Demandes d’accès aux données personnelles : “Même si l’on relève toujours les mêmes erreurs, le taux d’organismes qui réagit aux demandes s’améliore ainsi que la « qualité » des réponses apportées“, constate l’AFCDP, l’association des Délégués à la protection des données, qui publie son baromètre annuel.
L’AFCDP, l’association des Délégués à la protection des données (DPD/DPO) et autres professionnels de la protection des données, publie son « Index annuel du Droit d’accès », qui évalue le pourcentage d’organisations répondant aux demandes d’accès aux données personnelles, un droit donné par l’article 15 du RGPD.
Davantage de réponses…
L’Index est basé sur les travaux effectués par les participants du Mastère Spécialisé
« Management et Protection des Données à Caractère Personnel » de l’ISEP (Institut Supérieur d’Électronique de Paris, grande école). Pour cette édition, les étudiants ont ainsi sollicité 95 responsables de traitement soumis au RGPD.
Soixante-et-un organismes ont réagi dans les temps aux demandes qui leur ont été adressées, soit 64,2 % du panel, qu’il faut comparer aux 59,1 % de 2024, 50,7 % de 2023 et 45,9 % de 2022. Cependant, l’étude observe toujours l’existence d’un noyau d’environ 35 % de responsables de traitement qui ne se sont visiblement pas mis en position de traiter de telles sollicitations et qui n’ont pas réagi, malgré l’augmentation du nombre de sanctions pécuniaires infligées ces derniers mois par la CNIL à la suite de telles non-conformités.
… et de meilleure qualité
Au delà du respect des délais de réponse, les étudiants de l’ISEP se sont aussi intéressés à la conformité des réponses vis-à-vis du RGPD : la transmission des données était-elle sécurisée ? Les données transmises paraissaient-elles complètes ? Étaient-elles fournies sous une forme compréhensible ?
Parmi les 61 organismes ayant répondu dans les délais impartis, 30 ont obtenu une appréciation excellente ou satisfaisante. Par ailleurs, 24 organismes obtiennent une appréciation moyenne : il leur est principalement reproché de ne pas avoir fourni les informations complémentaires prévues par l’article 15 du RGPD, un manque de rigueur dans la vérification de la réelle identité du demandeur (qui aurait permis à un tiers de récupérer les données) ou l’envoi insuffisamment sécurisé de la réponse. Enfin, 7 organismes écopent d’une mauvaise ou très mauvaise appréciation (dont 4 pourtant dotés d’un DPO). Parmi les reproches formulés à l’encontre de cette dernière catégorie figurent en première place l’incomplétude ou l’illisibilité des données fournies (en sus des reproches déjà évoqués ci–dessus).
Des cas problématiques
Comme les années précédentes, l’étude relève des erreurs grossières dans le traitement des demandes de droit d’accès, comme la confusion avec une demande d’effacement (avec suppression du compte client) ou la communication de données relatives à un tiers (ce qui constitue une violation de données). Et parfois, les réponses sont vraiment comiques. Un exemple : un responsable de traitement exige le motif de la demande avant de la prendre en compte.
