Données personnelles : publication de l’Index AFCDP 2020 du Droit d’accès 70,7 % des entités sollicitées ont répondu dans le temps imparti par le RGPD, ce qui représente une nette amélioration

janvier 2020 par AFCDP

Cet indicateur, publié par l’AFCDP depuis 2010, est basé sur les travaux effectués par les membres du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l’ISEP (Institut Supérieur d’Electronique de Paris, grande école).

Dans le cadre de ce cursus, les participants – souvent des Data Protection Officer en poste ou des professionnels amenés à l’être - mènent plusieurs projets, dont l’un consiste à exercer leur droit d’accès. Confrontés ainsi à la réalité, il leur est demandé d’en tirer des enseignements pratiques et opérationnels afin que leur propre responsable de traitement réponde de façon conforme.

La promotion 2019-2020 a ainsi sollicité 154 organismes (80 % privés et 20 % publics) en octobre et novembre 2019.

Le « noyau dur » des entreprises qui fait le mort descend encore, à 29,3 % 29,3 % des responsables de traitement sollicités n’ont jamais réagi. Bien que le pourcentage soit encore trop élevé, c’est une excellente nouvelle comparée aux 33 % de l’Index précédent et des 47,6 % de l’Index publié en janvier 2017 (donc avant l’entrée en application du RGPD).

C’est d’autant plus notable que le temps laissé aux responsables de traitement pour répondre à une demande de droit au titre du RGPD est passé de deux mois à un seul (en contrepartie, l’article 12.3 du RGPD donne la possibilité aux responsables de traitement de proroger ce délai de deux mois « compte tenu de la complexité et du nombre de demandes » - après en avoir averti le demandeur dans le mois qui suit la réception de la demande).

Les personnes concernées étant de mieux en mieux informées et conscientes de leurs droits, elles n’hésitent plus à déposer une plainte auprès de la CNIL, ce qui se traduit par des saisines de plus en plus nombreuses des responsables de traitement par la Commission Nationale Informatique et Libertés.

70,7 % des entités testées ont répondu dans les temps impartis

Sur les 154 organismes contactés, 70,7 % ont réagi dans les temps impartis. Ce taux constitue l’Index AFCDP du droit d’accès pour 2020.

« Après la stagnation des résultats obtenus durant les années qui ont précédé l’entrée en application du RGPD, nous observons enfin une constante amélioration : de moins en moins de responsables de traitement font le mort. Reste maintenant à répondre aux demandes de façon satisfaisante et conforme, ce qui est encore loin d’être le cas » commente Bruno Rasle, créateur de l’Index.

Car répondre dans le temps imparti ne signifie pas non plus que cette réponse soit conforme au RGPD. Les participants du Mastère Spécialisé « Informatique et Libertés » de l’ISEP ont donc jugé du degré de conformité des réponses obtenues.

Au total, de l’avis des membres du Mastère Spécialisé, 37 % des organismes sollicités ont fait une réponse conforme au droit, jugée satisfaisante ou très satisfaisante, dont le respect imparti (contre 36,5 et 36,6 % pour les index précédents). Cet indicateur, qui avait fortement progressé lors des premiers Index (les tous premiers résultats, en 2010, étaient de seulement 18 %), semble donc se stabiliser. C’est là, désormais, que les responsables de traitement doivent porter leur effort.

Les autres organismes ont retourné des réponses soit décevantes, incomplètes, incompréhensibles, voire « complètement à côté de la plaque ».

Toujours les mêmes erreurs

Voici une sélection des témoignages des membres de la promotion ISEP 2019-2020, qui illustrent les erreurs fréquentes (et récurrentes) :

« Une grande chaîne hôtelière m’a envoyé des données d’un tiers ! »

« Ce fournisseur de biens culturels a refusé de prendre en compte la copie de la carte d’identité que j’avais jointe à ma demande. Elle exigeait que j’indique en sus l’adresse mail rattachée à mon compte client ainsi que les deux derniers achats ou commandes effectué(e)s dans l’enseigne. Je trouve cela abusif compte tenu du faible degré de sensibilité des données que détient cette entreprise. »

« Mes données m’ont été envoyées sans aucune vérification de mon identité. N’importe qui aurait pu se faire passer pour moi et obtenir mes informations les plus personnelles »

« Les indications pour avoir accès aux données sont très claires sur le site... malheureusement, il ne s’agit que d’une façade car elles ne sont pas mises en pratique. En la matière, l’habit ne fait pas le moine »

« La réaction de l’entreprise était complètement « à côté de la plaque ». Ils ont compris à tort que je voulais supprimer mon compte et ils ont effacé toutes mes données ! »

« Cette compagnie aérienne, que j’emprunte souvent et avec laquelle j’ai un litige en cours, m’assure ne détenir aucune donnée me concernant ! »

« Les informations qui m’ont été envoyées étaient incompréhensibles. De plus, les destinataires et les durées de conservation manquaient, alors que cela est expressément prévu par le RGPD »

« Mes données m’ont été envoyées par email en clair, sans aucune sécurisation…pour moi, cela constitue une violation de données » Ces appréciations sont dans la lignée de celles faites par les promotions précédentes, dont voici un florilège :

Une grande banque ne trouve aucune donnée concernant… l’un de ses clients fidèle ;

Une très grande entreprise du CAC40 se contente d’envoyer quelques photocopies, sans aucune lettre d’accompagnement, mais avec une petite note anonyme comportant ce simple mot : « Voilà ! » ;

Un cabinet de recrutement affirme avoir procédé à la purge des données … mais est capable de les produire par la suite ;

Une entreprise répond qu’elle juge la demande « abusive » et affirme qu’elle n’y répondra que « contrainte par le Procureur de la République » ;

« Tout ça, c’est du pipeau ! », réaction entendue au téléphone (Profession règlementée dans le domaine du Droit) ;

« Vous devriez être flatté de figurer dans notre base de données ! » (collecte déloyale d’informations et refus de communication des informations détenues) ;

« Ces informations sont confidentielles et sont stockées sur des serveurs sécurisés. Je n’y ai pas accès et c’est trop compliqué de demander à chaque service de donner les informations » ;

« Nous vous confirmons que nous avons bien vos données personnelles »… oui, mais, lesquelles ?

« Il s’agit des données de l’entreprise, je n’ai pas le droit de vous les transmettre » ;

« Je tiens tout d’abord à vous rassurer quant au contenu de nos fichiers, ils ne comportent aucune données personnelles pris au sens étymologique du terme ».

Un exercice sur place toujours aussi stressant et inefficace

Les personnes concernées peuvent exercer leur droit d’accès sur place, en se présentant à l’accueil du responsable de traitement (notons qu’au Canada, la loi précise que la demande doit impérativement être faite par écrit). Il est demandé chaque année aux membres de la promotion de l’ISEP de se prêter au jeu. Chaque année, les résultats sont constants… et catastrophiques. Cette année, sur 24 responsables de traitements ainsi testés, seuls six ont su correctement traiter la demande. Dans certains cas, le simple fait d’exprimer sa demande crée de fortes tensions : « Ma demande panique tout le magasin et l’agressivité monte : « Vous voulez quoi ? En fait vous avez eu un problème de livraison ou quelque chose comme ça ? Si c’est ça, adressez une réclamation au service client ! ». Lors du tout premier exercice, en 2010, l’un des testeurs avait dû prudemment rebrousser chemin quand le directeur du grand magasin où il avait l’habitude de faire ses achats depuis des années a appelé ses vigiles avec leurs molosses…

Visiblement les personnels d’accueil sont oubliés lors des actions de sensibilisation au RGPD. Il est vrai que, fréquemment, il s’agit de personnels mis à disposition par des sous-traitants.

Remerciements :

Nous remercions les étudiants de la promotion 2019-2020 du Mastère Spécialisé de l’ISEP pour leur implication. Délégués à la Protection des Données dans le cadre du RGPD, ils auront à cœur de mettre en place au sein de leur organisme les procédures permettant de répondre efficacement et de façon sécurisée aux demandes de droit d’accès exprimées par les personnes concernées.

Les Index AFCDP du droit d’accès sont publiés, depuis 2010, sur la page www.afcdp.net/index-du-droit...