Selon l’AFCDP, l’association des Délégués à la protection des données (DPD/DPO) et autres professionnels de la protection des données, la gestion des demandes de droit d’accès aux données personnelles semble encore perturbée par les effets indirects de la pandémie, des confinements et du télétravail.
L‘Index du droit d’accès à ses données personnelles, publié chaque début d’année par l’AFCDP depuis 2010, est basé sur les travaux effectués par les participants du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l’ISEP (Institut Supérieur d’Électronique de Paris, grande école).
Dans le cadre de ce cursus, les participants – souvent des Délégués à la protection des données/Data Protection Officer en poste ou des professionnels amenés à l’être – mènent plusieurs projets, dont l’un consiste à exercer leur droit d’accès. Confrontés ainsi à la réalité, il leur est demandé d’en tirer des enseignements pratiques et opérationnels afin que leur propre responsable de traitement réponde de façon conforme.
Pour l’édition 2022, les participants des deux dernières promotions du Mastère Spécialisé « Management et Protection des Données Personnelles » de l’ISEP ont ainsi sollicité 146 responsables de traitement, dont 40 du secteur public (27 %) et 106 du secteur privé organismes (73 %).
Des organismes encore très nombreux à ignorer les demandes
Alors qu’en 2019 « seulement » 29,3 % des responsables de traitement sollicités n’avaient jamais réagi, ils étaient 55,7 % à avoir visiblement donné la priorité à d’autres tâches en 2020, année marquée par la pandémie. En 2021 ils sont encore nombreux (63, soit 43,2 %) à ne pas donner suite aux demandes, un taux proche de celui de janvier 2017, donc avant l’entrée en application du RGPD (47,6 %).
Sur les 83 qui ont réagi, seuls 67 l’ont fait en moins d’un mois (soit 45,9 % du total des 146 responsables de traitement, qu’il faut comparer aux 44,3 % de 2021 et aux 70,7 % de l’Index de 2020). « Après l’amélioration observée à l’occasion des précédents Index, la dégradation observée en 2021 se confirme cette année, et semble indiquer qu’avec les difficultés induites par la pandémie, les organisations continuent à donner la priorité à d’autres tâches que la bonne gestion des demandes de droit d’accès RGPD », commente Paul-Olivier Gibert, président de l’AFCDP, qui poursuit « Certaines des personnes concernées qui estiment n’avoir pas obtenu satisfaction se plaignent à la CNIL et cette dernière peut être amenée à diligenter une mission de contrôle sur place afin de relever les raisons qui expliquent une gestion approximative des droits des personnes ».
Au-delà du respect des délais de réponse, quel a été le degré de conformité des réponses vis-à-vis du RGPD ? Sur les 67 organismes qui ont répondu dans les délais impartis, seuls 33 ont obtenu une appréciation satisfaisante, soit 22,2 % du total (des 146), à comparer aux 32,2 % de l’Index 2021 (et 37, 36,5 et 36,6 % les années précédentes). Pour les autres, 19 organismes obtiennent une appréciation moyenne, soit 13,2 % du total (des 146), et 13 une mauvaise appréciation , soit 9 % du total (des 146).
Cet indicateur s’est donc sensiblement dégradé cette année.
Des erreurs grossières dans les réponses
Cette année, au lieu de répondre dans le cadre du droit d’accès, deux responsables de traitement ont compris qu’il leur était demandé d’effacer les données, soit 1,5 % du total (des 146). Il s’agit d’une compagnie de taxi et d’un service public.
D’autres réponses présentent des anomalies grossières. Dans le cas d’une compagnie aérienne, le participant de la promotion du Mastère Spécialisé de l’ISEP a reçu des données de voyages… mais celles d’un homonyme. Un magasin de jeux vidéos envoie un bon de réduction à la place d’une copie des données personnelles attendues. Un GAFA, qui vend des assistants vocaux domestiques, a renvoyé plusieurs centaines de fichiers correspondant chacun à un enregistrement vocal. Problème : plusieurs d’entre eux ne correspondaient pas à un ordre destiné à l’assistant, mais correspondaient à des échanges privés, dont certains d’ordre intime.
La gestion des demandes pèse lourdement sur les responsables de traitement
La présence d’un DPD/DPO au sein des organismes ne semble pas toujours contribuer à la qualité des réponses. Ainsi, parmi les 63 qui ont fait le mort (15 sont du secteur public, 48 du secteur privé), 54 ont désigné un DPD/DPO auprès de la CNIL.
Notons que, parmi les 33 « bons élèves » qui ont répondu en moins d’un mois et qui ont une appréciation satisfaisante, 32 ont un DPO. Mais, parmi les 15 qui ont répondu en moins d’un mois et qui ont une mauvaise appréciation, 12 disposent également d’un DPO.
« La gestion optimum des demandes de droit d’accès est loin d’être simple et peut représenter une forte charge pour les organismes », indique Bruno Rasle, créateur de l’Index et pilote du projet imposé aux participants. « Après avoir vécu les déceptions que rencontrent les personnes concernées, les futurs DPO ont à cœur d’imaginer ce qu’ils doivent mettre en place au sein de leur organisme afin de ne pas constater les mêmes erreurs ». Pour cet expert, il est ainsi indispensable de formaliser une procédure et de sensibiliser tous les personnels susceptibles de recevoir une demande de droit d’accès (sans oublier le personnel d’accueil et de caisse, de même que les standards téléphoniques).
