A l'occasion de la Journée européenne de la protection des données du 28 janvier, l'AFCDP publie la nouvelle édition de l'Index du droit d'accès aux données personnelles. Verdict : « peut mieux faire… »

Comme chaque année et quelques jours avant la journée européenne de la protection des données, l'Association des Délégués à la protection des données (DPD/DPO) et autres professionnels de la protection des données, publie son « Index annuel du Droit d'accès ». La mise en conformité implique des processus minutieux. De quoi décourager bon nombre de professionnels…

Cet indicateur, publié par l'AFCDP depuis 2010, est basé sur les travaux effectués par les participants du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l'ISEP (Institut Supérieur d'Électronique de Paris, grande école).

Pour cette dernière édition, les participants des deux dernières promotions du Mastère ont sollicité 146 responsables de traitement, dont 40 du secteur public (27 %) et 106 du secteur privé organismes (73 %). Les résultats montrent que la mise en conformité reste inégale.

L’impact de la pandémie

Résultat, le soufflet du RGPD semble retombé. Exécutoire depuis mai 2019, ce règlement permet notamment aux salariés et consommateurs de connaitre toutes les données privées traitées par des organisations.

L’article 15 du RGPD précise en effet que la personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi que les informations suivantes :

  • finalités du traitement
  • catégories de données personnelles concernées
  • Destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées…

Mais après « plusieurs années d'amélioration laborieuse, la gestion des demandes de droit d'accès aux données personnelles au titre de l'article 15 du RGPD semble encore perturbée par les effets indirects de la pandémie, des confinements et du télétravail », constate l'AFCDP.

Plaintes auprès de la CNIL

Des organismes sont encore très nombreux à ignorer les demandes. « Alors qu'en 2019 “seulement” 29,3 % des responsables de traitement sollicités n'avaient jamais réagi, ils étaient 55,7 % à avoir visiblement donné la priorité à d'autres tâches en 2020, année marquée par la pandémie. En 2021 ils sont encore nombreux (63 soit 43,2 %) à ne pas donner suite aux demandes, un taux proche de celui de janvier 2017, donc avant l'entrée en application du RGPD (47,6 %) », constate cette association.

Sur les 83 qui ont réagi : seuls 67 ont réagi en moins d'un mois (soit 45,9 % du total des 146 responsables de traitement, qu'il faut comparer aux 44,3 % de 2021 et aux 70,7 % de l'Index de 2020).

« Après l'amélioration observée à l'occasion des précédents Index, la dégradation observée en 2021 se confirme cette année, et semble indiquer qu'avec les difficultés induites par la pandémie, les organisations continuent à donner la priorité à d'autres tâches que la bonne gestion des demandes de droit d'accès RGPD », commente Paul-Olivier Gibert.

Le Président de l'AFCDP complété en précisant que « “certaines des personnes concernées qui estiment n'avoir pas obtenu satisfaction se plaignent à la CNIL et cette dernière peut être amenée à diligenter une mission de contrôle sur place afin de relever les raisons qui expliquent une gestion approximative des droits des personnes”.

Au-delà du respect des délais de réponse, cet index a permis également d’évaluer le degré de conformité des réponses obtenues : sur les 67 organismes qui ont répondu dans les délais impartis, seuls 33 ont obtenu une appréciation satisfaisante, soit 22,2 % du total (des 146).

A comparer aux 32,2 % de l'Index de la précédente année (et 37, 36,5 et 36,6 % les années précédentes). Pour les autres, 19 organismes obtiennent une appréciation moyenne, soit 13,2 % du total (des 146), et 13 une mauvaise appréciation, soit 9 % du total (des 146).Cet indicateur s'est donc sensiblement dégradé cette année.

Des erreurs grossières dans les réponses

Cette année, au lieu de répondre dans le cadre du droit d'accès, deux responsables de traitement ont compris qu'il leur était demandé d'effacer les données, soit 1,5 % du total (des 146). Il s'agit d'une compagnie de taxi et d'un service public.

D'autres réponses présentent des anomalies grossières. L’association cite le cas d'une compagnie aérienne qui a envoyé à l’un des participants de la promotion du Mastère Spécialisé de l'ISEP des données de voyages… mais celles d'un homonyme.

Un magasin de jeux vidéo a envoyé un bon de réduction à la place d'une copie des données personnelles attendues. Un GAFA, qui vend des assistants vocaux domestiques, a renvoyé plusieurs centaines de fichiers correspondant chacun à un enregistrement vocal. Problème : plusieurs d'entre eux ne correspondaient pas à un ordre destiné à l'assistant, mais correspondaient à des échanges privés, dont certains d'ordre intime.

Plus inquiétant, la présence d'un DPD/DPO au sein des organismes ne semble pas toujours contribuer à la qualité des réponses. Ainsi, parmi les 63 qui ont fait le mort (15 sont du secteur public, 48 du secteur privé), 54 ont désigné un DPD/DPO auprès de la CNIL.