Droit d'accès : la mauvaise excuse du Covid invoquée pour ne pas respecter le RGPD
L'AFCDP vient de publier son Index AFCDP 2022 du droit d'accès dont les résultats sont encore plus désolants cette année, avec la mauvaise excuse de la crise sanitaire.
PublicitéLa réglementation sur la protection des données personnelles inclut depuis l'origine (en France, la loi dite « Informatique et Libertés » date du 6 janvier 1978 !) un droit d'accès par chaque personne concernée. Le RGPD (Règlement Général européen sur la Protection des Données à caractère personnel) a renforcé cette obligation. Mais force est de constater, année après année, qu'il y a une différence entre une obligation et le respect de celle-ci. Depuis 2010, l'AFCDP publie une étude barométrique baptisée « Index AFCDP du droit d'accès ». Cette association des professionnels de la protection des données personnelles ne peut que constater les innombrables manquements de services importants (ceux qui sont testés). L'édition 2022 de l'Index comprend des résultats particulièrement mauvais que l'AFCDP impute en partie à la crise sanitaire qui a désorganisé certains services.
L'absence totale de réaction à une demande d'accès aux données personnelles concernant le demandeur est encore fréquente : 43,2 % cette année (l'étude a été faite fin 2021) contre 55,7 % en 2020 (en pleine crise sanitaire, Index AFCDP 2021) mais 29,3 % en 2019. 45,9 % ont réagi dans le délai légal, c'est à dire en moins d'un mois (44,3 % et 70,7 % respectivement en 2019 et 2020). 85 % de ceux n'ayant pas répondu ont pourtant désigné un DPO ! La conformité de la réponse est également très mauvaise : 22,2 % de réponses conformes et dans les délais. Tous ces « bons élèves », à une exception près, disposent d'un DPO. La présence ou l'absence d'un DPO ne semble donc pas influer sur la qualité de la réponse.
Les anecdotes rapportées par l'AFCDP font frémir. Ainsi, une compagnie de taxi et un service public ont même confondu la demande d'accès avec une demande d'effacement ! Une compagnie aérienne a confondu le demandeur avec un homonyme. Un magasin de jeux vidéo a répondu avec un bon d'achat (mais sans les données !). Et l'AFCDP indique : « un GAFA, qui vend des assistants vocaux domestiques, a renvoyé plusieurs centaines de fichiers correspondant chacun à un enregistrement vocal. Problème : plusieurs d'entre eux ne correspondaient pas à un ordre destiné à l'assistant, mais correspondaient à des échanges privés, dont certains d'ordre intime. »
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire