Modalités de l'échange

Ces pages décrivent les différents moyens et obligations pour échanger des données à des fins de proactivité.

Dans le cadre de la démarche proactive, les principes de minimisation et de proportionnalité des données impliquent que la collecte de celles-ci soit limitée à ce qui est strictement nécessaire.

Qui solliciter ?

Sauf dispositions de l’article L. 114-10 du CRPA, toute administration qui détient une donnée administrations. Toutefois, pour certaines données, un décret fixe la liste des administrations chargées de la mise à disposition des données (pour éviter les échanges en cascade : A donne à B qui donne à C).

Vous pouvez solliciter à votre convenance :

• les administrateurs ministériels (AMDAC) ou référent des données de la structure

• les PRADA (personnes responsable de l'accès aux documents administratifs)

• les DPD (délégué à la protection des données)

• les services métiers

Il est toujours possible de passer par l'intermédiaire de la DINUM, en vertu de l'article R. 114-9-3 du CRPA ou en vertu de sa qualité d'administration général des données.

Sont éligibles au cadre général : les administrations de l’État, les collectivités territoriales, leurs établissements publics administratifs et les organismes et personnes de droit public et de droit privé chargés d'une mission de service public administratif, y compris les organismes de sécurité sociale - Art L. 100-3 du CRPA

En fonction du texte juridique applicable, d'autres structures sont éligibles à l'échange de données (voir Les principaux textes relatifs à la circulation des données).

Comment solliciter l'administration qui détient les données dont j'ai besoin ?

Votre demande doit comporter les mentions suivantes :

1. L’identité de votre structure ;

2. La finalité du traitement et l’utilisation prévue des données demandées ;

3. Les données sollicitées ;

4. La durée de conservation prévue ;

5. Les destinataires de ces données ;

6. La base juridique fondant la demande d’échange d’informations ou de données

7. Les coordonnées du responsable de traitement, du délégué à la protection des données et du responsable technique et métier.

👍 La demande doit être exprimée en termes clairs, concis et simples, compréhensibles pour le détenteur de données.

📂 La demande doit être proportionnée au besoin en ce qui concerne la granularité et le volume des données demandées.

⌛ La demande doit préciser la fréquence d’accès aux données demandées.

Certaines administrations ont recours à un outil de gestion des demandes d'habilitation juridique.

Il peut s'agir d'outil comme Datapass développé par la DINUM (plus d'informations : https://datapass.api.gouv.fr/).

Dans quel délai sera traitée ma demande d'échange ?

La DINUM recommande que la demande d’échange d’informations ou de données soit traitée dans le délai maximum de deux mois.

Tout refus d’échange doit être motivé.

Quels sont les contrôles réalisés par l'administration qui fournit les données ?

L’administration destinataire de la demande d’échange vérifie :

1. Que vous rentrez dans la catégorie des administrations éligibles (vérification de la qualité de l'organisme) ;

2. Que votre administration est bien habilitée à accéder aux données qui vous sollicitez (vérification du fondement légal) ;

3. Que les données sollicitées sont en cohérentes avec la finalité de votre traitement et de la base légale fondant votre demande d’échange (vérification du périmètre des informations ciblées et sécurisation de la communication).

Dois-je rédiger un contrat fixant les règles et les modalités d'échange ?

Au delà de ce qui est évoqué dans la demande, il est recommandé d'établir un contrat déterminant les modalités de l'échange. Les éléments qui doivent y figurer sont les suivants :

• Fréquence de mise à disposition des données, fraicheur des données;

• Modalités de livraison ou transmission sécurisée des données (canal de transmission) ;

• Points de contacts ;

• Règles de gestion des incidents (rupture, faille de sécurité, etc.) ;

• Modalités de traitement des demandes d'exercice des droits par les usagers pour permettre à l'administration porteuse de la démarche proactive de respecter les délais légaux de réponse à l'usager.

  => Concernant le droit de rectification en particulier, des engagements de réponse de l'administration de référence et de délai de réponse doivent être pris.

• [facultatif] Éléments relatifs aux campagnes de communication avec l'usager (planning, les messages, etc.) afin de permettre à l'administration détentrice des données d'anticiper la charge de travail des équipes et de préparer des éléments de langage (accueil, support, etc.).

Peut-on refuser ma demande ?

L'administration détentrice des données ne peut vous opposer le secret professionnel dès lors que vous êtes légalement habilité à avoir connaissance des informations ou des données.

Que signifie "légalement habilité" ? Deux règles s'appliquent :

• Il faut que cela s'inscrive dans vos missions

• Si vous êtes légitime à obtenir les informations de l'usager lui-même alors vous pouvez demander les données à l'administration qui les collecte et les détient.

Les motifs pouvant justifier un refus sont :

• Vous n'êtes pas habilité à recevoir les données ;

• Les données sollicitées sont incohérentes avec la finalité de votre traitement et la base légale fondant la demande d'échange.

Que faire en cas de refus de l'administration de référence ?

Vous avez la possibilité de saisir :

• La Direction interministérielle du numérique en sa qualité d'administratrice générale des données à l'adresse suivante : agd@modernisation.gouv.fr. Elle émettra un avis.

• Dans le délai de deux mois à compter de la notification du refus ou de l’intervention du refus tacite, la Commission d'accès aux documents administratifs : https://www.cada.fr/formulaire-de-saisine

Que signifie "traitement automatisé" ?

L'article R. 114-9-5 du CRPA prévoit que les informations sont mises à disposition sous forme électronique, par le biais de traitements automatisés assurant la traçabilité des échanges. Cela signifie que l'échange peut se faire selon plusieurs modalités : API, batch, EDI etc.

La traçabilité des échanges doit être assurée.

Comment assurer la sécurité de l'échange et des données ?

Pour assurer la sécurité et la confidentialité des données, vous devez mettre en œuvre des fonctions de sécurité prévues par le Référentiel Général de Sécurité et notamment des moyens cryptographiques.

Vous avez l'obligation de mettre en œuvre notamment des fonctions d'identification de l'administration demanderesse, d'horodatage, de confidentialité et d'intégrité des informations échangées.

Il est recommandé de conserver une preuve de la transmission des données.

En fonction de la sensibilité des données, il vous appartient de déterminer les niveaux de sécurité à mettre en place.

Le Référentiel général de sécurité (RGS)ANSSI

Cadre règlementaire permettant d’instaurer la confiance dans les échanges au sein de l’administration et avec les citoyens.

Garantir la sécurité des données | CNIL

Recommandations de la CNIL sur les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque