Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Publication de l’Index AFCDP 2021 du Droit d’accès : L’Index du droit d’accès victime de la COVID-19

janvier 2021 par AFCDP

Comme chaque année et quelques jours avant la journée européenne de la protection des données, l’AFCDP, association qui regroupe les DPO de France, publie son Index annuel du Droit d’accès. Après plusieurs années d’amélioration laborieuse, la gestion des demandes de droit d’accès semble avoir été fortement perturbée par la pandémie et les confinements.

Cet indicateur, publié par l’AFCDP depuis 2010, est basé sur les travaux effectués par les membres du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l’ISEP (Institut Supérieur d’Électronique de Paris, grande école).

Dans le cadre de ce cursus, les participants – souvent des Data Protection Officer en poste ou des professionnels amenés à l’être - mènent plusieurs projets, dont l’un consiste à exercer leur droit d’accès. Confrontés ainsi à la réalité, il leur est demandé d’en tirer des enseignements pratiques et opérationnels afin que leur propre responsable de traitement réponde de façon conforme.

Les promotions 2019-2020 et 2020-2021 ont ainsi sollicité 264 organismes (88 % privés et 12 % publics)… durant le premier confinement.
Sans doute du fait des confinements, le « noyau dur » des organismes qui ne répond pas aux sollicitations grimpe à 55,7 %
Alors que l’an dernier « seulement » 29,3 % des responsables de traitement sollicités n’avaient jamais réagi, ils étaient 55,7 % à avoir visiblement donné la priorité à d’autres tâches en cette année 2020 marquée par la pandémie. Il faut remonter à l’Index publié en janvier 2017 (donc avant l’entrée en application du RGPD) pour trouver un taux du même ordre (47,6 %).

Sur les 264 organismes contactés, seulement 44,3 % ont réagi dans les temps impartis. Ce taux constitue l’Index AFCDP du droit d’accès pour 2020, à comparer aux 70,7 % pour l’Index précédent.

« Après la stagnation des résultats obtenus durant les années qui ont précédé l’entrée en application du RGPD, nous observions enfin une constante amélioration à l’occasion des derniers Index : les chiffres que nous publions aujourd’hui montrent sans surprise que les organisations, en ces temps troublés, ont clairement donné la priorité à d’autres tâches que la bonne gestion des demandes de droit d’accès », commente Paul-Olivier Gibert, Président de l’AFCDP, « Espérons que la sortie de la pandémie va permettre de retrouver une situation plus conforme, d’autant qu’il faut se souvenir que c’est pour – entre autres – ne pas avoir été en mesure de traiter dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits qu’un acteur de la grande distribution a écopé de la part de la CNIL d’une sanction de 2 250 000 euros en novembre dernier ».

Mais répondre dans le temps imparti ne signifie pas non plus que cette réponse soit conforme au RGPD. Les participants du Mastère Spécialisé « Informatique et Libertés » de l’ISEP ont donc jugé du degré de conformité des réponses obtenues.

Au total, de l’avis des membres du Mastère Spécialisé, 32,2 % des organismes sollicités ont fait une réponse conforme au droit, jugée satisfaisante ou très satisfaisante, dont le respect imparti (contre 37, 36,5 et 36,6 % pour les index précédents). Malgré la COVID-19, cet indicateur, qui avait fortement progressé lors des premiers Index (les tout premiers résultats, en 2010, étaient de seulement 18 %), semble donc se stabiliser. Les autres organismes ont retourné des réponses soit décevantes, incomplètes, incompréhensibles, voire « complètement à côté de la plaque ».

Toujours les mêmes erreurs

Voici une sélection des témoignages des étudiants de l’ISEP qui illustrent les erreurs récurrentes :
☹ « La société (secteur hôtelier) m’a envoyé des données d’un tiers ! »
☹ « Mon interlocuteur a d’abord compris que je voulais supprimer mon compte et a arrêté de répondre après que je lui ai expliqué que je demandais simplement à accéder à mes données personnelles. »
☹ « L’entreprise s’est bornée à m’inviter à me rapprocher de la CNIL… sans doute pour me plaindre auprès d’elle ? »
☹ « Aucune vérification d’identité. N’importe qui aurait pu obtenir mes données personnelles. »
☹ « Par simple courriel, sans aucune protection, on m’a transmis mes salaires et tous les détails sur mes investissements »
☹ « On me renvoie sur un sous-traitant qui ignore totalement ce qu’est une demande de droit d’accès au titre du RGPD »
☹ « Sur le site web de l’entreprise, les indications pour avoir accès aux données sont très claires. Quelle déception quand on voit le résultat. »
☹ « Dans le courrier, le sous-préfet m’indique : « Vos données personnelles sont les suivantes »… mais sans m’indiquer de données ! »
☹ « Alors que j’avais joint la copie de ma carte d’identité, cette société d’envois de colis m’a demandé une copie de mon passeport. Quand je leur ai indiqué que je n’en avais pas, ils m’ont répondu que ça ne suffisait pas pour justifier mon identité et donc qu’ils ne faisaient pas droit à ma demande ! »
☹ « Ce Gafa m’a envoyé un fichier que j’ai dû télécharger. Quand j’ai voulu l’ouvrir, il a bloqué mon ordinateur »
☹ « Pour pouvoir obtenir mes données auprès d’une plate-forme de MOOC, j’ai dû renseigner un formulaire en ligne – c’est-à-dire commencer par délivrer plus de données personnelles… et ce pour un résultat nul : ils ne m’ont jamais répondu »

On note également la persistance de résultats consternants concernant les demandes exercées sur place, en se présentant à l’accueil du responsable de traitement. Sur 27 responsables de traitements ainsi testés, seuls trois ont su correctement traiter la demande. Le plus souvent, le simple fait d’exprimer sa demande crée de fortes tensions. Lors du tout premier exercice, en 2010, l’un des testeurs avait dû prudemment rebrousser chemin quand le directeur du grand magasin où il avait l’habitude de faire ses achats depuis des années avait appelé ses vigiles avec leurs molosses…

La gestion des demandes de droits RGPD pèse lourdement sur les responsables de traitement

« La gestion optimum des demandes de droit d’accès est loin d’être simple et peut représenter une forte charge pour les organismes » indique Bruno Rasle, créateur de l’Index et pilote du projet imposé aux étudiants, qui poursuit « Après avoir vécu les déceptions que rencontrent les personnes concernées, les futurs DPO ont à cœur d’imaginer ce qu’ils doivent mettre en place au sein de leur organisme afin de ne pas constater les mêmes erreurs ». Pour cet expert, il est ainsi indispensable de formaliser une procédure et de sensibiliser tous les personnels susceptibles de recevoir une demande de droit d’accès (sans oublier le personnel d’accueil et de caisse, de même que les standards téléphoniques).


Remerciements :
Nous remercions les étudiants Mastère Spécialisé de l’ISEP pour leur implication. Délégués à la Protection des Données dans le cadre du RGPD, ils auront à cœur de mettre en place au sein de leur organisme les procédures permettant de répondre efficacement et de façon sécurisée aux demandes de droit d’accès exprimées par les personnes concernées. Les Index AFCDP du droit d’accès sont publiés, depuis 2010, sur la page www.afcdp.net/index-du-droit...

À propos de l’AFCDP - www.afcdp.net L’AFCDP, créée dès 2004, regroupe plus de 6 000 professionnels de la conformité au RGPD et à la Loi Informatique & Libertés – dont les Délégués à la Protection des Données (DPD ou DPO, pour Data Protection Officer). Si l’AFCDP est l’association représentative des DPD, elle rassemble largement. Au-delà des professionnels de la protection des données et des DPD désignés auprès de la CNIL, elle regroupe toutes les personnes intéressées par la protection des données à caractère personnel. La richesse de l’association réside – entre autres – dans la diversité des profils des adhérents : DPD, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.




Voir les articles précédents

    

Voir les articles suivants