Compte-rendu de l’échange CADA /gf2iLe GF2I a rencontré la CADA le 13 mai 2025 dans le cadre de son cycle de Rencontres avec les régulateurs du numérique.
Cet échange a tout d’abord donné lieu à une présentation générale des missions et de l’organisation de la CADA par Laetitia GUILLOTEAU, rapporteure générale, et Jeanne MENEMENIS, rapporteure générale adjointe.
La CADA confirme ne pas être compétente pour appliquer et contrôler le chapitre 2 du règlement sur la gouvernance des données (DGA) relatif à la réutilisation des données protégées du secteur public. En la matière, l’autorité compétente désignée au niveau français est la Direction interministérielle du Numérique (DINUM). En conséquence, la CADA est donc seulement compétente pour traiter des demandes de communication et de réutilisation des documents administratifs sur le fondement de loi de 1978 dite « Loi CADA ». À ce jour, la CADA n’a pas été saisie de demande susceptible de relever du DGA, mais cette hypothèse ne peut pas être exclue. Dans ce cas, il reviendra au juge administratif de se prononcer sur le régime applicable à la situation.
La CADA souligne que le réseau des Personnes responsables de l’accès aux documents administratifs (PRADA) joue un rôle important dans la remontée d’expériences opérationnelles auprès de la CADA. Bien souvent, ces personnes occupent également la fonction de Délégué à la protection des données (DPO) prévue par le RGPD. C’est ce qui explique que la problématique principale que rencontrent les PRADA – et traitées par la CADA – sont la détermination du régime applicable entre le RGPD et la loi CADA en cas de doute ou de présence de données à caractère personnel.La CADA organise des séminaires régionaux pour présenter ses activités et entretient des liens avec les administrations locales dans le but de valoriser le réseau des PRADA.
La CADA confirme l’absence de mise en cohérence globale entre les autorités chargées de superviser l’application des textes numériques et de liens formels entre elles. Ainsi, il n’existe pas de liens particuliers avec le réseau des AMDAC. La CADA rappelle cependant que la loi pour une République numérique a créé des liens institutionnels entre la CADA et la CNIL (chacune de ces autorités administratives indépendantes est représentée dans le collège de l’autre et elles peuvent se réunir en collège commun) et indique qu’il existe par ailleurs des échanges informels réguliers et étroits avec la CNIL afin, notamment, de produire des documents d’orientation généraux et de discuter sur des problématiques communes. Néanmoins, l’absence d’articulation globale entre les diverses législations sur le numérique soulève des difficultés juridiques et pratiques.
La CADA indique qu’elle n’a pas compétence pour mettre en œuvre et contrôler le respect du règlement sur l’IA. La CADA souligne, cependant, qu’elle est saisie de manière croissante sur les questions d’algorithmes publics qui peuvent avoir un lien, direct ou indirect, avec l’application du règlement sur l’IA. De manière plus générale, la CADA pointe la technicité de ces sujets, qui se prête mal à un examen approfondi dans le cadre du recours préalable obligatoire tel qu’organisé par le code des relations entre le public et l’administration.
La CADA confirme, d’une part, l’absence de sanctions pour les détenteurs de données du secteur public qui ne se conformeraient pas aux obligations mises à leur charge par le code des relations entre le public et l’administration et, d’autre part, le faible niveau de sanctions de réutilisateurs sur le fondement des règles du code des relations entre le public et l’administration. La CADA n’a pas été pensée ni dotée pour contrôler l’activité de l’ensemble des réutilisateurs. L’enjeu principal pour ces derniers est par ailleurs surtout leur conformité vis-à-vis du RGPD.
