre OCTAVE • fichier pdf • 61.22 Ko
Date de validité : 07/10/2023 (au-delà le téléchargement ne sera plus
possible)
Pour accéder au pli vous aurez besoin d'un mot de passe qui vous a été
transmis dans un courriel séparé.
[2]Accéder au pli
Si le bouton ne fonctionne pas dans votre messagerie, utilisez le lien :
[3]Accéder au pli
══════════════════════════════════════════════════════════════════════════
References
Visible links
2. https://francetransfert.numerique.gouv.f...
3. https://francetransfert.numerique.gouv.f...
[1]France transfert
══════════════════════════════════════════════════════════════════════════
Voici le mot de passe associé à votre pli :
7k7QM)5!x&ejlY%_kR
Ce mot de passe sert à accéder au téléchargement du pli en complément du
lien de téléchargement que vous avez reçu séparément.
══════════════════════════════════════════════════════════════════════════
Expéditeur : [adresse email]
Objet : Demande au titre du droit d’accès aux documents administratifs
- La Quadrature du Net: demande CADA registre des activités de
traitement/inventaire des principaux traitements algorithmiques
Message : Veuillez trouver ci-joint les documents demandés. Un courriel
vous est transmis parallèlement.
Contenu du pli : 31 élément(s), 32.87 Mo au total
• SG_Registre gestion des violations de données et incidents de sécurité
DPD • fichier pdf • 531.41 Ko
• Registre OMEGA • fichier pdf • 2.66 Mo
• SG_SNUM_APTF_RG_GAIA C • fichier pdf • 530.18 Ko
• SG_SNUM_APT_RG_JOA_VDEF • fichier pdf • 591.47 Ko
• Fiche de registre NED_Portail grand public • fichier pdf • 52.38 Ko
• RegistreBluefiles • fichier pdf • 538.97 Ko
• Registre RSST • fichier pdf • 534.03 Ko
• SG_SNUM_APTF_RG_Gestion accès web à distance C • fichier pdf • 532.37
Ko
• Registre SIAJ • fichier pdf • 633.64 Ko
• Registre EVOTE • fichier pdf • 754.36 Ko
• SG_SNUM_APTF_RG_LDAP_SSO • fichier pdf • 547.41 Ko
• SG_SNUM_APTF_RG_VPN • fichier pdf • 528.2 Ko
• Registre Portalis contentieux prud'homal (CPH) • fichier pdf •
542.53 Ko
• COMEDEC • fichier pdf • 605.52 Ko
• Registre Harmonie • fichier pdf • 727.6 Ko
• Registre gestion des plaintes et réclamations DPD • fichier pdf •
533.98 Ko
• Fiche de registre IPRO360 • fichier pdf • 54.18 Ko
• RegistreSIGNA_VDEF • fichier pdf • 654.65 Ko
• Fiche de registre OPM • fichier pdf • 68.14 Ko
• PJJ_EnqueteSanté_VDEF • fichier pdf • 9.61 Mo
• Registre SI candidature • fichier pdf • 544.83 Ko
• Fiche de registre Natacha • fichier pdf • 58.38 Ko
• RegistrePLINEPLEX_VDEF • fichier pdf • 530.49 Ko
• DSJ_PortailJusticiable_VDEF • fichier pdf • 717.8 Ko
• Registre SIVAC • fichier pdf • 544.55 Ko
• Fiche de registre Justinat • fichier pdf • 52.83 Ko
• DSJ_AJWIN_VDEF • fichier pdf • 771.85 Ko
• DSJ_FicheIncidents_VDEF • fichier pdf • 538.38 Ko
• PJJ_Parcours_VDEF • fichier pdf • 7.52 Mo
• RegistreWEBRADIO_VDEF • fichier pdf • 611.99 Ko
• Fiche de registre OCTAVE • fichier pdf • 61.22 Ko
Date de validité : 07/10/2023 (au-delà le téléchargement ne sera plus
possible)
══════════════════════════════════════════════════════════════════════════
References
Visible links
Monsieur,
Merci de votre réponse et des documents envoyés.
Nous vous prions de nous excuser pour l'erreur réalisée dans notre mail, nous voulions faire référence au L312-1-3 du CRPA.
Nous attendons la suite des documents que vous vouliez nous communiquer.
Cordialement,
Noémie Levain
Juriste à La Quadrature du Net