Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

A l’occasion de la journée mondiale de la vie privée (Data Privacy Day) l’AFCDP publie son Index du droit d’accès 2011

janvier 2011 par AFCDP

Au titre de la loi Informatique & Libertés, chacun peut exercer un droit d’accès à ses données personnelles. L’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) publie sa mesure annuelle de l’effectivité de ce droit.

La journée européenne de la protection des données à caractère personnel est une initiative du Conseil de l’Europe, soutenue par la Commission européenne, qui a proclamé solennellement le 28 janvier de chaque année journée de la protection des données à caractère personnel. En 2009, est apparu le Data Privacy Day qui se tient en Europe mais aussi aux Etats-Unis et au Canada. Ces initiatives ont le même objectif : sensibiliser les citoyens à leurs droits pour promouvoir la protection de leurs données personnelles et le respect de leurs libertés et droits fondamentaux, et en particulier de leur vie privée.

C’est à cette occasion que l’association française représentative de la profession de CIL (Correspondant Informatique et Libertés) a dévoilé l’an dernier son tout premier « Index AFCDP du Droit d’Accès ». Elle publie ce jour la deuxième édition de cet Index, en partenariat avec l’ISEP (Institut Supérieur d’Electronique de Paris).

Cet indicateur est basé sur les travaux effectués par les participants du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » dispensé par l’ISEP . Dans le cadre de ce cursus, les élèves mènent plusieurs projets, dont l’un consiste à exercer leur droit d’accès. La promotion 2009-2010 a ainsi sollicité 226 organismes, privés et publics (contre 207 l’an dernier).

Pour cette deuxième année, l’ISSBA (Institut Supérieur de la Santé et des Bioproduits d’Angers) a apporté son concours avec la participation des étudiants de son Master 2 en Management des Systèmes d’information de Santé.

Les étudiants ont exercé leur droit d’accès par courrier papier auprès d’organismes avec lesquels ils pensaient probable le fait que ceux-ci soient détenteurs de données personnelles les concernant et qui couvrent les différents aspects de la « vie quotidienne d’un citoyen » : emploi/formation, logement, banques/ assurances, commerce, santé, sociétés de l’information & de la communication, administrations... Si cet Index ne prétend pas être représentatif de l’ensemble des entreprises, il correspond toutefois aux organismes les plus fréquemment en contact avec le public. Dans sa nature, l’échantillon est raisonnablement comparable d’une année sur l’autre (mêmes secteurs d’activité) et la méthode mise en œuvre est identique.

Résultats quantitatifs :

Index AFCDP 2011 du droit d’accès : 69% des entités sollicitées ont répondu dans les deux mois impartis par le cadre légal .

Ce nombre montre une légère progression par rapport aux 63% obtenus l’an dernier.

Comme l’an dernier, ce chiffre de 69% cache des disparités importantes : si l’on note un taux de réponse dans les deux mois requis très légèrement supérieur pour les organismes du secteur public (71%) par rapport aux entreprises du secteur privé, on remarque que se distinguent les secteurs Banques/Activités de crédit, Santé et Commerce/Grande distribution avec les meilleurs taux de réponse (respectivement 88, 84 et 79%), alors que les Réseaux sociaux obtiennent un score de 50%.

Précisons que la rapidité de la réponse – au sein de ces deux mois – n’est pas pris en compte : un organisme qui a répondu une semaine après avoir reçu la demande est comptabilisé de la même façon qu’une autre entité ayant répondu au bout de sept semaines.

Comme l’an dernier la taille de l’organisme sollicité ne semble pas un facteur discriminant. Les organismes qui demandent une contribution financière restent extrêmement minoritaires (1,3%), avec des montants demandés de quelques euros. Ainsi un Centre Hospitalier précise que la communication des pièces est facturée 0,20 € par page, frais de clichés (entre 3,10 € et 7,20 €) et frais d’expédition en recommandé avec accusé de réception en sus.

Résultats qualitatifs :

Cependant répondre dans les deux mois requis ne signifie pas que cette réponse soit conforme.

L’Index AFCDP du Droit d’Accès a donc été enrichi dans cette deuxième édition par une évaluation du degré de conformité des réponses obtenues.

Au total, de l’avis des membres du Mastère Spécialisé, seulement 26% des réponses reçues dans les délais ont été jugées satisfaisantes ou totalement satisfaisantes.

Ceci fait, qu’au total, moins de 18% des organismes sollicités ont fait une réponse conforme au droit.

On note une claire différence quant à la conformité des réponses entre les organismes ayant désigné un CIL auprès de la CNIL et les autres : 40% des réponses faites sous l’égide d’un Correspondant Informatique et Libertés sont jugées « totalement satisfaisantes » contre 22% pour les autres.

Les organismes avec CIL ayant répondu de façon jugée parfaitement conformes appartiennent aux secteurs Banques, Assurances, Santé/Social et à celui du Recrutement.

A l’inverse, 59% des réponses reçues par des organismes n’ayant pas désigné de CIL ont été jugées totalement insatisfaisantes.

Parmi les raisons d’un tel jugement on trouve :
- une totale incompréhension de la demande (ou une confusion avec d’autres droits, comme celui dit d’opposition) ;
- une absence de vérification de l’identité du demandeur ;
- la collecte de données non pertinentes (voire interdites) ;
- des réponses incomplètes ou incompréhensibles ;
- des durées de conservation non-adéquates avec la finalité du traitement.

Plusieurs entités ont également révélé dans leur courrier des éléments qui pourraient leur être reprochés, comme une fédération sportive nationale qui indique conserver les données personnelles de façon « illimitée ».

Notons également à ce stade la difficulté trop souvent éprouvée à trouver de l’information sur le site Web des organismes pour exercer son droit d’accès.

Ainsi un Rectorat n’a pas répondu à la demande, alors qu’il affiche sur son site Web des mentions jugées comme celles présentant les meilleures informations sur la protection et le traitement des données à caractère personnel, le droit d’accès et l’identification des prestataires d’hébergements. Ce décalage entre annonce et réalité a souvent été regretté par les étudiants ayant exercé leur droit d’accès.

On note que 90% des organismes qui ne donnent aucune indication sur leur site pour permettre l’exercice du droit n’ont pas désigné de CIL.

On rappellera à ce sujet que, le 6 janvier 2010, la CNIL a signé avec la DGCCRF un protocole de coopération qui permet aux enquêteurs du Service national d’enquête (SNE) de cette dernière entité de communiquer à la Commission les manquements à la loi « Informatique et Libertés » qu’ils constatent lors de leurs contrôles, dont l’absence d’information des personnes sur l’exploitation des données personnelles et le rappel de leurs droits.

Faits saillants :

Voici quelques faits notables qui ont marqué les esprits des personnes ayant participé à ce projet :

- Un cabinet de recrutement a affirmé dans un premier temps procéder à la purge des données (suite à une compréhension erronée de la demande), pour les retrouver par la suite devant la demande insistante du demandeur.
- Une entreprise répond qu’elle juge la demande « abusive » et affirme qu’il n’y donnera suite que « contrainte par le Procureur de la République ».
- « Tout ça, c’est du pipeau ! », réaction entendue au téléphone (Profession règlementée dans le domaine du Droit).
- « Vous devriez être flatté de figurer dans notre base de données ! » - Collecte déloyale d’informations et refus de communication des informations détenues.
- « Ces informations sont confidentielles et sont stockées sur des serveurs sécurisés. Je n’y ai pas accès et c’est trop compliqué de demander à chaque service de donner les informations » – Secteur Santé/Social.
- « Nous vous confirmons que nous avons bien vos données personnelles » - Secteur Presse/Média
- « Il s’agit des données de l’entreprise, je n’ai pas le droit de vous les transmettre ».
- « Je tiens tout d’abord à vous rassurer quant au contenu de nos fichiers, ils ne comportent aucune données personnelles pris au sens étymologique du terme ».
- « Pour le désarchivage de votre dossier médical, le coût est de 150 € par séjour dans notre établissement » - Clinique privée (et absence de demande de justification d’identité).

Signalons que l’un des organismes contacté a envoyé un cadeau (de faible valeur) au demandeur, et qu’un étudiant a éprouvé la surprise de recevoir ses données personnelles de la part d’un voyagiste, en réponse à la demande faite auprès d’une société commercialisant des jeux vidéo…

A l’inverse, si l’exercice du droit d’accès constitue actuellement une sorte de loterie dans laquelle le pire côtoie le meilleur, on doit saluer la saine réaction d’un acteur de la grande distribution qui a su déjouer une tentative pour disposer de données personnel de tiers (en l’occurrence le conjoint) : « Le droit d’accès aux données à caractère personnel auquel vous faites référence est un droit personnel que seul le bénéficiaire peut actionner. Vous ne pouvez donc en aucun cas vous en prévaloir au nom et compte d’autrui ». Une mairie a préféré une convocation sur place pour présenter les résultats au demandeur (présentation faite par le Directeur des Services et par le CIL), car elle souhaitait connaître les motivations réelles de la demande. La remise des documents été accompagné d’un tableau synthétique récapitulant les différentes informations données.

Ces résultats peuvent être comparés avec ceux de l’étude similaire effectuée par l’Union Fédérale des Consommateurs et dont les résultats ont été publiés dans le n° 475 (novembre 2009) du magazine Que Choisir : sur 106 demandes adressées, 55 réponses avaient été reçues (souvent lacunaires) – ce qui représente un taux de réponse inférieur à 52%, 40 lettres étaient restées sans réponse et 11 entités avaient refusé de fournir les informations demandées ou avaient répondu « à côté de la plaque » (sic).

Rappelons qu’en avril 2009 la Cnil a prononcé une sanction pécuniaire de 7.000 euros rendue publique à l’encontre d’un fournisseur d’accès à internet qui n’avait répondu que partiellement aux demandes répétées d’une cliente souhaitant accéder à l’ensemble de ses informations personnelles détenues par la société.

A la fin du présent document est décrit le droit d’accès direct, l’un des droits fondamentaux des personnes au titre de la Loi dite « Informatique et Libertés ».


Remerciement :

Cet Index a été créé sur l’idée originale de Bruno Rasle, Délégué général de l’AFCDP.

Nous remercions Claire Levallois-Barth, docteur en droit et enseignant-chercheur à Télécom ParisTech, qui a dirigé les travaux de la promotion ISEP concernant le droit d’accès, Caroline Miltgen, Maître de conférences et Responsable du Master 2 en Management des Systèmes d’information de Santé à l’ISSBA (Institut Supérieur de la Santé et des Bioproduits d’Angers), dont la promotion a pris pleinement part au projet auprès d’acteurs du secteur Santé, et Denis Beautier, Responsable des Mastères Spécialisés de l’ISEP pour son soutien.

Nous remercions également Eric Charikane, étudiant de la promotion 2009-2010 du Mastère Spécialisé de l’ISEP pour la conception d’un outil permettant l’intégration des résultats, et Laurent Glandais, Conseil en Protection des Données à Caractère Personnel (et par ailleurs titulaire de ce même Mastère Spécialisé, promotion Léthé), pour le traitement de ceux-ci.


A propos de l’AFCDP - www.afcdp.net

L’AFCDP a été créée dès 2004, dans le contexte de la modification de la Loi Informatique & Libertés qui a officialisé un nouveau métier, celui de « Correspondant à la protection des données à caractère personnel » (ou CIL, pour Correspondant Informatique & Libertés).

L’AFCDP est l’association représentative des CIL, mais elle rassemble largement. Au-delà des professionnels de la protection des données et des Correspondants désignés auprès de la CNIL, elle regroupe toutes les personnes intéressées par la protection des données à caractère personnel. La richesse de l’association réside – entre autres – dans la diversité des profils des adhérents : Correspondants Informatique & Libertés, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.

Quelques membres de l’AFCDP : 3 Suisses, Accor, Adecco, AG2R La Mondiale, American Hospital of Paris, AXA, BP France, Carrefour, Cecurity.com, CMA CGM, Communauté Urbaine de Marseille Provence, Conseil Général de Seine-Maritime, CCIP, CPAM des Bouches du Rhône, Crédit Immobilier de France, Ecole Polytechnique, Fédération Nationale des Tiers de Confiance, France Telecom, IBM France, INRA, Groupe Casino, Legrand, la Halde, Malakoff Mederic, Michelin, La Poste, Port autonome de Dunkerque, RATP, Région Haute Normandie, Région Lorraine, Sénat, SNCF, Ville de Paris, Ville de Saint-Etienne, Total…

Le Droit d’accès direct

Au titre de la Loi dite « Informatique et Libertés » (article 39) et du Décret n°2005-1309 du 20 octobre 2005 modifié par le décret n°2007-451 du 25 mars 2007, l’un des tous premiers droits des personnes est le droit d’accès.

Toute personne justifiant de son identité a ainsi le droit d’interroger le responsable d’un fichier ou d’un traitement de données personnelles pour savoir s’il détient des informations sur elle, et le cas échéant d’en obtenir communication, et ceci sans avoir à fournir de justification.

En exerçant son droit d’accès, la personne peut s’informer :
- des finalités du traitement,
- du type de données enregistrées,
- de l’origine et des destinataires des données,
- des éventuels transferts de ces informations vers des pays n’appartenant pas à l’Union Européenne.

Elle peut en outre obtenir des explications sur le procédé informatique qui a contribué à produire une décision la concernant.

L’exercice du droit d’accès permet de contrôler l’exactitude des données et, au besoin, de les faire rectifier ou effacer.

Le Responsable du Traitement doit répondre :

- après s’être assuré de l’identité du demandeur (à adapter à la sensibilité du traitement) ;
- sous deux mois (« Le silence gardé pendant plus de deux mois par le responsable du traitement sur une
- demande vaut décision de refus ») ;
- complètement ;
- clairement ;
- gratuitement ou quasiment (« Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d’une somme qui ne peut excéder le coût de la reproduction »).

Quelles informations fournir ?

Le Responsable du traitement doit naturellement fournir les données fournies par la personne… mais pas seulement. Doivent notamment être communiqués :
- les données créées par l’organisme (avec grille de lecture si besoin) ;
- le contenu des zones de libre commentaire (bloc-notes) ;
- et plus si demandé :

• la logique et les caractéristiques du traitement ;

• l’origine des données ;

• les éventuels destinataires des données.

L’héritier d’une personne décédée qui souhaite la mise à jour des données concernant le défunt – et donc y accéder - doit, lors de sa demande, apporter la preuve de sa qualité d’héritier par la production d’un acte de notoriété ou d’un livret de famille.

Le rôle du Correspondant Informatique et Libertés (CIL) concernant le droit d’accès :
- organiser la gestion des droits des personnes (réception des demandes – y compris celles exprimées sur place, vérification adéquate d’identité, traitement proprement dit, respect des délais, conformité de la réponse, etc.) ;
- sensibiliser et former le personnel ;
- s’assurer de la présence d’informations claires et pertinentes permettant l’exercice de ce droit ;
- superviser (au besoin, valider les réponses) et agir en soutien des opérationnels ;
- concevoir des indicateurs pertinents ;
- reporter le suivi de la gestion du droit d’accès dans son bilan annuel.

Quelques recommandations pour les Responsables de traitement :
- Préparez vous pour moins de stress et moins d’erreur ;
- N’essayez pas de rendre difficile le droit d’accès ;
- Privilégiez le courrier postal qui permet plus facilement de vérifier l’identité du demandeur ;
- Soyez clair dans la démarche que doit suivre la personne ;
- Impliquez vos services courrier, relations clients, réclamations et litiges, etc.
- Réfléchissez au droit d’accès sur place ;
- Ne répondez pas trop vite, mais bien (et de façon sécurisé) ;
- Positivez : vous tenez là une opportunité de contact avec l’un de vos clients.

Les limites du droit d’accès :

La loi Informatique et Libertés, dans son article 39 indique que « Le responsable du traitement peut s’opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées ».

Le droit d’accès doit s’exercer dans le respect du droit des tiers (par exemple, il n’est pas possible de demander à accéder aux données concernant son conjoint ; un salarié d’une entreprise ne peut obtenir des données relatives à un autre salarié. En matière de ressources humaines : les salariés ne peuvent accéder aux données prévisionnelles de carrière (potentiel de carrière, classement).

De même il est estimé que l’instrumentalisation du droit d’accès pour d’autres fins que celles visées par la Loi Informatique et Libertés (c’est-à-dire pouvoir exercer ses droits de rectification et de suppression si besoin) ne respecte pas l’esprit du texte.

Pour aller plus loin :

La CNIL a mis en ligne courant 2010 sur son site Web un Guide Droit d’accès , qui s’étend au droit d’accès indirect.

Ce guide a été rédigé à l’attention des personnes qui souhaitent exercer leur droit.

Parmi les conseils dispensés, on y trouve le passage suivant : « N’oubliez pas qu’il est de votre intérêt de fournir toutes précisions utiles pour permettre le traitement rapide de votre demande par la société ou l’administration. Par exemple, indiquez votre matricule, votre numéro de compte bancaire, d’allocataire, de client, etc. »




Voir les articles précédents

    

Voir les articles suivants