2022, une année à part. « Les mauvais résultats de l'an dernier, sans doute dûs aux effets de la pandémie semblent être un mauvais souvenir », estime l'AFCDP qui a posé des questions à 136 responsables de traitement, dont 24,3 % du secteur public et 75,7 % du secteur privé.
Selon son indicateur, basé sur les travaux effectués par les participants du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l'ISEP, le pourcentage des responsables de traitement (RT) sollicités n'ayant jamais réagi passe de 55,7 % à 34,5 %.
Des réponses non conformes
Certes, ce tiers reste « naturellement bien trop dans l'absolu », reconnait l’association.« Pendant la crise sanitaire, les entreprises ont manifestement donné la priorité à d'autres processus, et quelque peu négligé le respect des obligations issues du RGPD », déclare Patrick Blum, Délégué général de l'AFCDP.
Concernant les délais, sur les 89 organismes qui ont réagi, 69 l'ont fait en moins d'un mois, soit 50,7 % du total des 136 responsables de traitement, qu'il faut comparer aux 45,9 % de 2022.
Au-delà du respect des délais de réponse, cette étude s’est également intéressée à la conformité des réponses vis-à-vis du RGPD, en évaluant le degré de conformité des réponses obtenues.
Au total, sur les 69 organismes qui ont répondu dans les délais impartis, seuls 44 ont obtenu une appréciation satisfaisante, soit 32,3 % du total (des 136), à comparer aux 22,2 % de l'Index 2022.
Un fichier chiffré…
Pour les autres, 14 organismes obtiennent une appréciation moyenne, soit 10,3 % du total (des 136), et 11 une mauvaise appréciation, soit 8 % du total.Les indicateurs se sont donc sensiblement améliorés, ce qui n'empêche pas la survenance d'erreurs grossières dans le traitement des demandes de droit d'accès au titre du RGPD, par exemple :
- Aucune donnée fournie (ni réponse) … mais l'envoi d'un questionnaire de satisfaction suite à la demande !
- Après des échanges agréables et clairs avec l'entreprise, grosse déception : les données reçues sont incompréhensibles
- Une banque, confrontée à une demande sur place, refuse de la prendre en compte
- Un établissement de santé se contente de fournir la liste du type de données traitées (mais aucune des données en question)
- Des données de tiers figurent parmi celles fournies
- Un acteur du secteur de la restauration rapide supprime le « Compte fidélité » après la demande d'accès
- Un acteur de l'électroménager communique un fichier chiffré, mais sans transmettre le code permettant d'en prendre connaissance (et ne répond à aucune relance)
- Un établissement de l'enseignement supérieur ne procède à aucune vérification d'identité et transmet de façon non sécurisée des données personnelles comprenant des références bancaires.