Cet indicateur est basé sur les travaux effectués par les membres du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l’ISEP (Institut Supérieur d’Electronique de Paris, grande école).
Dans le cadre de ce cursus, les participants – souvent des Data Protection Officer en poste ou des professionnels amenés à l’être - mènent plusieurs projets, dont l’un consiste à exercer leur droit d’accès. Confrontés ainsi à la réalité, il leur est demandé d’en tirer des enseignements pratiques et opérationnels afin que leur propre responsable de traitement réponde de façon conforme.
La promotion 2017-2018 a ainsi sollicité 126 organismes (80 % privés et 20 % publics) entre novembre 2017 et février 2018, avant l’entrée en application du RGPD (les responsables de traitement avaient donc encore deux mois pour répondre aux demandes).
Sur les 126 organismes contactés, 60,3 % ont réagi en moins de deux mois (contre 52,4 % pour l’index précédent) dans les deux mois impartis par l’ancien cadre légal. Ce taux constitue l’Index AFCDP du droit d’accès pour 2017.
« Nous avions observé une stagnation lors des millésime précédents. L’amélioration constatée cette année s’explique-t-elle par la prise en compte du RGPD et du niveau de sanctions associé ? » s’interroge Bruno Rasle, Délégué général de l’AFCDP et créateur de l’Index.
Cependant répondre dans les deux mois ne signifie pas non plus que cette réponse soit conforme à la loi. Les participants du Mastère Spécialisé « Informatique et Libertés » de l’ISEP ont donc jugé du degré de conformité des réponses obtenues dans les deux mois. Au total, de l’avis des membres du Mastère Spécialisé, 36,5 % des organismes sollicités ont fait une réponse conforme au droit, jugée satisfaisante ou très satisfaisante, dont le respect du délai de deux mois (contre 36,6 % pour l’index précédent).
Quelques points marquant qui accompagnent cette édition
Voici quelques appréciations des membres de la promotion ISEP 2017-2018 :
- « Point très positif : la personne chargée de la conformité m’a contacté par téléphone pour demander des précisions »
- « Réponse parfaite de dix-sept pages envoyée en recommandé avec accusé de réception avec une lettre explicative très claire »
- « Demande traitée dans le temps par une interlocuteur réactif et très pédagogue »
- « Une fois mon identité vérifiée, tout a été très vite »
Cependant
- « La société m'a envoyé des données d'un tiers ! »
- « La société s’est bornée à me renvoyer vers la CNIL. Veux-t-elle que j’adresse une plainte à cette dernière ? »
- « Mes données m’ont été envoyées sans aucune vérification de mon identité. N’importe qui aurait pu se faire passer pour moi et obtenir mes informations les plus personnelles »
- « Les indications pour avoir accès aux données sont très claires sur le site... malheureusement, il ne s’agit que d’une façade car elles ne sont pas mises en pratique »
- « La réaction première de l’entreprise était complètement « à côté de la plaque ». Ils ont compris que je voulais supprimer mon compte ! Mon interlocuteur a arrêté de répondre après que je lui ai expliqué que je demandais simplement à accéder à mes données »
Ces appréciations sont dans la lignée de celles faites par les promotions précédentes, dont voici un florilège :
- Une grande banque ne trouve aucune donnée concernant… l’un de ses clients fidèle ;
- Une très grande entreprise du CAC40 se contente d’envoyer quelques photocopies, sans aucune lettre d’accompagnement, mais avec une petite note anonyme comportant ce simple mot : « Voilà ! » ;
- Un cabinet de recrutement affirme avoir procédé à la purge des données … mais est capable de les produire par la suite ;
- Une entreprise répond qu’elle juge la demande « abusive » et affirme qu’elle n’y répondra que « contrainte par le Procureur de la République » ;
- « Tout ça, c’est du pipeau ! », réaction entendue au téléphone (Profession règlementée dans le domaine du Droit) ;
- « Vous devriez être flatté de figurer dans notre base de données ! » - Collecte déloyale d’informations et refus de communication des informations détenues ;
- « Ces informations sont confidentielles et sont stockées sur des serveurs sécurisés. Je n’y ai pas accès et c’est trop compliqué de demander à chaque service de donner les informations » ;
- « Nous vous confirmons que nous avons bien vos données personnelles »… oui, mais, lesquelles ? « Il s’agit des données de l’entreprise, je n’ai pas le droit de vous les transmettre » ;
- « Je tiens tout d'abord à vous rassurer quant au contenu de nos fichiers, ils ne comportent aucune données personnelles pris au sens étymologique du terme ».
Envoyé par AFCDP
Et vous ?
Qu'en pensez-vous ? La perspective d'une sanction plus lourde dans le cadre du RGPD est-elle susceptible de faire évoluer les choses dans le bon sens ?
Voir aussi :
MongoDB : 202 millions de CV privés exposés sur internet à cause d'une base de données non protégée
La société mère de Cambridge Analytica plaide coupable d'avoir enfreint la loi britannique sur les données, et reçoit une amende de 15 000 £
Marriott concède que 5 millions de numéros de passeport volés par les pirates n'ont pas été chiffrés, faisant suite à la violation des données clients
Microsoft aurait initié le projet Bali pour donner aux utilisateurs le contrôle des données collectées à leur sujet, il serait encore en phase de test
Comment certaines applications Android échangent des données avec Facebook, en particulier pour les mobinautes qui n'ont pas de compte Facebook ?