Accueil Etudes Droit d’accès aux données personnelles : les taux de réponse et de...

Droit d’accès aux données personnelles : les taux de réponse et de conformité des organisations s’améliorent mais restent médiocres

Comme chaque année et quelques jours avant la journée européenne de la protection des données, l’association des Délégués à la protection des données et autres professionnels de la protection des données (AFCDP), publie son « Index annuel du Droit d’accès ». 

Cet indicateur, publié par l’AFCDP depuis 2010, est basé sur les travaux effectués par les participants du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l’ISEP (Institut Supérieur d’Électronique de Paris, grande école).
 
Dans le cadre de ce cursus, les participants (souvent des délégués à la protection des données/Data Protection Officer en poste ou des professionnels amenés à l’être) mènent plusieurs projets, dont l’un consiste à exercer leur droit d’accès. Confrontés ainsi à la réalité, il leur est demandé d’en tirer des enseignements pratiques et opérationnels afin que leur propre responsable de traitement réponde de façon conforme.
 
Sous l’égide de Bruno Rasle (créateur de l’Index), pour l’édition 2023, les participants des deux dernières promotions du Mastère Spécialisé « Management et Protection des Données Personnelles » de l’ISEP ont ainsi sollicité 136 responsables de traitement, dont 24,3 % du secteur public et 75,7 % du secteur privé.

Vers une amélioration ?

Les mauvais résultats de l’an dernier — sans doute dus aux effets de la pandémie — semblent être un mauvais souvenir, puisque le pourcentage des responsables de traitement sollicités n’ayant jamais réagi passe de 55,7 % à 34,5 %. Sur les 89 organismes qui ont réagi, 69 l’ont fait en moins d’un mois, soit 50,7 % du total des 136 responsables de traitement, qu’il faut comparer aux 45,9 % de 2022.
 
« Pendant la crise sanitaire de 2020-2021, les entreprises ont manifestement donné la priorité à d’autres processus, et quelque peu négligé le respect des obligations issues du RGPD. Cela s’est manifesté par une baisse sensible de l’index du droit d’accès, mais on observe à présent une nette amélioration, même si le taux de réponses jugées conformes reste très médiocre. De belles marges de progrès en perspective pour les délégués à la protection des données et leurs responsables de traitements ! » analyse Patrick Blum, délégué général de l’AFCDP.
 
Au-delà du respect des délais de réponse, les participants du Mastère Spécialisé « Informatique et Libertés » de l’ISEP se sont aussi intéressés à la conformité des réponses vis-à-vis du RGPD, en évaluant le degré de conformité des réponses obtenues.
 
Au total, de l’avis des participants du Mastère Spécialisé, sur les 69 organismes qui ont répondu dans les délais impartis, seuls 44 ont obtenu une appréciation satisfaisante, soit 32,3 % du total (des 136), à comparer aux 22,2 % de l’Index 2022.
 
Pour les autres, 14 organismes obtiennent une appréciation moyenne, soit 10,3 % du total (des 136), et 11 une mauvaise appréciation, soit 8 % du total.

Les erreurs grossières continuent

 
Les indicateurs se sont donc sensiblement améliorés, ce qui n’empêche pas les erreurs grossières dans le traitement des demandes de droit d’accès au titre du RGPD. L’AFCDP cite par exemple :

  • Aucune donnée fournie (ni réponse)… mais l’envoi d’un questionnaire de satisfaction suite à la demande
  • Après des échanges agréables et clairs avec l’entreprise, grosse déception : les données reçues sont incompréhensibles
  • Une banque, confrontée à une demande sur place, refuse de la prendre en compte
  • Un établissement de santé se contente de fournir la liste du type de données traitées (mais aucune des données en question)
  • Des données de tiers figurent parmi celles fournies
  • Un acteur du secteur de la restauration rapide supprime le « compte fidélité » après la demande d’accès
  • Un acteur de l’électroménager communique un fichier chiffré, mais sans transmettre le code permettant d’en prendre connaissance (et ne répond à aucune relance)
  • Un établissement de l’enseignement supérieur ne procède à aucune vérification d’identité et transmet de façon non sécurisée des données personnelles comprenant des références bancaires.

 

Hélène Saire