Vie privée : les personnes ont-elles une réelle chance d’excercer leur Droit d’Accès à leurs données personnelles ?
janvier 2013 par AFCDP
A l’occasion de la journée mondiale de la vie privée (Data Privacy Day) et de la conférence "Université des Correspondants Informatique et Libertés", l’AFCDP publie son Index du droit d’accès 2013.
Au titre de la loi Informatique & Libertés, chacun peut exercer un droit d’accès à ses données personnelles. L’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) publie sa troisième mesure annuelle de l’effectivité de ce droit.
Bien que le taux de retour soit en baisse, la conformité des réponses obtenues marque une nette amélioration : 30% des organismes sollicités ont fait une réponse conforme au droit. Cet indicateur montre un clair progrès par rapport aux relevés des années précédentes (18% et 20 % pour les Index précédents), mais laisse aussi apparaître une marge d’amélioration importante.
La journée européenne de la protection des données à caractère personnel est une initiative du Conseil de l’Europe, soutenue par la Commission européenne, qui a proclamé solennellement le 28 janvier de chaque année journée de la protection des données à caractère personnel. En 2009, est apparu le Data Privacy Day qui se tient en Europe mais aussi aux Etats-Unis et au Canada. Ces initiatives ont le même objectif : sensibiliser les citoyens à leurs droits pour promouvoir la protection de leurs données personnelles et le respect de leurs libertés et droits fondamentaux, et en particulier de leur vie privée.
C’est à cette occasion que l’association française représentative de la profession de CIL (Correspondant Informatique et Libertés) a dévoilé en janvier 2010 son tout premier « Index AFCDP du Droit d’Accès ». Elle publie ce jour la troisième édition de cet Index, en partenariat avec l’ISEP (Institut Supérieur d’Electronique de Paris).
Cet indicateur est basé sur les travaux effectués par les participants du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » dispensé par l’ISEP . Dans le cadre de ce cursus, les élèves mènent plusieurs projets, dont l’un consiste à exercer leur droit d’accès.
La promotion 2011-2012 a ainsi sollicité 198 organismes, privés et publics (contre 226 et 207 et l’année précédente).
Au titre de la loi dite « Informatique et Libertés » (article 39), toute personne justifiant de son identité a ainsi le droit d’interroger le responsable d’un fichier ou d’un traitement de données personnelles pour savoir s’il détient des informations sur elle, et le cas échéant d’en obtenir communication, et ceci sans avoir à fournir de justification.
Les étudiants ont exercé leur droit d’accès sur place et par courrier papier auprès d’organismes avec lesquels ils pensaient probable le fait que ceux-ci soient détenteurs de données personnelles les concernant et qui couvrent les différents aspects de la « vie quotidienne d’un citoyen » : emploi/formation, logement, banques/ assurances, commerce, santé, sociétés de l’information & de la communication, administrations... Si cet Index ne prétend pas être représentatif de l’ensemble des entreprises, il correspond toutefois aux organismes les plus fréquemment en contact avec le public. Dans sa nature, l’échantillon est raisonnablement comparable d’une année sur l’autre (mêmes secteurs d’activité) et la méthode mise en œuvre est identique.
Résultats quantitatifs :
Sur les 198 organismes contactés, seuls 92 ont réagi (soit 46,5%), ce qui marque une dégradation par rapport aux relevés précédents.
Mais « réagir » ne veut pas dire respecter ses obligations légales. En effet, pour être valide, la réponse doit parvenir en moins de deux mois, ce qui n’était pas le cas de 7 réponses.
Index AFCDP 2011 du droit d’accès : 44% des entités sollicitées ont répondu dans les deux mois impartis par le cadre légal. Ce nombre montre une forte baisse du taux de retour par rapport aux 63% obtenus lors du précédent Index.
On note que 15% des organismes sollicités demandent une contribution financière avec des montants demandés de quelques euros (le plus souvent la somme est annoncée pour couvrir les frais d’affranchissement, alors que la loi n’évoque la possibilité que de demander une participation aux frais de reproduction).
Résultats qualitatifs :
Cependant répondre dans les deux mois requis ne signifie pas que cette réponse soit conforme.
Les participants du Mastère Spécialisé « Informatique et Libertés » de l’ISEP ont donc jugé du degré de conformité des réponses obtenues.
Au total, de l’avis des membres du Mastère Spécialisé, 58 réponses ont été jugées satisfaisantes ou totalement satisfaisantes (dont le respect du délai de deux mois).
Ceci fait, qu’au total, 30% des organismes sollicités ont fait une réponse conforme au droit. Cet indicateur montre un clair progrès par rapport aux relevés des années précédentes (18% et 20 % pour les Index précédents), mais aussi une marge d’amélioration importante.
Parmi les raisons du jugement porté par les « testeurs » on trouve :
– une totale incompréhension de leur demande ;
– une absence de vérification de l’identité du demandeur ;
– la collecte de données non pertinentes ;
– la fourniture de données personnelles relatives à d’autres personnes ;
– des réponses incomplètes ou incompréhensibles ;
– des durées de conservation non-adéquates avec la finalité du traitement.
Notons également à ce stade la difficulté trop souvent éprouvée à trouver de l’information sur le site Web des organismes pour exercer son droit d’accès.
Nombreux également sont les organismes dont les collaborateurs chargés de traiter ces demandes se montrent étonnés ou s’avouent incompétents sur ce sujet. Signalons un seul cas de posture jugée « agressive ».
Rappelons qu’en avril 2009 la CNIL a prononcé une sanction pécuniaire de 7.000 euros rendue publique à l’encontre d’un fournisseur d’accès à internet qui n’avait répondu que partiellement aux demandes répétées d’une cliente souhaitant accéder à l’ensemble de ses informations personnelles détenues par la société.