Comme chaque année et quelques jours avant la journée européenne de la protection des données, l’AFCDP, l’association des Délégués à la protection des données (DPD/DPO) et autres professionnels de la protection des données, publie son « Index annuel du Droit d’accès ». Si le taux d’organismes qui réagit aux demandes stagne, la « qualité » des réponses apportées connait une amélioration notable.

115 responsables de traitements sollicités, des réponses plus rapides
L’Index est basé sur les travaux effectués par les participants du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l’ISEP (Institut Supérieur d’Électronique de Paris, grande école). Dans le cadre de ce cursus, les participants – souvent des Délégués à la protection des données/Data Protection Officer en poste ou des professionnels amenés à l’être - mènent plusieurs projets, dont l’un consiste à exercer leur droit d’accès. Confrontés ainsi à la réalité, il leur est demandé d’en tirer des enseignements pratiques et opérationnels afin que leur propre responsable de traitement réponde de façon conforme.
Pour cette édition, les étudiants ont ainsi sollicité 115 responsables de traitement, dont 20 % appartiennent au secteur public et 80 % au secteur privé.
Soixante-quinze organismes ont réagi aux demandes qui leur ont été adressées, soit 65,2 % du panel. On observe toujours l’existence d’un « noyau » d’environ 35 % de responsables de traitement qui ne se sont visiblement pas mis en position de traiter de telles sollicitations. Les dernières sanctions pécuniaires de la CNIL (dont l’une d’un montant de quarante millions d’euros) ayant frappé des entreprises pour de telles non-conformités parviendront-elles à changer la donne ?
Sur les 75 organismes qui ont réagi, 68 l’ont fait en moins d’un mois (soit 59,1 % du total des 115 responsables de traitement - ce qui constitue l’Index AFCDP du droit d’accès pour 2023), qu’il faut comparer aux 50,7 % de 2023 et aux 45,9 % de 2022.

La qualité des réponses s’améliore également
Au-delà du respect des délais de réponse, les étudiants de l’ISEP se sont aussi intéressés à la conformité des réponses vis-à-vis du RGPD (La transmission des données était-elle sécurisée ? Les données transmises paraissaient-elles complètes ? Étaient-elles fournies sous une forme compréhensible ?).
Au total, de l’avis des participants du Mastère Spécialisé, trente-neuf des soixante-huit organismes ayant répondu dans les délais impartis ont obtenu une appréciation excellente ou satisfaisante. Ce nombre représente 40 % du panel (des 115 responsables de traitement sollicités), à comparer aux 32,3 % de 2023 et aux 22,2 % de 2022, ce qui marque une avancée notable.
Par ailleurs, dix-neuf organismes obtiennent une appréciation moyenne (soit 16,5 % du total des organismes testés) : il leur est principalement reproché de ne pas avoir fourni les informations complémentaires prévues par l’article 15 du RGPD.
Enfin, dix organismes écopent d’une mauvaise appréciation (soit 8,7 % du total). Parmi les reproches formulés à l’encontre de cette dernière catégorie figurent en première place l’incomplétude ou l’illisibilité des données fournies.

Mais toujours des cas problématiques
Comme les années précédentes, on relève des erreurs grossières dans le traitement des demandes de droit d’accès, comme la confusion avec une demande d’effacement (avec suppression du compte client) ou la communication de données relatives à un tiers (ce qui constitue une violation de données). Dans plusieurs cas, si l’organisme a bien pris soin de chiffrer les données avant de les transmettre... la personne concernée est restée dans l’impossibilité de déchiffrer l’envoi. Enfin, pour l’un des organismes sollicités, l’accès aux données n’est possible qu’avec une décision d’un juge (?). Notons que ce responsable de traitement n’a pas désigné de Délégué à la Protection des Données.
Comme chaque année, les étudiants ont également noté l’existence d’un effet déceptif dû à l’écart entre les promesses formulées par les organismes et la réalité. Si 68 des 115 organismes testés, de l’avis des étudiants de l’ISEP, proposent sur leur site Web une information claire et facile à trouver concernant les droits RGPD dont disposent les personnes concernées et la façon de les exercer, 18 d’entre eux n’ont jamais réagi à la demande de droit d’accès qui leur avait adressée.

Remerciements : Nous remercions les participants Mastère Spécialisé de l’ISEP pour leur implication. Délégués à la Protection des Données dans le cadre du RGPD, ils auront à cœur de mettre en place au sein de leur organisme les procédures permettant de répondre efficacement et de façon sécurisée aux demandes de droit d’accès exprimées par les personnes concernées.

Les Index AFCDP du droit d’accès sont publiés, depuis 2010, sur la page www.afcdp.net/index-du-droit-d-acces