Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Exercer son droit d’accès : une requête absconse pour les entreprises…

janvier 2009 par Emmanuelle Lamandé

Quelles appréciations votre employeur ou votre banquier a-t-il fait figurer dans votre dossier ? Quelles informations figurent dans votre dossier médical ? La loi Informatique et Libertés vous donne un droit d’accès et de regard sur l’utilisation qui est faite de vos données personnelles. Le responsable du traitement a l’obligation de vous communiquer des informations complètes, claires et lisibles, dans un délai de 2 mois. A l’occasion de la 3ème Université AFCDP* des Correspondants Informatique et Libertés, Gaëlle Gissot et Christian Kopp, membres de la première promotion du Mastère Gestion et Protection des Données Personnelles (ISEP), nous ont présenté les résultats de leur étude visant à déterminer les réactions des entreprises face à une telle requête.

* Association Française des Correspondants à la protection des Données à caractère Personnel

Le droit d’accès est un droit de regard sur nos données, un droit personnel et discrétionnaire, qui s’exerce librement sans besoin de justification. Qu’il s’agisse d’une simple curiosité ou de motivations plus précises, vous avez le droit de savoir si vous figurez dans les fichiers de tel ou tel organisme, et si oui d’en connaître le contenu. Il peut également s’agir d’une vérification de la mise à jour des données. La seule limite à ce type de requête concerne les demandes abusives ou récurrentes.

Le responsable du traitement a l’obligation de vous communiquer des informations complètes, claires et lisibles, dans un délai de 2 mois

Cette requête peut s’exercer de différentes manières : sur place, par courrier postal, par email ou via le site Internet. Cependant, pour ce faire, vous devez fournir un justificatif d’identité. Seul le coût de la reproduction des copies, si demandées, sera à votre charge.

Le responsable du traitement a pour obligation de vous communiquer des informations complètes, claires et lisibles. L’organisme dispose d’un délai de 2 mois pour répondre à la demande. A défaut, l’infraction d’opposition au droit d’accès est constituée. En cas de défaut de réponse ou le refus, de réponse non conforme à la loi (réponse hors délai, incomplète ou incompréhensible), la gestion de la demande est considérée comme non conforme. Les risques encourus en cas de non respect de la demande peuvent aller d’une simple réclamation à la saisine du service de plainte de la CNIL, qui peut s’en suivre d’un avertissement de la CNIL et, dans de rares cas, d’une amende de 1.500 euros, ce qui n’est pas très dissuasif pour les responsables de traitement.

11 réponses correctes sur 52 demandes

Dans le cadre de leur étude, Gaëlle Gissot et Christian Kopp, membres de la première promotion du Mastère Gestion et Protection des Données Personnelles (ISEP), ont émis 52 demandes auprès de divers organismes dans différents secteurs. Seules 11 d’entre elles ont correctement abouti. Près de 6 organismes ont répondu rapidement, cependant la réponse est souvent loin d’être exhaustive. Ils ont, en majeure partie, dû faire face à l’incompréhension de leurs interlocuteurs. Souvent, en effet, les organismes ne comprennent pas la demande, qu’elles confondent généralement avec le droit à l’opposition. Les premières réactions ont, le plus souvent, laissé place à la surprise, l’interrogation, l’évitement ou encore la peur liée à la méconnaissance de la loi, au caractère inhabituel de la sollicitation et à la crainte d’un litige. Les entreprises communiquent aisément les informations non sensibles issues de la collecte directe, telles que le nom, l’adresse, le téléphone, … Il est, en revanche, plus difficile d’obtenir des données créées par l’entreprise (scoring, commentaires, …). La peur des conséquences entraîne, généralement, la dissimulation d’informations secrètes.

Parmi les principaux écueils lors de leurs demandes, on retiendra quelques exemples significatifs : dans le milieu bancaire, malgré le formalisme strict de la réponse, les données personnelles de la personne concubine ont également été divulguées lors de la réception des informations, ce qui représente une violation au droit de confidentialité. Dans la grande distribution, ils n’ont pas observé de véritable transparence concernant l’utilisation des cartes clients, mais un fort barrage sécuritaire lors de la requête. Un organisme de transport voulait, quant à lui, leur faire payer une redevance forfaitaire, alors que celle-ci a été supprimée par la nouvelle loi. Dans le secteur de la santé, plus particulièrement dans un laboratoire, les données personnelles ont été transmises uniquement sur présentation de la carte vitale, sans demande de pièce d’identité, ce qui est contraire à la loi. Encore pire dans le second cas, en appelant un hôpital, l’interlocutrice à transmis les informations demandées par téléphone, y compris celles de la famille, sans preuve d’identité.

Les entreprises ne sont pas préparées à ce type de requête

En guise de synthèse de cette étude, Gaëlle Gissot et Christian Kopp retiendront les points suivants :
- 11 réponses correctes sur 52 demandes,
- Plus les données sont sensibles, moins elles seront communiquées,
- Les grandes structures ne sont pas plus conformes que les petites,
- Les informations communiquées ne sont pas complètes, on obtient plus facilement les données d’identification que les données créées par l’entreprise,
- Enfin, les entreprises ne sont pas préparées à ce type de demande.

De manière à mieux préparer les organismes à répondre en bonne et due forme à ces demandes de droit d’accès, ils ont conclu leur intervention par quelques conseils adressés aux Correspondants Informatique et Libertés :
- Faites un état des lieux de l’existant. Les mentions Informatique & Libertés sont-elles conformes à la loi ?
- Regrouper les informations sur la gestion du droit d’accès.
- Définir une procédure afin de permettre aux personnes d’exercer leurs droits d’accès.
- Diffuser largement la procédure au sein de l’entreprise, surtout aux personnes proches de la clientèle.
- Donner un délai dans la réponse.
- Faire valider la réponse par le CIL avant l’envoi afin de limiter le risque juridique.
- Créer un indicateur comme quoi un client a fait une demande de droit d’accès.
- Faire attention aux données des tiers.
- Les personnes gérant le courrier doivent être informées, de manière à ce que le courrier ne finisse pas à la poubelle ou perdu quelque part dans une pile qui ne sera pas traitée, en tous cas en temps et en heure.

Vous trouverez à l’adresse suivante de plus amples informations sur le site de la CNIL, ainsi qu’un modèle de lettre de demande de droit d’accès : http://www.cnil.fr/fileadmin/documents/La_CNIL/publications/CNIL_Droit_d_acces.pdf


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants