IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Accès aux données personnelles : seules 60% des entreprises ont répondu aux demandes dans les délais impartis
Un droit d'accès difficile à exercer

Le , par Stéphane le calme
3 commentaires

334PARTAGES

15  0 
Au titre de la loi Informatique & Libertés, chacun peut demander à accéder à ses données personnelles. L’édition 2019 de l’Index AFCDP (Association française des correspondants aux données personnelles) montre une meilleure prise en compte du droit des personnes. L’étude a été réalisée entre novembre 2017 et février 2018. Le RGPD n’était donc pas encore entré en application (il est en application depuis le 25 mai 2018). Ce qui laissait deux mois aux organismes pour répondre aux demandes.

Cet indicateur est basé sur les travaux effectués par les membres du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l’ISEP (Institut Supérieur d’Electronique de Paris, grande école).

Dans le cadre de ce cursus, les participants – souvent des Data Protection Officer en poste ou des professionnels amenés à l’être - mènent plusieurs projets, dont l’un consiste à exercer leur droit d’accès. Confrontés ainsi à la réalité, il leur est demandé d’en tirer des enseignements pratiques et opérationnels afin que leur propre responsable de traitement réponde de façon conforme.

La promotion 2017-2018 a ainsi sollicité 126 organismes (80 % privés et 20 % publics) entre novembre 2017 et février 2018, avant l’entrée en application du RGPD (les responsables de traitement avaient donc encore deux mois pour répondre aux demandes).

Sur les 126 organismes contactés, 60,3 % ont réagi en moins de deux mois (contre 52,4 % pour l’index précédent) dans les deux mois impartis par l’ancien cadre légal. Ce taux constitue l’Index AFCDP du droit d’accès pour 2017.

« Nous avions observé une stagnation lors des millésime précédents. L’amélioration constatée cette année s’explique-t-elle par la prise en compte du RGPD et du niveau de sanctions associé ? » s’interroge Bruno Rasle, Délégué général de l’AFCDP et créateur de l’Index.

Cependant répondre dans les deux mois ne signifie pas non plus que cette réponse soit conforme à la loi. Les participants du Mastère Spécialisé « Informatique et Libertés » de l’ISEP ont donc jugé du degré de conformité des réponses obtenues dans les deux mois. Au total, de l’avis des membres du Mastère Spécialisé, 36,5 % des organismes sollicités ont fait une réponse conforme au droit, jugée satisfaisante ou très satisfaisante, dont le respect du délai de deux mois (contre 36,6 % pour l’index précédent).

Quelques points marquant qui accompagnent cette édition

Voici quelques appréciations des membres de la promotion ISEP 2017-2018 :

  • « Point très positif : la personne chargée de la conformité m’a contacté par téléphone pour demander des précisions »
  • « Réponse parfaite de dix-sept pages envoyée en recommandé avec accusé de réception avec une lettre explicative très claire »
  • « Demande traitée dans le temps par une interlocuteur réactif et très pédagogue »
  • « Une fois mon identité vérifiée, tout a été très vite »


Cependant
  • « La société m'a envoyé des données d'un tiers ! »
  • « La société s’est bornée à me renvoyer vers la CNIL. Veux-t-elle que j’adresse une plainte à cette dernière ? »
  • « Mes données m’ont été envoyées sans aucune vérification de mon identité. N’importe qui aurait pu se faire passer pour moi et obtenir mes informations les plus personnelles »
  • « Les indications pour avoir accès aux données sont très claires sur le site... malheureusement, il ne s’agit que d’une façade car elles ne sont pas mises en pratique »
  • « La réaction première de l’entreprise était complètement « à côté de la plaque ». Ils ont compris que je voulais supprimer mon compte ! Mon interlocuteur a arrêté de répondre après que je lui ai expliqué que je demandais simplement à accéder à mes données »


Ces appréciations sont dans la lignée de celles faites par les promotions précédentes, dont voici un florilège :

  • Une grande banque ne trouve aucune donnée concernant… l’un de ses clients fidèle ;
  • Une très grande entreprise du CAC40 se contente d’envoyer quelques photocopies, sans aucune lettre d’accompagnement, mais avec une petite note anonyme comportant ce simple mot : « Voilà ! » ;
  • Un cabinet de recrutement affirme avoir procédé à la purge des données … mais est capable de les produire par la suite ;
  • Une entreprise répond qu’elle juge la demande « abusive » et affirme qu’elle n’y répondra que « contrainte par le Procureur de la République » ;
  • « Tout ça, c’est du pipeau ! », réaction entendue au téléphone (Profession règlementée dans le domaine du Droit) ;
  • « Vous devriez être flatté de figurer dans notre base de données ! » - Collecte déloyale d’informations et refus de communication des informations détenues ;
  • « Ces informations sont confidentielles et sont stockées sur des serveurs sécurisés. Je n’y ai pas accès et c’est trop compliqué de demander à chaque service de donner les informations » ;
  • « Nous vous confirmons que nous avons bien vos données personnelles »… oui, mais, lesquelles ? « Il s’agit des données de l’entreprise, je n’ai pas le droit de vous les transmettre » ;
  • « Je tiens tout d'abord à vous rassurer quant au contenu de nos fichiers, ils ne comportent aucune données personnelles pris au sens étymologique du terme ».


Citation Envoyé par AFCDP
Parmi les raisons récurrentes des jugements négatifs portés par les « testeurs » de l’ISEP on trouve : une totale incompréhension de leur demande ; une absence de vérification de l’identité du demandeur ; la collecte de données non pertinentes ; la fourniture de données personnelles relatives à d’autres personnes ; des réponses incomplètes ou incompréhensibles; des durées de conservation non-adéquates avec la finalité du traitement.

Notons également la difficulté trop souvent éprouvée à trouver de l’information sur le site Web des organismes pour exercer son droit d’accès.

Nombreux également sont les organismes dont les collaborateurs chargés de traiter ces demandes se montrent étonnés ou s’avouent incompétents sur ce sujet.
Source : Index droit d'accès édition 2019

Et vous ?

Qu'en pensez-vous ? La perspective d'une sanction plus lourde dans le cadre du RGPD est-elle susceptible de faire évoluer les choses dans le bon sens ?

Voir aussi :

MongoDB : 202 millions de CV privés exposés sur internet à cause d'une base de données non protégée
La société mère de Cambridge Analytica plaide coupable d'avoir enfreint la loi britannique sur les données, et reçoit une amende de 15 000 £
Marriott concède que 5 millions de numéros de passeport volés par les pirates n'ont pas été chiffrés, faisant suite à la violation des données clients
Microsoft aurait initié le projet Bali pour donner aux utilisateurs le contrôle des données collectées à leur sujet, il serait encore en phase de test
Comment certaines applications Android échangent des données avec Facebook, en particulier pour les mobinautes qui n'ont pas de compte Facebook ?

Une erreur dans cette actualité ? Signalez-nous-la !

3 commentaires
Commenter Signaler un problème
Citrax
Avatar de Citrax
Membre averti https://www.developpez.com
Le 13/01/2019 à 12:04
Tout cela montre l'incompetence de nombres d'entreprises qui feraient mieux de ne rien collecter du tout. C'est comme ca que la loi devrait etre tournée puisqu'ils resteront incapables ou dans le deni.
Ca evitera des recevoirs des mails disant : "vos données ont été diffusées actuellement sur internet" !!

coupable et pas des moindres, l'un des GAFAM !
1  0 
NBoulfroy
Avatar de NBoulfroy
Membre éclairé https://www.developpez.com
Le 11/01/2019 à 10:27
Si l'administration arrêtait de pondre des lois sans consulter les principaux exécutant, peut être qu'on aura pas de tels statistiques : alors oui, les entreprises doivent impérativement se conformer à la loi mais elles ne sont pas toutes dans la capacité de régler cela rapidement car elles n'ont pas tous un budget énorme vis à vis du service informatique (interne ou externe). Quand je vois des sites e-commerce réalisés avec Prestashop & cie, je constate bien souvent qu'ils ne sont pas conforme à la loi et cela n'arrive pas avant un moment de par le fait que souvent, les TPE et PME n'ont pas les moyens de demander à des personnes qualifiés de faire cela.
0  0 
tanaka59
Avatar de tanaka59
Inactif https://www.developpez.com
Le 11/01/2019 à 14:57
Pour avoir du traiter ce type de problématique a plusieurs reprises en 2018, je confirme entre la réception de la demande , l'arrivé dans le service pour extraire les données .. et le retour au client il se déroule bien 2 mois .
0  0