Les organisations sont majoritaires à répondre assez vite aux demandes d’accès aux données personnelles mais leurs réponses sont loin d’être conformes au droit.
ADCDP, association qui regroupe les DPO (Data Protection Officers), a sorti son deuxième baromètre sur le droit d’accès aux données personnelles. Cet « Index AFCDP du droit d’accès » est basé sur les travaux effectués par les membres du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l’ISEP (Institut Supérieur d’Electronique de Paris) qui ont « testé » 126 organismes entre novembre 2017 et février 2018, soit 3 mois avant l’entrée en vigueur du RGPD.
Il en ressort un bon chiffre : 60,3 % des organismes interrogés ont réagi en moins de 2 mois, contre 52,4 % pour l’édition précédente, un délai conforme à la loi avant l’entrée en vigueur du RGPD qui ne laisse, lui, plus qu’un mois. « Nous avions observé une stagnation lors des millésimes précédents. L’amélioration constatée cette année s’explique-t-elle par la prise en compte du RGPD et du niveau de sanctions associé ? » s’interroge Bruno Rasle, délégué général de l’AFCDP et créateur de l’Index.
Moins de 4 réponses sur 10 conformes au droit
Outre le délai de réaction, l’index juge du degré de conformité des réponses obtenues dans les deux mois. Au total, seuls 36,5 % des organismes sollicités ont donné une réponse conforme au droit, jugée satisfaisante ou très satisfaisante. Les organismes ont retourné « des réponses décevantes, incomplètes, incompréhensibles « , relève l’ADCDP.
L’association révèle même des comportements « complètement à côté de la plaque » : une totale incompréhension de la demande ; une absence de vérification de l’identité du demandeur ; la collecte de données non pertinentes ; la fourniture de données personnelles relatives à d’autres personnes ; l’impossibilité de trouver les données d’un client fidèle : des réponses incomplètes ou incompréhensibles; des durées de conservation non-adéquates avec la finalité du traitement ; un renvoi vers la CNIL… L’ ADCDP note également la difficulté trop souvent éprouvée à trouver de l’information sur le site Web des organismes pour exercer son droit d’accès. Nombreux également sont les organismes dont les collaborateurs chargés de traiter ces demandes se montrent étonnés ou s’avouent incompétents sur ce sujet.
Cet index est le dernier réalisé en référence aux règles qui existaient avant l’entrée en application du RGPD. Le prochain tiendra compte du délai ramené à un mois laissé aux responsables de traitement pour répondre à la demande.
