Le grand amateurisme de l'accès aux données personnelles
C'est une très intéressante enquête qui a été menée par l'AFCDP et l'ISEP. Ils ont étudié la réalité du droit d'accès des personnes à leurs données personnelles hébergées chez des sociétés ou des administrations. Les résultats traduisent un manque de maturité flagrant de ces organismes sur le sujet. Grâce à la loi Informatique et Libertés, toute personne peut demander l'accès à ses données personnelles stockées chez une société commerciale ou une administration. Mais en pratique jusqu'à quel point ce droit est-il respecté ? L'AFCDP (l'Association Française des Correspondants à la protection des Données à caractère Personnel), en partenariat avec l'ISEP (l'Institut Supérieur d'Electronique de Paris), a voulu en vérifier la mise en oeuvre dans la vie réelle. L'Association publie la première mesure de l'effectivité de ce droit. En tout, 207 organismes, privés et publics, ont été sollicités. Le taux de réponse est plutôt important, car 63% des entités sollicitées ont répondu dans les deux mois impartis par le cadre légal. Il reste donc une entité sur trois qui ne l'a pas fait. L'AFCDP souligne que ce chiffre de 63% cache des disparités importantes. Le secteur internet/réseaux sociaux est le mauvais élève avec à peine 28% de réponses. A l'inverse, les secteurs Assurances/Mutuelles et Commerce/Grande distribution se distinguent par les meilleurs taux de réponse (respectivement 75 et 71%). La taille de l'organisme sollicité n'apparaît pas comme un facteur discriminant. De grands acteurs n'apportent aucune réponse pertinente, alors même que des accusés de réception sont envoyés pour faire patienter la personne, voire même qu'ils poursuivent l'envoi de messages publicitaires. L'AFCDP ne manque pas de souligner que ce sont les entités disposant d'un CIL (Correspondant Informatique et Libertés) qui répondent de belle façon aux demandes exprimées - avec un très bon taux de réponse de 80% -, dans les temps et avec la qualité souhaitée. L'étude montre d'ailleurs que plusieurs retours traduisent une totale incompréhension de la demande. Un fournisseur d'accès à internet traite le courrier comme une demande de support technique. Une mutuelle a retourné le code d'accès et l'identifiant INSEE servant à se connecter à son site internet. Un organe de presse indique la date de fin d'un abonnement. Au total, de l'avis des membres du Mastère Spécialisé de l'ISEP qui ont réalisé l'enquête sur le terrain, moins de 20% des réponses reçues sont totalement satisfaisantes. L'étude cite des exemples de réponses qui suscitent soit l'amusement soit l'énervement : - « Nous vous désinscrivons de notre lettre d'informations immédiatement » (secteur des Biens culturels) - « Vous avez un problème avec votre abonnement ? » (Télévision) - « Voici le nombre de points de retraite que vous avez acquis » (Mutuelle) - « Nous sommes propriétaires des données et nous ne les communiquons pas » (Energie et secteur automobile) - « Voici le mot de passe que vous avez oublié » (mais transmis en clair) (Services et Transports) - « Nous n'avons aucune donnée bancaire vous concernant mais nous pouvons les modifier » (Biens culturels) - « Il faudrait nous assigner en justice pour nous forcer à vous donner ces informations » (Réseau social) Photo : Illustration (D.R.) Plusieurs entités ont également révélé dans leur courrier des éléments qui pourraient leur être reprochése estime l'AFCDP, comme des durées de conservation illimitée des données tandis qu'un acteur de la Net-économie a retourné les données personnelles d'un homonyme. La civilité indiquée dans le fichier des passeports d'une Mairie de la petite couronne n'était pas la bonne. Quelques demandes ont été adressées à l'étranger, avec des résultats décevants, notamment concernant deux entités britanniques qui, après avoir demandé et reçu une contribution d'une dizaine de livres Sterling, n'ont jamais répondu. Une seule structure française a demandé une participation financière préalablement à la fourniture des informations demandées. Cela est tout à fait autorisé si son montant ne dépasse pas les frais de reproduction, rappelle l'association. L'AFCDP établit un parallèle avec l'étude similaire effectuée par l'Union Fédérale des Consommateurs et dont les résultats avaient été publiés dans le n° 475 (novembre 2009) du magazine Que Choisir. Sur 106 demandes adressées : - 55 réponses avaient été reçues (souvent lacunaires), - 40 lettres étaient restées sans réponse, - 11 entités avaient refusé de fournir les informations demandées ou avaient répondu « à côté de la plaque ». Ce premier Index AFCDP du droit d'accès ne porte que sur le pourcentage de réponse au droit d'accès dans les deux mois. La méthodologie appliquée actuellement par la promotion 2009-2010 de l'ISEP permettra - à l'occasion de la publication de l'Index suivant, en janvier 2011 - de disposer des précisions par secteur d'activité, des tendances et du degré de conformité des réponses. Le Droit d'accès direct : les modalités par l'AFCDP L'AFCDP donne plusieurs conseils pour que le processus de vérification des données personnelles se déroule sans heurts et en toute légalité. Elle rappelle que toute personne justifiant de son identité a le droit d'interroger le responsable d'un fichier ou d'un traitement de données personnelles pour savoir s'il détient des informations sur elle, et le cas échéant d'en obtenir communication. La personne peut alors s'informer : - des finalités du traitement, - du type de données enregistrées, - de l'origine et des destinataires des données, - des éventuels transferts de ces informations vers des pays n'appartenant pas à l'Union Européenne. Cette personne peut en outre obtenir des explications sur le procédé informatique qui a contribué à produire une décision la concernant : scoring, segmentation, profil, ... L'exercice du droit d'accès permet de contrôler l'exactitude des données et, au besoin, de les faire rectifier ou effacer. De son côté, le Responsable du Traitement doit répondre : - après s'être assuré de l'identité du demandeur, - sous deux mois (« Le silence gardé pendant plus de deux mois par le responsable du traitement sur une demande vaut décision de refus »), - complètement, - clairement, - gratuitement (« Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d'une somme qui ne peut excéder le coût de la reproduction »). Quelles informations fournir ? L'AFCDP répond : - les données fournies par la personne... mais pas seulement ; - Les données créées par l'organisme, avec grille de lecture si besoin ; - Le contenu de la zone de libre commentaire (bloc-notes) ; - et plus si demandé : La logique et les caractéristiques du traitement ; L'origine des données ; Les éventuels destinataires des données. Dans ce processus, le rôle du Correspondant Informatique et Libertés (CIL) concernant le droit d'accès est alors : - d'organiser la gestion des droits des personnes ; - de sensibiliser et former le personnel ; - de superviser (au besoin, valider les réponses) ; - de concevoir des indicateurs pertinents ; - de reporter le suivi de la gestion du droit d'accès dans son bilan annuel. Enfin, l'AFCDP propose quelques recommandations pour les Responsables de traitements : - Préparez vous pour moins de stress et moins d'erreur ; - N'essayez pas de rendre difficile le droit d'accès ; - Privilégiez le courrier postal qui permet de vérifier l'identité du demandeur ; - Soyez clair dans la démarche que doit suivre la personne ; - Impliquez vos services courrier, relations clients, réclamations et litiges, etc. - Réfléchissez au droit d'accès sur place ; - Ne répondez pas trop vite, mais bien (et de façon sécurisé) ; - Positivez : vous tenez là une opportunité de contact avec l'un de vos clients. Site Web de l'association AFCDP : http://www.afcdp.net/A-l-occasion-de-la-journee