Juridique

Index AFCDP : 4 entreprises sur 10 dans la totale illégalité

Index AFCDP : 4 entreprises sur 10 dans la totale illégalité
Paul-Olivier Gibert, président de l’AFCDP, dirige une association de quatre mille professionnels de la conformité aux réglementations sur les données personnelles.

L'AFCDP (Association française des correspondants à la protection des données personnelles) a publié la nouvelle édition de son index de communication des données personnelles, toujours catastrophique même s'il y a des progrès.

PublicitéLa réglementation exige que tout organisme détenant des données personnelles les communique sous deux mois à une personne concernée en faisant la demande. Tous les ans, sous l'égide de l'AFCDP (Association française des correspondants à la protection des données personnelles), un test est opéré par les étudiants du Mastère spécialisé Management et Protection des Données à Caractère Personnel. Ce test aboutit à l'Index AFCDP du droit d'accès qui reste un indicateur aux résultats affligeants.

Pour la nouvelle édition, 126 organismes (80 % privés, 20 % public) ont été sollicités par les étudiants entre fin 2017 et le printemps 2018, juste avant l'applicabilité du RGPD. Si les résultats sont meilleurs que l'an passé, il n'en résulte pas moins que quatre organismes sur dix ne respectent pas du tout la loi, un tiers ne daignant même pas apporter la moindre réponse. Un tiers des organismes en tort disposent pourtant d'un CIL.

Persistance de mauvaises pratiques

Six organismes sur dix ont répondu dans le délai imparti des deux mois (contre 52,4 % l'année passée). Mais seulement le tiers des réponses a été jugé satisfaisant du point de vue de la conformité au droit, taux en stagnation. Si certains organismes sont réactifs et efficaces, d'autres multiplient les bourdes.

Sans aller jusqu'à Amazon Allemagne qui avait transmis à un requérant les données d'un couple tiers, y compris des enregistrements intimes opérés par Alexa, certains organismes transmettent des données personnelles sur sollicitation simple, sans vérifier l'identité du requérant. Une banque n'a pas trouvé de données sur l'un de ses clients fidèles. Un cabinet de recrutement ayant affirmé avoir purgé des données les produit ensuite. Un organisme a confirmé détenir des données personnelles mais refuse de les transmettre puisqu'elles lui appartiennent. Le meilleur est sans doute ce commentaire : « vous devriez être flatté de figurer dans notre base de données ! ».

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Mesurez-vous un ou plusieurs indicateurs pour suivre la performance du support IT ?