C’est à cette occasion que l’association française représentative de la profession de CIL (Correspondant Informatique et Libertés) dévoile son tout premier « Index AFCDP du Droit d’Accès ».

Celui-ci est basé sur les travaux effectués par les participants du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » dispensé par l’ISEP . Dans le cadre de ce cursus, les élèves mènent plusieurs projets, dont l’un consiste à exercer leur droit d’accès. La promotion 2008-2009, sous la direction de Mme Claire Levallois-Barth, docteur en droit et enseignant-chercheur à Télécom ParisTech, a ainsi sollicité 207 organismes, privés et publics.

Plus de 63% des entités sollicitées ont répondu dans les deux mois impartis par le cadre légal .

Rappelons qu’en avril 2009 la Cnil a prononcé une sanction pécuniaire de 7.000 euros rendue publique à l’encontre d’un fournisseur d’accès à internet qui n’avait répondu que partiellement aux demandes répétées d’une cliente souhaitant accéder à l’ensemble de ses informations personnelles détenues par la société .

Ce chiffre de 63% cache des disparités importantes : Le secteur Internet/Réseaux sociaux est en queue de peloton (28%), tandis que les secteurs Assurances/Mutuelles et Commerce/Grande distribution se distinguent par les meilleurs taux de réponse (respectivement 75 et 71%).

La taille de l’organisme sollicité ne semble pas un facteur discriminant : de grands acteurs n’apportent aucune réponse pertinente à la demande, alors même que des accusés de réception sont envoyés pour faire patienter la personne, voire même qu’ils poursuivent l’envoi de messages publicitaires.

L’AFCDP note avec satisfaction que les entités ayant désigné un CIL répondent aux demandes exprimées (taux de réponse de 80%), dans les temps et avec la qualité souhaitée.

Il faut toutefois ajouter que, pour la première version de cet Index, nulle mention n’est faite du degré de conformité de ces réponses .

Ainsi plusieurs retours montrent une totale incompréhension de la demande, comme ce fournisseur d’accès à Internet qui traite le courrier comme une demande de support technique, cette mutuelle qui retourne le code d’accès et l’identifiant INSEE servant à se connecter à son site internet ou cet organe de presse qui se borne à indiquer la date de fin d’un abonnement.

Au total, de l’avis des membres du Mastère Spécialisé, moins de 20% des réponses reçues ont été jugées totalement satisfaisantes.

Que dire, par exemple, des réponses suivantes ?

 « Nous vous désinscrivons de notre lettre d’informations immédiatement ! » (Biens culturels)
 « Vous avez un problème avec votre abonnement ? » (Télévision)
 « Voici le nombre de points de retraite que vous avez acquis » (Mutuelle)
 « Nous sommes propriétaires des données et nous ne les communiquons pas » (Energie et secteur automobile)
 « Voici le mot de passe que vous avez oublié » (en clair !) (Services et Transports)
 « Nous n’avons aucune donnée bancaire vous concernant mais nous pouvons les modifier » (Biens culturels)
 « Il faudrait nous assigner en justice pour nous forcer à vous donner ces informations » (Réseau social)

Plusieurs entités ont également révélé dans leur courrier des éléments qui pourraient leur être reprochés, comme des durées de conservation illimitée tandis qu’un acteur de la Net-économie a retourné les données personnelles… d’un homonyme. La civilité indiquée dans le fichier des passeports d’une Mairie de la petite couronne n’était pas la bonne.

Si l’exercice s’est focalisé sur des organismes basés en France, quelques demandes ont été adressées à l’étranger, avec des résultats forts décevants, notamment concernant deux entités britanniques qui, après avoir demandé et reçu une contribution d’une dizaine de livres Sterling, n’ont jamais répondu. Une seule structure française a demandé une participation financière préalablement à la fourniture des informations demandées, ce qui est tout à fait autorisé si son montant ne dépasse pas les frais de reproduction.

Ces résultats sont à comparer avec ceux de l’étude similaire effectuée par l’Union Fédérale des Consommateurs et dont les résultats ont été publiés dans le n° 475 (novembre 2009) du magazine Que Choisir. Sur 106 demandes adressées, 55 réponses avaient été reçues (souvent lacunaires), 40 lettres étaient restées sans réponse et 11 entités avaient refusé de fournir les informations demandées ou avaient répondu « à côté de la plaque » (sic).

Ce premier Index AFCDP du droit d’accès ne porte strictement que sur le pourcentage d’organismes ayant répondu à la demande de droit d’accès dans les deux mois. La méthodologie appliquée actuellement par la promotion 2009-2010 de l’ISEP permettra – à l’occasion de la publication de l’Index suivant, en janvier 2011 – de disposer en sus des précisions par secteur d’activité, des tendances et du degré de conformité des réponses.

En savoir plus :

 Claire LEVALLOIS-BARTH, Secrétaire Générale de l’AFCDP, Secretaire-generale[signeAT]afcdp.net
 Bruno RASLE, Délégué Général de l’AFCDP, charge-mission[signe AT]afcdp.net

Le Droit d’accès direct

Au titre de la Loi dite « Informatique et Libertés » (article 39) et du Décret n°2005-1309 du 20 octobre 2005 modifié par le décret n°2007-451 du 25 mars 2007, l’un des tous premiers droits des personnes est le droit d’accès.

Toute personne justifiant de son identité a ainsi le droit d’interroger le responsable d’un fichier ou d’un traitement de données personnelles pour savoir s’il détient des informations sur elle, et le cas échéant d’en obtenir communication.

En exerçant son droit d’accès, la personne peut s’informer :
 des finalités du traitement,
 du type de données enregistrées,
 de l’origine et des destinataires des données,
 des éventuels transferts de ces informations vers des pays n’appartenant pas à l’Union Européenne.

Elle peut en outre obtenir des explications sur le procédé informatique qui a contribué à produire une décision la concernant (scoring, segmentation, profil …).

L’exercice du droit d’accès permet de contrôler l’exactitude des données et, au besoin, de les faire rectifier ou effacer.

Le Responsable du Traitement doit répondre…
 après s’être assuré de l’identité du demandeur ;
 sous deux mois (« Le silence gardé pendant plus de deux mois par le responsable du traitement sur une demande vaut décision de refus ») ;
 complètement ;
 clairement ;
 gratuitement (« Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d’une somme qui ne peut excéder le coût de la reproduction »).

Quelles informations fournir ?
 Les données fournies par la personne… mais pas seulement ;
 Les données créées par l’organisme, avec grille de lecture si besoin ;
 Le contenu de la zone de libre commentaire (bloc-notes) ;
 et plus si demandé : La logique et les caractéristiques du traitement ; L’origine des données ; Les éventuels destinataires des données.

Le rôle du Correspondant Informatique et Libertés (CIL) concernant le droit d’accès :
 organiser la gestion des droits des personnes ;
 sensibiliser et former le personnel ;
 superviser (au besoin, valider les réponses) ;
 concevoir des indicateurs pertinents ;
 reporter le suivi de la gestion du droit d’accès dans son bilan annuel.

Quelques recommandations pour les Responsables de traitements :
 Préparez vous pour moins de stress et moins d’erreur ;
 N’essayez pas de rendre difficile le droit d’accès ;
 Privilégiez le courrier postal qui permet de vérifier l’identité du demandeur ;
 Soyez clair dans la démarche que doit suivre la personne ;
 Impliquez vos services courrier, relations clients, réclamations et litiges, etc.
 Réfléchissez au droit d’accès sur place ;
 Ne répondez pas trop vite, mais bien (et de façon sécurisé) ;
 Positivez : vous tenez là une opportunité de contact avec l’un de vos clients.