Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

A l’occasion de la journée mondiale de la vie privée (Data Privacy Day), l’AFCDP publie son premier Index du droit d’accès

janvier 2010 par AFCDP

Au titre de la loi Informatique & Libertés, chacun peut exercer un droit d’accès à ses données personnelles. L’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel), en partenariat avec l’ISEP (Institut Supérieur d’Electronique de Paris), publie la première mesure de l’effectivité de ce droit.

La journée européenne de la protection des données à caractère personnel est une initiative du Conseil de l’Europe, soutenue par la Commission européenne, qui a proclamé solennellement le 28 janvier de chaque année journée de la protection des données à caractère personnel. En 2009, est apparu le Data Privacy Day qui se tient en Europe mais aussi aux Etats-Unis et au Canada. Ces initiatives ont le même objectif : sensibiliser les citoyens à leurs droits pour promouvoir la protection de leurs données personnelles et le respect de leurs libertés et droits fondamentaux, et en particulier de leur vie privée.

C’est à cette occasion que l’association française représentative de la profession de CIL (Correspondant Informatique et Libertés) dévoile son tout premier « Index AFCDP du Droit d’Accès ».

Celui-ci est basé sur les travaux effectués par les participants du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » dispensé par l’ISEP . Dans le cadre de ce cursus, les élèves mènent plusieurs projets, dont l’un consiste à exercer leur droit d’accès. La promotion 2008-2009, sous la direction de Mme Claire Levallois-Barth, docteur en droit et enseignant-chercheur à Télécom ParisTech, a ainsi sollicité 207 organismes, privés et publics.

Plus de 63% des entités sollicitées ont répondu dans les deux mois impartis par le cadre légal .

Rappelons qu’en avril 2009 la Cnil a prononcé une sanction pécuniaire de 7.000 euros rendue publique à l’encontre d’un fournisseur d’accès à internet qui n’avait répondu que partiellement aux demandes répétées d’une cliente souhaitant accéder à l’ensemble de ses informations personnelles détenues par la société .

Ce chiffre de 63% cache des disparités importantes : Le secteur Internet/Réseaux sociaux est en queue de peloton (28%), tandis que les secteurs Assurances/Mutuelles et Commerce/Grande distribution se distinguent par les meilleurs taux de réponse (respectivement 75 et 71%).

La taille de l’organisme sollicité ne semble pas un facteur discriminant : de grands acteurs n’apportent aucune réponse pertinente à la demande, alors même que des accusés de réception sont envoyés pour faire patienter la personne, voire même qu’ils poursuivent l’envoi de messages publicitaires.

L’AFCDP note avec satisfaction que les entités ayant désigné un CIL répondent aux demandes exprimées (taux de réponse de 80%), dans les temps et avec la qualité souhaitée.

Il faut toutefois ajouter que, pour la première indication de cet Index, nulle mention n’est faite du degré de conformité de ces réponses .

Ainsi plusieurs retours montrent une totale incompréhension de la demande, comme ce fournisseur d’accès à Internet qui traite le courrier comme une demande de support technique, cette mutuelle qui retourne le code d’accès et l’identifiant INSEE servant à se connecter à son site internet ou cet organe de presse qui se borne à indiquer la date de fin d’un abonnement.

Au total, de l’avis des membres du Mastère Spécialisé, moins de 20% des réponses reçues ont été jugées totalement satisfaisantes. Que dire, par exemple, des réponses suivantes ?

« Nous vous désinscrivons de notre lettre d’informations immédiatement ! » (Biens culturels)

« Vous avez un problème avec votre abonnement ? » (Télévision)

« Voici le nombre de points de retraite que vous avez acquis » (Mutuelle)

« Nous sommes propriétaires des données et nous ne les communiquons pas » (Energie et secteur automobile)

« Voici le mot de passe que vous avez oublié » (en clair !) (Services et Transports)

« Nous n’avons aucune donnée bancaire vous concernant mais nous pouvons les modifier » (Biens culturels)

« Il faudrait nous assigner en justice pour nous forcer à vous donner ces informations » (Réseau social)

Plusieurs entités ont également révélé dans leur courrier des éléments qui pourraient leur être reprochés, comme des durées de conservation illimitée tandis qu’un acteur de la Net-économie a retourné les données personnelles… d’un homonyme. La civilité indiquée dans le fichier des passeports d’une Mairie de la petite couronne n’était pas la bonne.

Si l’exercice s’est focalisé sur des organismes basés en France, quelques demandes ont été adressées à l’étranger, avec des résultats forts décevants, notamment concernant deux entités britanniques qui, après avoir demandé et reçu une contribution d’une dizaine de livres Sterling, n’ont jamais répondu. Une seule structure française a demandé une participation financière préalablement à la fourniture des informations demandées, ce qui est tout à fait autorisé si son montant ne dépasse pas les frais de reproduction.

Ces résultats sont à comparer avec ceux de l’étude similaire effectuée par l’Union Fédérale des Consommateurs et dont les résultats ont été publiés dans le n° 475 (novembre 2009) du magazine Que Choisir. Sur 106 demandes adressées, 55 réponses avaient été reçues (souvent lacunaires), 40 lettres étaient restées sans réponse et 11 entités avaient refusé de fournir les informations demandées ou avaient répondu « à côté de la plaque » (sic).

Le document joint en annexe décrit le droit d’accès direct, l’un des droits des personnes au titre de la Loi dite « Informatique et Libertés ».


(1) www.dataprivacyday.org

(2) www.isep.fr

(3) Décret n°2005-1309 du 20 octobre 2005, Titre VI, Chapitre 2 (en ligne sur le site Web de la Cnil).

(4) « La CNIL sanctionne Neuf-CI pour violation du droit d’accéder à ses données personnelles ».

(5) Ce premier Index ne porte strictement que sur le pourcentage d’organismes ayant répondu à la demande de droit d’accès dans les deux mois. La méthodologie appliquée actuellement par la promotion 2009-2010 de l’ISEP permettra – à l’occasion de la publication de l’Index suivant, en janvier 2011 – de disposer en sus des précisions par secteur d’activité, des tendances et du degré de conformité des réponses.




Voir les articles précédents

    

Voir les articles suivants