Données personnelles : publication de l’Index AFCDP 2022 du Droit d’accès
janvier 2022 par Marc Jacob
Comme chaque année et quelques jours avant la journée européenne de la protection des données, l’AFCDP, l’association des Délégués à la protection des données (DPD/DPO) et autres professionnels de la protection des données, publie son « Index annuel du Droit d’accès ». Après plusieurs années d’amélioration laborieuse, la gestion des demandes de droit d’accès aux données personnelles au titre de l’article 15 du RGPD semble encore perturbée par les effets indirects de la pandémie, des confinements et du télétravail.
Cet indicateur, publié par l’AFCDP depuis 2010, est basé sur les travaux effectués par les participants du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l’ISEP (Institut Supérieur d’Électronique de Paris, grande école).
Dans le cadre de ce cursus, les participants – souvent des Délégués à la protection des données/Data Protection Officer en poste ou des professionnels amenés à l’être - mènent plusieurs projets, dont l’un consiste à exercer leur droit d’accès. Confrontés ainsi à la réalité, il leur est demandé d’en tirer des enseignements pratiques et opérationnels afin que leur propre responsable de traitement réponde de façon conforme.
Pour l’édition 2022, les participants des deux dernières promotions du Mastère Spécialisé « Management et Protection des Données Personnelles » de l’ISEP ont ainsi sollicité 146 responsables de traitement, dont 40 du secteur public (27 %) et 106 du secteur privé organismes (73 %).
Des organismes encore très nombreux à ignorer les demandes
Alors qu’en 2019 « seulement » 29,3 % des responsables de traitement sollicités n’avaient jamais réagi, ils étaient 55,7 % à avoir visiblement donné la priorité à d’autres tâches en 2020, année marquée par la pandémie. En 2021 ils sont encore nombreux (63 soit 43,2 %) à ne pas donner suite aux demandes, un taux proche de celui de janvier 2017, donc avant l’entrée en application du RGPD (47,6 %).
Sur les 83 qui ont réagi : seuls 67 ont réagi en moins d’un mois (soit 45,9 % du total des 146 responsables de traitement, qu’il faut comparer aux 44,3 % de 2021 et aux 70,7 % de l’Index de 2020).
« Après l’amélioration observée à l’occasion des précédents Index, la dégradation observée en 2021 se confirme cette année, et semble indiquer qu’avec les difficultés induites par la pandémie, les organisations continuent à donner la priorité à d’autres tâches que la bonne gestion des demandes de droit d’accès RGPD », commente Paul-Olivier Gibert, Président de l’AFCDP, qui poursuit « Certaines des personnes concernées qui estiment n’avoir pas obtenu satisfaction se plaignent à la CNIL et cette dernière peut être amenée à diligenter une mission de contrôle sur place afin de relever les raisons qui expliquent une gestion approximative des droits des personnes ».
Au-delà du respect des délais de réponse, les participants du Mastère Spécialisé « Informatique et Libertés » de l’ISEP se sont aussi intéressés à la conformité des réponses vis-à-vis du RGPD, en évaluant le degré de conformité des réponses obtenues.
Au total, de l’avis des participants du Mastère Spécialisé, sur les 67 organismes qui ont répondu dans les délais impartis, seuls 33 ont obtenu une appréciation satisfaisante, soit 22,2 % du total (des 146), à comparer aux 32,2 % de l’Index 2021 (et 37, 36,5 et 36,6 % les années précédentes). Pour les autres, 19 organismes obtiennent une appréciation moyenne, soit 13,2 % du total (des 146), et 13 une mauvaise appréciation , soit 9 % du total (des 146).
Cet indicateur s’est donc sensiblement dégradé cette année.
Toujours des erreurs grossières dans les réponses
Cette année, au lieu de répondre dans le cadre du droit d’accès, deux responsables de traitement ont compris qu’il leur était demandé d’effacer les données, soit 1,5 % du total (des 146). Il s’agit d’une compagnie de taxi et d’un service public.
D’autres réponses présentent des anomalies grossières :
_ ? Dans le cas d’une compagnie aérienne, le participant de la promotion du Mastère Spécialisé de l’ISEP a reçu des données de voyages… mais celles d’un homonyme.
_ ? Un magasin de jeux vidéos envoie un bon de réduction à la place d’une copie des données personnelles attendues
_ ? Un GAFA, qui vend des assistants vocaux domestiques, a renvoyé plusieurs centaines de fichiers correspondant chacun à un enregistrement vocal. Problème : plusieurs d’entre eux ne correspondaient pas à un ordre destiné à l’assistant, mais correspondaient à des échanges privés, dont certains d’ordre intime.
Des DPD/DPO pas toujours au top
La présence d’un DPD/DPO au sein des organismes ne semble pas toujours contribuer à la qualité des réponses.
Ainsi, parmi les 63 qui ont fait le mort (15 sont du secteur public, 48 du secteur privé), 54 ont désigné un DPD/DPO auprès de la CNIL.
Notons que, parmi les 33 « bons élèves » qui ont répondu en moins d’un mois et qui ont une appréciation satisfaisante, 32 ont un DPO. Mais, parmi les 15 qui ont répondu en moins d’un mois et qui ont une mauvaise appréciation, 12 disposent également d’un DPO.
La gestion des demandes de droits RGPD pèse lourdement sur les responsables de traitement
« La gestion optimum des demandes de droit d’accès est loin d’être simple et peut représenter une forte charge pour les organismes », indique Bruno Rasle, créateur de l’Index et pilote du projet imposé aux participants, qui poursuit « Après avoir vécu les déceptions que rencontrent les personnes concernées, les futurs DPO ont à cœur d’imaginer ce qu’ils doivent mettre en place au sein de leur organisme afin de ne pas constater les mêmes erreurs ».
Pour cet expert, il est ainsi indispensable de formaliser une procédure et de sensibiliser tous les personnels susceptibles de recevoir une demande de droit d’accès (sans oublier le personnel d’accueil et de caisse, de même que les standards téléphoniques).
Remerciements :
Nous remercions les participants Mastère Spécialisé de l’ISEP pour leur implication. Délégués à la Protection des Données dans le cadre du RGPD, ils auront à cœur de mettre en place au sein de leur organisme les procédures permettant de répondre efficacement et de façon sécurisée aux demandes de droit d’accès exprimées par les personnes concernées.
Les Index AFCDP du droit d’accès sont publiés, depuis 2010, sur la page www.afcdp.net/index-du-droit-d-acces
À propos de l’AFCDP - www.afcdp.net
L’AFCDP, créée dès 2004, regroupe plus de 6 ?000 professionnels de la conformité au RGPD et à la Loi Informatique & Libertés – dont les Délégués à la Protection des Données (DPD ou DPO, pour Data Protection Officer).
Si l’AFCDP est l’association représentative des DPD, elle rassemble largement. Au-delà des professionnels de la protection des données et des DPD désignés auprès de la CNIL, elle regroupe toutes les personnes intéressées par la protection des données à caractère personnel. La richesse de l’association réside – entre autres – dans la diversité des profils des adhérents : DPD, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.