Accueil Etudes RGPD : le droit d’accès à ses données personnelles malmené par le...

RGPD : le droit d’accès à ses données personnelles malmené par le Covid

Chaque année, l’AFCDP, une association qui regroupe les DPO de France, évalue, au travers de son “Index du Droit d’accès”, comment les entreprises répondent aux demandes du “droit d’accès” aux données d’une personnes physique, au titre du RGPD. La pandémie est passée par là : plus de 55 % des responsables de traitement n’ont pas répondu aux requêtes !

L’an dernier, les responsables de traitement sollicités étaient 29,3 % à n’avoir pas réagi à ces demandes. Cette année, le pourcentage grimpe à 55,7 %. AFCDP note qu’il faut remonter à l’Index publié en janvier 2017 (donc avant l’entrée en application du RGPD) pour trouver un taux s’en approchant (47,6 %). “Après plusieurs années d’amélioration laborieuse, la gestion des demandes de droit d’accès semble avoir été fortement perturbée par la pandémie et les confinements”, en a conclu l’association. 

Cet indicateur, publié par l’AFCDP depuis 2010, est basé sur les travaux effectués par les membres du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l’ISEP (Institut Supérieur d’Électronique de Paris, grande école). Dans le cadre de ce cursus, les participants – souvent des Data Protection Officer en poste ou des professionnels amenés à l’être – mènent plusieurs projets, dont l’un consiste à exercer leur droit d’accès. Confrontés ainsi à la réalité, il leur est demandé d’en tirer des enseignements pratiques et opérationnels afin que leur propre responsable de traitement réponde de façon conforme. Les promotions 2019-2020 et 2020-2021 ont ainsi sollicité 264 organismes (88 % privés et 12 % publics) durant le premier confinement.

Des réponses hors des temps impartis

Sur les 264 organismes contactés, seulement 44,3 % ont réagi dans les temps impartis (ente 1 et 3 mois selon les cas), à comparer aux 70,7 % pour l’Index précédent. « Après la stagnation des résultats obtenus durant les années qui ont précédé l’entrée en application du RGPD, nous observions enfin une constante amélioration à l’occasion des derniers Index : les chiffres que nous publions aujourd’hui montrent sans surprise que les organisations, en ces temps troublés, ont clairement donné la priorité à d’autres tâches que la bonne gestion des demandes de droit d’accès », a commenté Paul-Olivier Gibert, président de l’AFCDP. « Espérons que la sortie de la pandémie va permettre de retrouver une situation plus conforme, d’autant qu’il faut se souvenir que c’est pour – entre autres – ne pas avoir été en mesure de traiter dans les délais exigés par le RGPD plusieurs demandes d’exercice de droits qu’un acteur de la grande distribution a écopé de la part de la CNIL d’une sanction de 2 250 000 euros en novembre dernier ».

Le degré de conformité des réponses obtenues stagne

En ce qui concerne les organisations qui ont répondu dans le temps imparti aux requêtes, l’étude souligne une stabilisation du degré de conformité des réponses obtenues.
32,2 % des organismes sollicités ont fait une réponse conforme au droit, jugée satisfaisante ou très satisfaisante, dont le respect imparti (contre 37, 36,5 et 36,6 % pour les index précédents). .Les autres organismes ont retourné des réponses décevantes, incomplètes, incompréhensibles, voire « complètement à côté de la plaque », ce qui est le cas chaque année. Envoi de données d’un tiers, invitation à se rapprocher de la CNIL, absence de vérification de l’identité du demandeur, envoi de données sensibles, comme des salaires ou des détails sur des investissements, par simple mail, ou simplement ignorance complète de ce qu’est une demande de droit d’accès au titre du RGPD 
On note également la persistance de résultats consternants concernant les demandes exercées sur place, en se présentant à l’accueil du responsable de traitement. Sur 27 responsables de traitements ainsi testés, seuls trois ont su correctement traiter la demande. Le plus souvent, le simple fait d’exprimer sa demande crée de fortes tensions. Lors du tout premier exercice, en 2010, l’un des testeurs avait dû prudemment rebrousser chemin quand le directeur du grand magasin où il avait l’habitude de faire ses achats depuis des années avait appelé ses vigiles avec leurs molosses… », a détaillé l’association

« La gestion optimum des demandes de droit d’accès est loin d’être simple et peut représenter une forte charge pour les organismes » a analysé Bruno Rasle, créateur de l’Index et pilote du projet imposé aux étudiants. « Après avoir vécu les déceptions que rencontrent les personnes concernées, les futurs DPO ont à cœur d’imaginer ce qu’ils doivent mettre en place au sein de leur organisme afin de ne pas constater les mêmes erreurs ». Pour cet expert, il est ainsi indispensable de formaliser une procédure et de sensibiliser tous les personnels susceptibles de recevoir une demande de droit d’accès (sans oublier le personnel d’accueil et de caisse, de même que les standards téléphoniques).