Exercer son droit d'accès : un parcours semé d’embûches

Par Bruno RASLE • Expert RGPD - Formateur de DPO • 18 janvier 2023 •

En France, le droit qu'ont les personnes concernées à demander à avoir accès à leurs propres données personnelles date de 1978. Ce droit a été repris dans la directive 95/46/CE puis dans le RGPD, avec quelques évolutions. Pourtant, bien que vieux de plus de quarante ans, son respect par les responsables de traitement laisse toujours à désirer, comme le montre chaque année l'Index que publie l'AFCDP (Association qui regroupe les professionnels français de la Privacy). Qu'est-ce qui explique une telle situation ? Que faudrait-il faire pour que ce droit soit mieux respecté ?

Chaque année, des résultats décevants

Le 28 janvier 2010, à l’initiative de l’auteur, l'AFCDP dévoilait son tout premier « Index du Droit d'Accès ». Cet indicateur est basé sur les travaux des membres de la promotion du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel^[i] » de l'ISEP.

Dans le cadre de ce cursus, les participants – souvent des DPO en poste ou de futur Data Protection Officer - mènent plusieurs projets, dont l’un consiste à exercer leur droit d’accès. Confrontés ainsi à la réalité, il leur est demandé d’en tirer des enseignements pratiques et opérationnels afin que leur propre responsable de traitement réponde de façon conforme à l’article 15 du RGPD^[ii].

Pour ce tout premier Index, de l'avis des étudiants, moins de 20 % des réponses reçues avaient été jugées totalement satisfaisantes.

L’Index 2023 vient d'être publié par l’AFCDP à l'approche de la journée mondiale de la protection des données personnelles, et quelques jours avant l'Université AFCDP 2023 des DPO. Pour cette nouvelle édition, 136 responsables de traitement ont été sollicités durant l’année 2022 (dont 24,3 % du secteur public et 75,7 % du secteur privé).

Après une dégradation due aux perturbations engendrées dans les organismes à cause de la pandémie, les résultats reviennent sur les niveaux précédents : ainsi, le pourcentage des responsables de traitement sollicités ayant réagi remonte de 44,3 % à 65,5 % et un tiers des demandes (par rapport au total) ont été traitées de façon satisfaisante de l'avis des étudiants.

On voit donc que, malgré la présence plus fréquente de DPO au sein des entités testées et plus de quatre ans après l’entrée en application du RGPD, les résultats sont toujours décevants, malgré les sanctions infligées par les autorités de contrôle européennes^[iii].

Toujours les mêmes erreurs

Comme les années précédentes, l'exercice a donné lieu à quelques erreurs significatives du côté des responsables de traitement :

• Aucune réaction ni donnée fournie ... mais l'envoi d'un questionnaire de satisfaction suite à la demande !

• Après des échanges agréables et clairs avec l'entreprise, grosse déception : les données reçues sont incompréhensibles ;

• Un établissement de santé se contente de fournir la liste du type de données traitées (mais aucune des données en question) ;

• Parmi les informations fournies figurent des données de tiers ;

• Un acteur du secteur de la restauration rapide supprime le « Compte fidélité » après la demande d'accès ;

• Un acteur de l'électroménager communique un fichier chiffré, mais sans transmettre le code permettant d'en prendre connaissance (et ne répond à aucune relance) ;

• Un établissement de l'enseignement supérieur ne procède à aucune vérification d'identité et transmet de façon non sécurisée des données personnelles comprenant des références bancaires.

Index après Index, la collection de « perles » s'enrichit. En voici un florilège : « Il faudrait nous assigner en justice pour nous forcer à vous donner ces informations », « Nous sommes propriétaires des données et nous ne les communiquons pas », « Il s’agit des données de l’entreprise, je n’ai pas le droit de vous les transmettre », « Ces informations sont confidentielles et sont stockées sur des serveurs sécurisés. Je n’y ai pas accès et c’est trop compliqué de demander à chaque service de donner les informations », « Je tiens tout d'abord à vous rassurer quant au contenu de nos fichiers, ils ne comportent aucune donnée personnelle pris au sens étymologique du terme », « Voici le mot de passe que vous avez oublié » (en clair !), « Vous devriez être flatté de figurer dans notre base de données ! », « Nous n’avons aucune donnée bancaire vous concernant mais nous pouvons les modifier si vous le souhaitez », « Nous vous désinscrivons de notre lettre d’informations immédiatement ! », « Nous vous confirmons que nous avons bien vos données personnelles » (mais sans aucune transmission des données en question).

Et que dire également des constats suivants ?

• Une très grande entreprise du CAC40 se contente d’envoyer quelques photocopies, sans aucune lettre d’accompagnement, mais avec un post-it anonyme comportant ce simple mot : « Voilà ! » ;

• Un grand magasin laisse en copie le demandeur, qui, interloqué, assiste aux échanges d’emails internes et aux multiples « rebonds » entre les différents services, dont aucun ne veut se saisir de la demande ;

• Une banque retourne au demandeur son propre courrier, ouvert et inséré dans une autre enveloppe marquée d’un point d’interrogation, sans aucun courrier d’accompagnement ;

• Le bénévole d’une association caritative se dit outré de la demande : « Souhaitant limiter les dépenses de fonctionnement administratif de notre association, je réponds à votre lettre par un mail. N’ayant rien d’autre à ajouter, je vous prie de tirer vous-même la conclusion qu’il vous plaira concernant des frais que vous avez occasionnés à l’association par votre réclamation ».

Lors de l'exercice 2021, un GAFA qui propose un assistant domestique avait renvoyé à un étudiant plusieurs centaines de fichiers audio, correspondant chacun à un enregistrement vocal. Problème : plusieurs d'entre eux ne correspondaient pas à un ordre destiné à l'assistant, mais à des échanges privés, dont certains d'ordre intime.

De fréquentes déceptions de la part des personnes concernées

L’on retrouve, année après année, les mêmes réactions désabusées de la part des participants du Mastère spécialisé de l’ISEP : « On me renvoie sans arrêt d’un service à un autre… mais j’attends toujours la réponse », « Mes données m’ont été envoyées sans être sécurisée, dans un simple courriel », « La société n’a pas pris la précaution de vérifier mon identité – ce qui signifie qu’elle aurait pu transmettre mes données personnelles à un tiers », « La réaction première de l’entreprise était complètement à côté de la plaque. Ils ont compris que je voulais supprimer mon compte fidélité ! », « Ils ont interprété ma demande comme un souhait de suppression… du coup mon compte a été effacé et je n’ai plus accès à rien ! », « Leur site Web faisait très sérieux et leur mention d’information pouvait laisser croire à une certaine conformité. Malheureusement, il ne s’agit que d’une façade car elles ne sont pas mises en pratique : ce n’était en fait que de la poudre aux yeux », « La société s’est bornée à me renvoyer vers la CNIL. Veut-elle que j’adresse une plainte à cette dernière ? », « On me renvoie sur un sous-traitant qui ignore totalement ce qu’est une demande de droit d’accès au titre du RGPD », « Alors que j’avais joint la copie de ma carte d’identité, on m’a demandé une copie de mon passeport. Quand je leur ai indiqué que je n’en avais pas, ils m'ont répondu que ça ne suffisait pas pour justifier mon identité et donc qu'ils ne faisaient pas droit à ma demande ! », « Ce Gafa m’a envoyé un fichier. Quand j’ai voulu l’ouvrir, il a bloqué mon ordinateur ».

Le LINC (Laboratoire d'Innovation Numérique de la CNIL ) en a d'ailleurs fait un sujet d'étude et a décrit les principaux obstacles que doivent surmonter les personnes concernées pour exercer leurs droits RGPD dans son dossier « La protection des données est-elle un sport de riches ? », publié en février 2022.

La première difficulté (pour les demandeurs) consiste à identifier l’organisme ou l'entreprise à solliciter et à dénicher un moyen de contact. Pour un grand nombre des personnes interrogées par le LINC, cette étape est loin d’être triviale.

L’automatisation des services commerciaux en ligne est également perçue comme un obstacle supplémentaire, comme le confirme les étudiants de l'ISEP qui notent que, très souvent, si leurs demandes génèrent bien un accusé de réception qui assure de leur bonne réception de la demande et de leur prise en compte... elles ne sont suivies d'aucun résultat satisfaisant.

L’épreuve suivante consiste à attester de son identité. Cette étape est non seulement indispensable pour que le responsable de traitement puisse faire le lien entre le demandeur et les données de celui-ci dans son système d’information, mais également pour assurer la sécurité des données (un tiers pouvant vouloir obtenir les informations de façon indue). Trop souvent, les personnes sont invitées à envoyer par simple courriel un scan de leur pièce d’identité : si la sensibilité des données le demande, il vaut mieux privilégier la récupération de ce type de pièces par un canal sécurisé et ne les stocker que pour un temps limité (si cela s'avère nécessaire) qu'en basse résolution et en noir et blanc, pour éviter la réutilisation en cas de violation de données dans le cadre d’une usurpation d’identité.

Un droit inopérant ?

Malgré le risque de sanction, on voit donc que ce droit est largement inopérant. Cela s’explique en partie par la complexité de la gestion des demandes de droits d’accès au sein de la plupart des entreprises. À l’exception des acteurs qui ont conçu dès l’origine leur système d’information pour pouvoir localiser, regrouper et produire toutes les données relatives à une même personne au sein de leurs applications (voir même les mettre directement à la disposition des personnes concernées, l’une des caractéristiques du Self Data^[iv]), le traitement de la moindre demande exige au bas mot quatre jours/hommes.

Il convient en effet, successivement, de « qualifier » la demande, de vérifier qu’une assurance raisonnable de l’identité du demandeur est obtenue, de localiser les données au sein des multiples ressources informatiques^[v], de les structurer et les documenter (il convient d’indiquer les finalités poursuivies, les destinataires, les durées de conservation, etc.), de rendre les données intelligibles, de purger les données de tiers, de formuler un courrier de réponse (et de le faire signer par le responsable de traitement, si c’est l’option prévue par la procédure ad hoc), de faire parvenir la réponse selon une procédure en assurant la sécurité, de veiller au respect du temps imparti et enfin de conserver les traces d’une bonne diligence en cas de plainte ultérieure.

Ce parcours nécessite maintes décisions. Que faire dans le demandeur joint une très mauvaise copie d’une pièce d’identité périmée depuis plus de vingt ans ? Que faire d’une demande rédigée en langue étrangère ? Faut-il « aiguiller » les demandeurs vers un canal privilégié (et si oui, lequel) ? Comment distinguer une demande exprimée au titre du RGPD d’une exprimée au titre du CRPA^[vi] ? Comment juger du caractère « complexe » ou « abusif » d’une demande ? Que faire dans le demandeur exige que les données lui soient transmises par simple courriel, sans aucun chiffrement, mettant ainsi les données en danger ?

La situation la plus inconfortable pour un responsable de traitement est de ne trouver aucune donnée relative au demandeur. La recherche était-elle inefficace ou bien, effectivement, l’organisme ne détient réellement pas d’information (elle n’en a jamais détenu ou bien les a purgées à l’atteinte des durées de conservation) ?

Année après année, les étudiants de l’ISEP ont également constaté les freins spécifiques à l’exercice du droit d’accès sur place. Lors de la toute première promotion, un participant avait choisi de se rendre à l’accueil de la grande surface dans laquelle il faisait ses courses depuis plus d’une dizaine d’années. Il a rapidement rebroussé chemin quand, face à sa demande, son interlocuteur visiblement agacé par la démarche l’a menacé d’appeler les vigiles avec leur chiens… Lors du dernier exercice, une agence bancaire, confrontée à une demande sur place, a refusé tout simplement de la prendre en compte.

Quelques recommandations pour les Responsables de traitement

Les pistes d’amélioration sont nombreuses.

En amont, en voici quelques-unes : n’essayez pas de rendre difficile le droit d’accès, soyez clair dans la démarche que doit suivre la personne, réfléchissez au droit d’accès sur place, préparez- vous pour moins de stress et moins d’erreur, formalisez une procédure^[vii] connue de tous (impliquez vos services courrier, relations clients, réclamations, médiation et gestion des contentieux), créez la possibilité pour les personnes concernées d’accéder de façon autonome et sécurisée à une partie de leurs propres données (cela peut réduire le nombre de demandes), aiguillez les demandes vers le media qui correspond le mieux à votre organisation (mais en laissant toujours la possibilité aux personnes d’utiliser un autre canal, de leur choix), obtenez de vos chefs de projets l’intégration dans toute nouvelle application d’une fonction ou d’un bouton « droit d’accès »^[viii], développez un assistant digital qui réalise la collecte des données au sein des « anciens » applicatifs qui ne sont pas équipés d’une fonction native « droit d’accès » (et ne seront sans doute jamais), formalisez un « lexique » qui peut être joint à la réponse pour rendre celle-ci intelligible, obtenez la purge des données afin de réduire le volume de données à transmettre.

Vous pouvez aussi étudier prudemment la possibilité de créer un formulaire permettant de faciliter la qualification des demandes de droit d’accès … mais attention à l’explosion du nombre de demandes à traiter. La nature ayant horreur du vide, il est observé un réflexe de Pavlov chez tout internaute en face d’un formulaire : il a tendance à le remplir… Commencez déjà par traiter correctement les demandes qui vous parviennent aujourd’hui avant « d’ouvrir le robinet ».

Lors de la réception d’une demande, trouvez le bon équilibre qui vous permet d’obtenir une assurance raisonnable que le demandeur est bien la personne qu’elle prétend être, ne répondez pas dans la précipitation mais bien (et de façon sécurisée), aidez les directions chargées de collecter les données en leur fournissant la liste des ressources dans lesquelles devraient se trouver les données (on voit ici un lien avec le registre des traitements tenus au titre de l’article 30 du RGPD), mettez à disposition de vos collègues des outils ou des meilleures pratiques pour masquer les données de tiers, privilégiez la mise à disposition de la réponse selon une modalité qui assure à la fois la sécurisation des données, la simplicité pour le demandeur et la traçabilité de la preuve d’un traitement adéquat de la demande (par exemple par un dépôt sous forme chiffrée dans une plate-forme d’échange immunisée contre les lois extracommunautaires, avec notifications du destinataire et de l’expéditeur).

L’apport du DPO est crucial

Comme dans tant d’autres points de conformité au RGPD, le rôle du Délégué à la Protection des Données est capital. Sa priorité est de convaincre les directions métier concernées qu’il faut positiver et qu’elles tiennent là une opportunité de contact avec l’un de ses clients ou prospects (probablement mécontent, raison de plus pour traiter sa demande avec soin pour le ramener à de meilleures dispositions).

Le DPO s’assurera de la présence d’informations claires et pertinentes permettant l’exercice de ce droit. Il peut aussi se livrer à une analyse de la façon dont les demandes sont actuellement traitées^[ix], afin d’identifier les étapes qui pourraient être optimisées, mieux outillées, mutualisées (voire sous-traitées). Naturellement, en l’absence de procédure, il doit en piloter la genèse en l’étendant à tous les autres droits RGPD. La publication de ce référentiel sera l’occasion de sensibiliser le personnel (y compris ceux des accueils physiques).

Doit-il recevoir et traiter lui-même les demandes ? Cela dépend de la procédure conçue pour correspondre aux caractéristiques de l’organisme. A minima, il doit veiller au respect des délais et à la conformité des réponses, agir en soutien des opérationnels, vérifier l’absence d’un abus au recours des « deux mois » supplémentaires en cas de demandes complexes, voire de la qualification trop rapide en « demande abusive ».

Il est utile enfin qu’il conçoive des indicateurs pertinents (un « observatoire du droit d’accès ») et crée un chapitre dédié dans son bilan annuel.

Si l’organisme manque de motivation, on peut rappeler qu’une mauvaise gestion des demandes de droits d’accès débouche souvent sur des plaintes de la part des personnes concernées auprès de la CNIL, ce qui peut déclencher des saisines de la part de l’autorité, voire des contrôles. Et, au bout de certains contrôles, une décision désagréable possible. Traiter correctement les demandes de droits RGPD revient donc à réduire l’exposition aux risques de sanctions de la part de la CNIL.

Formations en relation avec cet article :

Délégué à la protection des données

Préparation à la Certification DPO

---

[i] Il s’agit de la plus ancienne formation diplômante d'Europe, conçue dès 2007 pour les professionnels de la Privacy (L'ISEP a le statut de grande école).

[ii] Dans son numéro 475 de novembre 2009, le magazine Que Choisir avait publié un article intitulé « Une majorité de hors-la-loi ». Les membres de la rédaction avaient exercé leur droit d'accès auprès de 106 entreprises et administrations : 40 d'entre elles n'avaient donné lieu à aucun retour et les réponses obtenues étaient jugées « plus ou moins lacunaires ». L'article attribuait la palme du laconisme au Monde interactif : « Bonjour, vous avez un compte créé le 27.2.2002 ».

[iii] Pour la France et le millésime 2022, on se souvient notamment de la sanction pécuniaire d'un million d'euros qui a frappé un acteur du secteur de l'énergie pour, entre autres, un non-respect du droit d'accès (Délibération SAN-2022-011 du 23 juin 2022). Notons également que, parmi les quatre premières décisions prononcées dans le cadre de la nouvelle procédure simplifiée de sanction, deux concernent des médecins qui n'avaient pas respecté le droit d'accès (amende de 5.000 euros et injonction sous astreinte dans les deux cas).

[iv] Le Self Data se définit comme « la production, l’exploitation et le partage de données personnelles par les individus, sous leur contrôle et à leurs propres fins ». Le concept a été développé par la FING dans le cadre du programme d’exploration MesInfos. D’autres initiatives existent en Europe et aux Etats-Unis. (Source Wikipedia)

[vi] Code des Relations entre les Particuliers et l’Administration (qui a codifié la loi CADA d’accès aux documents administratifs). DPO et PRADA (Personne Responsable de l’Accès aux Documents Administratifs) doivent dont s’entendre pour concevoir une procédure commune (ou des procédures complémentaires).

[vii] Il serait judicieux d'attendre la publication des lignes directrices du CEPD, qui devrait paraitre prochainement après la prise en compte des contributions publiques (Cf. https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-012022-data-subject-rights-right_fr)

[viii] L’auteur en profite pour saluer la mémoire de Dominique CHAUMET, désigné CIL de la RATP dès 2007. Il avait, le premier, émis le souhait que toute nouvelle application en cours de développement soit dotée d'une fonction automatisant la recherche et le « regroupement » de toutes les données personnelles relatives au demandeur. Un bel exemple de Privacy by Design avant l'heure. A minima, il convient qu’un dictionnaire de données digne de ce nom soit mis en œuvre et respecté au sein du système d’informations.

[ix] Au-delà de l’analyse, le DPO peut faire réaliser un audit. Courant 2020, l'auteur a fait réaliser une prestation afin d’objectiver la façon dont les demandes de droit d'accès étaient traitées par la centaine de responsables de traitement pour lesquels il était désigné DPO. Les objectifs étaient d’identifier les bonnes pratiques et les points devant être corrigés, et de dresser un plan d’action pour optimiser ce qui pouvait l’être. Le but était également de rendre plus efficiente, plus « légère », la gestion de telles demandes, qui représente une charge considérable. Cette prestation ambitieuse a combiné clients « mystère », audits sur site, interviews de Relais Informatique et Libertés (volet « Quali ») et sondage (volet « Quanti »). Il a partagé avec ses pairs les enseignements de cette campagne lors de l'Université AFCDP des DPO 2021 (Intervention « Gérons-nous correctement les demandes de droit d’accès ? »).