Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Données personnelles : publication de l’Index AFCDP 2023 du Droit d’accès L’Index du droit d’accès de l’AFCDP s’améliore

janvier 2023 par AFCDP

Comme chaque année et quelques jours avant la journée européenne de la protection des données, l’AFCDP, l’association des Délégués à la protection des données (DPD/DPO) et autres professionnels de la protection des données, publie son « Index annuel du Droit d’accès ».

Cet indicateur, publié par l’AFCDP depuis 2010, est basé sur les travaux effectués par les participants du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l’ISEP (Institut Supérieur d’Électronique de Paris, grande école).

Dans le cadre de ce cursus, les participants — souvent des Délégués à la protection des données/Data Protection Officer en poste ou des professionnels amenés à l’être — mènent plusieurs projets, dont l’un consiste à exercer leur droit d’accès. Confrontés ainsi à la réalité, il leur est demandé d’en tirer des enseignements pratiques et opérationnels afin que leur propre responsable de traitement réponde de façon conforme.

Sous l’égide de Bruno Rasle (créateur de l’Index), pour l’édition 2023, les participants des deux dernières promotions du Mastère Spécialisé « Management et Protection des Données Personnelles » de l’ISEP ont ainsi sollicité 136 responsables de traitement, dont 24,3 % du secteur public et 75,7 % du secteur privé.

Enfin, une amélioration ?

Les mauvais résultats de l’an dernier — sans doute dues aux effets de la pandémie — semblent être un mauvais souvenir, puisque le pourcentage des responsables de traitement sollicités n’ayant jamais réagi passe de 55,7 % à 34,5 % (on retrouve ici les étiages pré-COVID19), ce qui reste naturellement bien trop dans l’absolu.

Sur les 89 organismes qui ont réagi : 69 l’ont fait en moins d’un mois, soit 50,7 % du total des 136 responsables de traitement, qu’il faut comparer aux 45,9 % de 2022.

« Pendant la crise sanitaire de 2020-2021, les entreprises ont manifestement donné la priorité à d’autres processus, et quelque peu négligé le respect des obligations issues du RGPD. Cela s’est manifesté par une baisse sensible de l’index du droit d’accès, mais on observe à présent une nette amélioration, même si le taux de réponses jugées conformes reste très médiocre. De belles marges de progrès en perspective pour les Délégués à la protection des données et leurs responsables de traitements ! » (Patrick Blum, Délégué général de l’AFCDP)

Au-delà du respect des délais de réponse, les participants du Mastère Spécialisé « Informatique et Libertés » de l’ISEP se sont aussi intéressés à la conformité des réponses vis-à-vis du RGPD, en évaluant le degré de conformité des réponses obtenues.

Au total, de l’avis des participants du Mastère Spécialisé, sur les 69 organismes qui ont répondu dans les délais impartis, seuls 44 ont obtenu une appréciation satisfaisante, soit 32,3 % du total (des 136), à comparer aux 22,2 % de l’Index 2022.

Pour les autres, 14 organismes obtiennent une appréciation moyenne, soit 10,3 % du total (des 136), et 11 une mauvaise appréciation, soit 8 % du total.

Les indicateurs se sont donc sensiblement améliorés, ce qui n’empêche pas la survenance d’erreurs grossières dans le traitement des demandes de droit d’accès au titre du RGPD, par exemple :

 Aucune donnée fournie (ni réponse)… mais l’envoi d’un questionnaire de satisfaction suite à la demande !
 Après des échanges agréables et clairs avec l’entreprise, grosse déception : les données reçues sont incompréhensibles
 Une banque, confrontée à une demande sur place, refuse de la prendre en compte
 Un établissement de santé se contente de fournir la liste du type de données traitées (mais aucune des données en question)
 Des données de tiers figurent parmi celles fournies
 Un acteur du secteur de la restauration rapide supprime le « Compte fidélité » après la demande d’accès
 Un acteur de l’électroménager communique un fichier chiffré, mais sans transmettre le code permettant d’en prendre connaissance (et ne répond à aucune relance)
 Un établissement de l’enseignement supérieur ne procède à aucune vérification d’identité et transmet de façon non sécurisée des données personnelles comprenant des références bancaires.

Remerciements :
Nous remercions les participants Mastère Spécialisé de l’ISEP pour leur implication. Délégués à la Protection des Données dans le cadre du RGPD, ils auront à cœur de mettre en place au sein de leur organisme les procédures permettant de répondre efficacement et de façon sécurisée aux demandes de droit d’accès exprimées par les personnes concernées.

Les Index AFCDP du droit d’accès sont publiés, depuis 2010, sur la page www.afcdp.net/index-du-droit-d-acces


Voir les articles précédents

    

Voir les articles suivants