mardi 22 janvier 2019    || Inscription
BannierePresse
 
 

60,3 % des entités sollicitées ont répondu dans les deux mois impartis par l'ancien cadre légal, ce qui représente une nette amélioration.

Quelques jours avant sa grande conférence annuelle (l’Université AFCDP des DPO, qui se tiendra le 16 janvier 2019 à la Maison de la Chimie, à Paris), l’AFCDP, association qui regroupe les DPO, publie son Index annuel du Droit d’accès. Au titre de la loi Informatique & Libertés, chacun peut demander à accéder à ses données personnelles. L’édition 2019 montre une meilleure prise en compte du droit des personnes. Mais qu’en sera-t-il l’an prochain, avec l’application des règles plus strictes imposées par le RGPD ?

Cet indicateur est basé sur les travaux effectués par les membres du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l’ISEP (Institut Supérieur d’Electronique de Paris, grande école).

Dans le cadre de ce cursus, les participants – souvent des Data Protection Officer en poste ou des professionnels amenés à l’être - mènent plusieurs projets, dont l’un consiste à exercer leur droit d’accès. Confrontés ainsi à la réalité, il leur est demandé d’en tirer des enseignements pratiques et opérationnels afin que leur propre responsable de traitement réponde de façon conforme.

La promotion 2017-2018 a ainsi sollicité 126 organismes (80 % privés et 20 % publics) entre novembre 2017 et févier 2018, avant l’entrée en application du RGPD (les responsables de traitement avaient donc encore deux mois pour répondre aux demandes).

Le « noyau dur » des entreprises qui fait le mort descend à 33 %, contre 40 % les années précédentes

Bien que le pourcentage soit encore trop élevé, c’est une excellente nouvelle, mais il est regrettable de constater que le tiers d’entre eux avaient pourtant désigné un Correspondant Informatique et Libertés (le précurseur du Délégué à la Protection des Données). Faut-il aller jusqu’à, pour ces professionnels de la conformité, mettre en place des tests basés sur le principe du « client mystère » afin de leur permettre de vérifier que leur procédure de gestion des demandes de droits d’accès est connue et appliquée ?

Les personnes concernées étant de mieux en mieux informées et conscientes de leurs droits, elles n’hésitent plus à déposer une plainte auprès de la CNIL, ce qui se traduit par des saisines de plus en plus nombreuses des responsables de traitement par la Commission Nationale Informatique et Libertés.

Par le passé, la CNIL n’a pas hésité à sanctionner suite à une mauvaise gestion des demandes de droits d’accès : en avril 2009 la CNIL a prononcé une sanction pécuniaire de 7.000 euros rendue publique à l'encontre d’un fournisseur d’accès à internet qui n’avait répondu que partiellement aux demandes répétées d’une cliente ; en janvier 2011, une banque a subi une sanction pécuniaire de 1.000 euros et en juin 2012, une société d’adduction et le traitement de l'eau du nord de la France a été sanctionnée à hauteur de 10.000 euros sur un motif similaire (1) .

On retiendra qu’avec l’entrée en application du RGPD, le quantum des sanctions maximales est bien plus élevé car elles peuvent aller, en théorie, jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros.

Ainsi on observera avec grande attention comment l’autorité de contrôle allemande compétente va « apprécier » l’énorme bourde commise dernièrement par Amazon. Sollicité par un internaute souhaitant accéder à ses données personnelles, Amazon Allemagne lui a envoyé les données d'un autre utilisateur... dont celles relatives à la commande vocale Alexa ! Il a ainsi reçu 1.700 enregistrements sonores de l'Alexa d'un couple, avec tous leurs échanges... dont certains très privés.

Sur les 126 organismes contactés, 60,3 % ont réagi en moins de deux mois (2) (contre 52,4 % pour l’index précédent) dans les deux mois impartis par l’ancien cadre légal. Ce taux constitue l’Index AFCDP du droit d’accès pour 2017.

« Nous avions observé une stagnation lors des millésime précédents. L’amélioration constatée cette année s’explique-t-elle par la prise en compte du RGPD et du niveau de sanctions associé ? » s’interroge Bruno Rasle, Délégué général de l’AFCDP et créateur de l’Index.

Cependant répondre dans les deux mois ne signifie pas non plus que cette réponse soit conforme à la loi. Les participants du Mastère Spécialisé « Informatique et Libertés » de l’ISEP ont donc jugé du degré de conformité des réponses obtenues dans les deux mois.

Au total, de l’avis des membres du Mastère Spécialisé, 36,5 % des organismes sollicités ont fait une réponse conforme au droit, jugée satisfaisante ou très satisfaisante, dont le respect du délai de deux mois (contre 36,6 % pour l’index précédent).

Cet indicateur, qui avait fortement progressé lors des premiers Index (les tous premiers résultats, en 2010, étaient de seulement 18 %), semble donc se stabiliser.

Les autres organismes ont retourné des réponses soit décevantes, incomplètes, incompréhensibles, voire « complètement à côté de la plaque ».


(1) - Voir https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000026153467
(2) Important : Ce présent Index est le dernier réalisé en référence aux règles qui existaient avant l’entrée en application du RGPD. Le prochain tiendra compte du délai ramené à un mois laissé aux responsables de traitement pour répondre à la demande.

Les « spécificités » de l’Index 2019

Voici quelques appréciations des membres de la promotion ISEP 2017-2018 :

« Point très positif : la personne chargée de la conformité m’a contacté par téléphone pour demander des précisions »

« Réponse parfaite de dix-sept pages envoyée en recommandé avec accusé de réception avec une lettre explicative très claire »

« Demande traitée dans le temps par une interlocuteur réactif et très pédagogue »

« Une fois mon identité vérifiée, tout a été très vite »

MAIS…

« La société s’est bornée à me renvoyer vers la CNIL. Veux-t-elle que j’adresse une plainte à cette dernière ? »

« Mes données m’ont été envoyées sans aucune vérification de mon identité. N’importe qui aurait pu se faire passer pour moi et obtenir mes informations les plus personnelles »

« Les indications pour avoir accès aux données sont très claires sur le site... malheureusement, il ne s’agit que d’une façade car elles ne sont pas mises en pratique » 

« La réaction première de l’entreprise était complètement « à côté de la plaque ». Ils ont compris que je voulais supprimer mon compte ! Mon interlocuteur a arrêté de répondre après que je lui ai expliqué que je demandais simplement à accéder à mes données »

Ces appréciations sont dans la lignée de celles faites par les promotions précédentes, dont voici un florilège : 

• Une grande banque ne trouve aucune donnée concernant… l’un de ses clients fidèle ; 
• Une très grande entreprise du CAC40 se contente d’envoyer quelques photocopies, sans aucune lettre d’accompagnement, mais avec une petite note anonyme comportant ce simple mot : « Voilà ! » ; 
• Un cabinet de recrutement affirme avoir procédé à la purge des données … mais est capable de les produire par la suite ; 
• Une entreprise répond qu’elle juge la demande « abusive » et affirme qu’elle n’y répondra que « contrainte par le Procureur de la République » ; 
• « Tout ça, c’est du pipeau ! », réaction entendue au téléphone (Profession règlementée dans le domaine du Droit) ; 
• « Vous devriez être flatté de figurer dans notre base de données ! » - Collecte déloyale d’informations et refus de communication des informations détenues ;
• « Ces informations sont confidentielles et sont stockées sur des serveurs sécurisés. Je n’y ai pas accès et c’est trop compliqué de demander à chaque service de donner les informations » ;
• « Nous vous confirmons que nous avons bien vos données personnelles »… oui, mais, lesquelles ? 
• « Il s’agit des données de l’entreprise, je n’ai pas le droit de vous les transmettre » ;
• « Je tiens tout d'abord à vous rassurer quant au contenu de nos fichiers, ils ne comportent aucune données personnelles pris au sens étymologique du terme ».

Parmi les raisons récurrentes des jugements négatifs portés par les « testeurs » de l’ISEP on trouve : une totale incompréhension de leur demande ; une absence de vérification de l’identité du demandeur ; la collecte de données non pertinentes ; la fourniture de données personnelles relatives à d’autres personnes ; des réponses incomplètes ou incompréhensibles; des durées de conservation non-adéquates avec la finalité du traitement.

Notons également la difficulté trop souvent éprouvée à trouver de l’information sur le site Web des organismes pour exercer son droit d’accès.

Nombreux également sont les organismes dont les collaborateurs chargés de traiter ces demandes se montrent étonnés ou s’avouent incompétents sur ce sujet.


Remerciements
Nous remercions les étudiants de la promotion 2017-2018 du Mastère Spécialisé de l’ISEP pour leur implication. Délégués à la Protection des Données dans le cadre du RGPD, ils auront à cœur de mettre en place au sein de leur organisme les procédures permettant de répondre efficacement et de façon sécurisée aux demandes de droit d’accès exprimées par les personnes concernées.
Cet Index a été créé sur l’idée originale de Bruno Rasle, Délégué général de l’AFCDP.
Les Index AFCDP du droit d’accès sont publiés, depuis 2010, sur la page www.afcdp.net/-Index-du-Droit-d-acces-


A propos de l’AFCDP - http://www.afcdp.net/
L’AFCDP, créée dès 2004, regroupe plus de 4.000 professionnels de la conformité à la Loi Informatique & Libertés et au RGPD – dont les Délégués à la Protection des Données (ou DPO, pour Data Protection Officer).
Si l’AFCDP est l’association représentative des DPD, elle rassemble largement. Au-delà des professionnels de la protection des données et des DPD désignés auprès de la CNIL, elle regroupe toutes les personnes intéressées par la protection des données à caractère personnel. La richesse de l’association réside – entre autres – dans la diversité des profils des adhérents : DPD, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.



Autres Communiqués Etudes, webinars


Partenaires Mag-Securs