Index AFCDP 2013 du Droit d’accès

À l’occasion de la Journée mondiale de la vie privée (Data Privacy Day, 28 janvier) l’AFCDP (Association française des correspondants aux données à caractère personnel) a publié, le 24 janvier, son Index du droit d’accès 2013.

Au titre de la loi Informatique, fichiers et libertés, chacun peut exercer un droit d’accès à ses données personnelles. L’AFCDP publie sa troisième mesure annuelle de l’effectivité de ce droit.

L'Index 2013

Bien que le taux de retour soit en baisse, la conformité des réponses obtenues marque une nette amélioration : 30% des organismes sollicités ont fait une réponse conforme au droit. Cet indicateur montre un clair progrès par rapport aux relevés des années précédentes (18% et 20 % pour les Index précédents), mais laisse aussi apparaître une marge d’amélioration importante.

L’association française représentative de la profession de CIL (Correspondant informatique et libertés) a dévoilé en janvier 2010 son tout premier Index AFCDP du Droit d’Accès. Elle a publié le 24 janvier 2013 la troisième édition de cet Index, en partenariat avec l’ISEP (Institut supérieur d’électronique de Paris).

Cet indicateur est basé sur les travaux effectués par les participants du Mastère spécialisé en Management et protection des données à caractère personnel, dispensé par l’ISEP. Dans le cadre de ce cursus, les élèves mènent plusieurs projets, dont l’un consiste à exercer leur droit d’accès.

La promotion 2011-2012 a ainsi sollicité 198 organismes, privés et publics (contre 226 et 207  les années précédentes).

Résultats quantitatifs

Sur les 198 organismes contactés, seuls 92 ont réagi (soit 46,5%), ce qui marque une dégradation par rapport aux relevés précédents.

Mais réagir ne veut pas dire respecter ses obligations légales. En effet, pour être valide, la réponse doit parvenir en moins de deux mois, ce qui n’était pas le cas de 7 réponses.

On note que 15% des organismes sollicités demandent une contribution financière avec des montants demandés de quelques euros (le plus souvent la somme est annoncée pour couvrir les frais d’affranchissement, alors que la loi n’évoque la possibilité que de demander une participation aux frais de reproduction).

Résultats qualitatifs

Cependant répondre dans les deux mois requis ne signifie pas que cette réponse soit conforme.

Les participants du Mastère spécialisé en Management et protection des données à caractère personnel de l’ISEP ont donc jugé du degré de conformité des réponses obtenues.

Au total, de l’avis des membres du Mastère spécialisé, 58 réponses ont été jugées satisfaisantes ou totalement satisfaisantes (dont le respect du délai de deux mois).

Ceci fait qu’au total 30% des organismes sollicités ont fait une réponse conforme au droit. Cet indicateur montre un clair progrès par rapport aux relevés des années précédentes (18% et 20 % pour les Index précédents), mais aussi une marge d’amélioration importante.

Parmi les raisons du jugement porté par les testeurs on trouve :

  • Une totale incompréhension de leur demande ;
  • Une absence de vérification de l’identité du demandeur ;
  • La collecte de données non pertinentes ;
  • La fourniture de données personnelles relatives à d’autres personnes ;
  • Des réponses incomplètes ou incompréhensibles ;
  • Des durées de conservation non-adéquates avec la finalité du traitement.

Notons également à ce stade la difficulté trop souvent éprouvée à trouver de l’information sur le site Web des organismes pour exercer son droit d’accès.
Nombreux également sont les organismes dont les collaborateurs chargés de traiter ces demandes se montrent étonnés ou s’avouent incompétents sur ce sujet.

Rappelons qu’en avril 2009 la CNIL a prononcé une sanction pécuniaire de 7 000 euros rendue publique à l’encontre d’un fournisseur d’accès à internet qui n’avait répondu que partiellement aux demandes répétées d’une cliente souhaitant accéder à l’ensemble de ses informations personnelles détenues par la société.

La Journée de la protection des données à caractère personnel

La Journée européenne de la protection des données à caractère personnel est une initiative du Conseil de l’Europe, soutenue par la Commission européenne, qui a proclamé solennellement le 28 janvier de chaque année journée de la protection des données à caractère personnel. En 2009, est apparu le Data Privacy Day qui se tient en Europe mais aussi aux États-Unis et au Canada. Ces initiatives ont le même objectif : sensibiliser les citoyens à leurs droits pour promouvoir la protection de leurs données personnelles et le respect de leurs libertés et droits fondamentaux, et en particulier de leur vie privée.

Source : communiqué de l'AFCDP du 24 janvier 2013

Une incompréhension encore persistante dans les entreprises

Il est significatif que, même si nul n'est censé ignorer la loi, le respect de certaines règles de protection du citoyen établies dès 1978, dont l'obligation de déclarer les fichiers à la CNIL — sauf à nommer un CIL en interne — et le droit d'accès des personnes aux données collectées les concernant, ne soient pas encore intégrées dans la culture des entreprises.
Ceci nous conforte dans le constat que dans les entreprises françaises, on méconnait encore trop largement les lois en toute insouciance, sauf si celles-ci peuvent constituer une réel risque juridique pour l'entreprise, comme notamment en droit fiscal ou en droit social ou de la consommation, encore que même dans ces domaines, les "oublis" soient encore nombreux.

En savoir plus

Lire le communiqué intégral sur le site de l'AFCDP :
www.afcdp.net/Index-AFCDP-2013-du-Droit-d-acces,544
Télécharger l'Index 2013 AFCDP du Droit d’accès (Pdf - 94.8 ko) :
www.afcdp.net/IMG/pdf/CP_Index_AFCDP_Droit_d_Acces_25_janvier_2013-2.pdf
Voir notre fiche synthétique sur Les données à caractère personnel et sur le CIL
Et notre article sur Le correspondant informatique et libertés.

Didier FROCHOT