Juridique

Droit d'accès : la mauvaise excuse du Covid invoquée pour ne pas respecter le RGPD

Ancien délégué général de l’AFCDP, Bruno Rasle a initié en 2010 et pilote toujours l’Index AFCDP du droit d’accès.

L'AFCDP vient de publier son Index AFCDP 2022 du droit d'accès dont les résultats sont encore plus désolants cette année, avec la mauvaise excuse de la crise sanitaire.

PublicitéLa réglementation sur la protection des données personnelles inclut depuis l'origine (en France, la loi dite « Informatique et Libertés » date du 6 janvier 1978 !) un droit d'accès par chaque personne concernée. Le RGPD (Règlement Général européen sur la Protection des Données à caractère personnel) a renforcé cette obligation. Mais force est de constater, année après année, qu'il y a une différence entre une obligation et le respect de celle-ci. Depuis 2010, l'AFCDP publie une étude barométrique baptisée « Index AFCDP du droit d'accès ». Cette association des professionnels de la protection des données personnelles ne peut que constater les innombrables manquements de services importants (ceux qui sont testés). L'édition 2022 de l'Index comprend des résultats particulièrement mauvais que l'AFCDP impute en partie à la crise sanitaire qui a désorganisé certains services.

L'absence totale de réaction à une demande d'accès aux données personnelles concernant le demandeur est encore fréquente : 43,2 % cette année (l'étude a été faite fin 2021) contre 55,7 % en 2020 (en pleine crise sanitaire, Index AFCDP 2021) mais 29,3 % en 2019. 45,9 % ont réagi dans le délai légal, c'est à dire en moins d'un mois (44,3 % et 70,7 % respectivement en 2019 et 2020). 85 % de ceux n'ayant pas répondu ont pourtant désigné un DPO ! La conformité de la réponse est également très mauvaise : 22,2 % de réponses conformes et dans les délais. Tous ces « bons élèves », à une exception près, disposent d'un DPO. La présence ou l'absence d'un DPO ne semble donc pas influer sur la qualité de la réponse.

Les anecdotes rapportées par l'AFCDP font frémir. Ainsi, une compagnie de taxi et un service public ont même confondu la demande d'accès avec une demande d'effacement ! Une compagnie aérienne a confondu le demandeur avec un homonyme. Un magasin de jeux vidéo a répondu avec un bon d'achat (mais sans les données !). Et l'AFCDP indique : « un GAFA, qui vend des assistants vocaux domestiques, a renvoyé plusieurs centaines de fichiers correspondant chacun à un enregistrement vocal. Problème : plusieurs d'entre eux ne correspondaient pas à un ordre destiné à l'assistant, mais correspondaient à des échanges privés, dont certains d'ordre intime. »

A propos de l'étude

Depuis 2010, les étudiants du Mastère Spécialisé de l'ISEP « Management et protection des données à caractère personnel » réalisent une enquête annuelle auprès de services divers en exerçant leur propre droit d'accès aux données personnelles et en contrôlant la conformité réglementaire de la réaction du dit service. L'objectif pédagogique est de montrer les mauvaises ou les bonnes pratiques à des futurs DPO. Les Index AFCDP du droit d'accès sont publiés, depuis 2010, sur le site de l'association. Pour l'édition 2022 (réalisée fin 2021), 146 responsables de traitement, dont 40 du secteur public (27 %) et 106 du secteur privé (73 %), ont été sollicités dans le cadre de l'exercice du droit d'accès.
L'AFCDP (Association Française des Correspondants à la protection des Données Personnelles), créée en 2004, regroupe plus de 6 000 professionnels de la conformité au RGPD et à la Loi Informatique & Libertés - dont des Délégués à la Protection des Données (DPD ou DPO, pour Data Protection Officer).