L’Index du droit d’accès

Données personnelles - Index AFCDP 2019 du Droit d’accès

Communiqué de presse dans son intégralité

60,3 % des entités sollicitées ont répondu dans les deux mois impartis par l’ancien cadre légal, ce qui représente une nette amélioration

Quelques jours avant sa grande conférence annuelle (l’Université AFCDP des DPO, qui se tiendra le 16 janvier 2019 à la Maison de la Chimie, à Paris), l’AFCDP, association qui regroupe les DPO, publie son Index annuel du Droit d’accès. Au titre de la loi Informatique & Libertés, chacun peut demander à accéder à ses données personnelles. L’édition 2019 montre une meilleure prise en compte du droit des personnes. Mais qu’en sera-t-il l’an prochain, avec l’application des règles plus strictes imposées par le RGPD ?

Cet indicateur est basé sur les travaux effectués par les membres du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l’ISEP (Institut Supérieur d’Electronique de Paris, grande école).

Dans le cadre de ce cursus, les participants – souvent des Data Protection Officer en poste ou des professionnels amenés à l’être - mènent plusieurs projets, dont l’un consiste à exercer leur droit d’accès. Confrontés ainsi à la réalité, il leur est demandé d’en tirer des enseignements pratiques et opérationnels afin que leur propre responsable de traitement réponde de façon conforme.

La promotion 2017-2018 a ainsi sollicité 126 organismes (80 % privés et 20 % publics) entre novembre 2017 et févier 2018, avant l’entrée en application du RGPD (les responsables de traitement avaient donc encore deux mois pour répondre aux demandes).

Index AFCDP 2017 du Droit d’accès : seuls 52,4 % des entités sollicitées ont répondu dans les deux mois impartis par le cadre légal

Le 26 janvier 2017, l’AFCDP publie sa mesure de l’effectivité de ce droit. Après les progrès observés les premières années, l’édition 2017 montre que les résultats stagnent, alors même que les exigences vont prochainement être renforcées dans le cadre du règlement européen qui s’applique à partir du 25 mai 2018.

« Alors que nos indicateurs montraient de réels progrès ces dernières années – mais il est vrai que nous partions de très loin – nous observons une stagnation dans le millésime 2017 : il reste toujours un trop fort pourcentage d’entreprises et d’organismes qui ne savent visiblement pas quoi faire des demandes de droits d’accès, et le taux des responsables de traitement qui répondent dans les délais et de façon satisfaisante plafonne en dessous des 40 % » déclare Bruno Rasle, Délégué général de l’AFCDP et pilote de l’Index.

Extraits du communiqué joint :

  • Un « noyau dur », d’environ 40 % des entreprises, fait le mort
  • 36,6 % des organismes sollicités ont fait une réponse conforme au droit, jugée satisfaisante ou très satisfaisante, dont le respect du délai de deux mois (contre 37,4 % pour l’index précédent).
  • Un droit appelé à être renforcé et homogénéisé dans le cadre du RGPD

… et quelques « spécificités » de l’Index 2017 :

  • « Ils refusent de me fournir les données en l’absence de procédure judiciaire ! »
  • « On me renvoie sans arrêt d’un service à un autre… mais j’attends toujours la réponse »
  • « Mes données m’ont été envoyées sans être sécurisée, dans un simple courriel »
  • « La société n’a pas pris la précaution de vérifier mon identité – ce qui signifie qu’elle aurait pu transmettre mes données personnelles à un tiers, à mon insu… »
  • « La réaction première de l’entreprise – qui n’a pas de CIL - était complètement « à côté de la plaque ». Ils ont compris que je voulais supprimer mon compte fidélité ! Après explications, ils m’ont assuré faire le nécessaire, mais, au final, je n’ai jamais reçu les données attendues »
  • « Ils ont interprété ma demande comme un souhait de suppression… du coup mon compte a été effacé et je n’ai plus accès à rien ! »
  • « Leur site Web faisait très sérieux et leur mention d’information pouvait laisser croire à une certaine conformité. Ce n’était en fait que de la poudre aux yeux »

Index AFCDP 2015 du Droit d’accès : les résultats plafonnent

Le 26 janvier 2015, à l’occasion de la journée mondiale de la vie privée, l’AFCDP publie son Index annuel du droit d’accès. Après les progrès observés les années précédentes, l’édition 2015 montre que les résultats stagnent alors même que les exigences vont prochainement être renforcées dans le cadre du futur règlement européen.

Au total, de l’avis des membres du Mastère Spécialisé « Management et Protection des Données Personnelles », 37,4 % des organismes sollicités ont fait une réponse conforme au droit, jugée satisfaisante ou très satisfaisante, dont le respect du délai de deux mois. Cet indicateur, qui avait fortement progressé ces dernières années, passant de 18 % en 2010 à 41 % l’an dernier, semble donc se stabiliser sur la barre des 40 %.

Découvrez dans le communiqué de presse :

  • les résultats pour 2015
  • les différences qui existent avec nos voisins européens
  • les spécificités de l’Index 2015 (Une grande banque retourne au demandeur son propre courrier, ouvert et inséré dans une autre enveloppe marquée d’un point d’interrogation, sans aucun courrier d’accompagnement ; Un fabricant de matériel informatique commence par exiger la fourniture des numéros de série des appareils en possession du demandeur ; Un établissement bancaire auprès duquel le demandeur possède plusieurs comptes depuis plus de trente ans, a fourni la réponse suivante : « Voici les données que nous avons concernant votre personne » et s’est contenté de recopier les données figurant sur la pièce d’identité transmise…).
  • une vulgarisation du droit d’accès aux données personnelles au titre de la loi Informatique et Libertés

Index AFCDP 2014 du Droit d’accès : Nette amélioration

Le 27 janvier 2014, l’AFCDP publie son Index annuel du droit d’accès dans le cadre de sa participation à l’initiative « Education au Numérique, Grande cause nationale 2014 ».

L’édition 2014 montre un net progrès. En effet, 41% des organismes sollicités ont fait une réponse conforme au droit. Même s’il reste une marge de progression importante, cet indicateur montre un net progrès par rapport aux relevés des années précédentes (il était de 18% en 2010, lors de la 1ère édition).

La promotion 2012-2013 du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l’ISEP a sollicité 224 organismes, privés et publics (contre 207, 226 et 198 les années précédentes).

57 % des entités sollicitées ont répondu dans les deux mois impartis par le cadre légal.

Sur les 224 organismes contactés, 72 % ont réagi, ce qui marque une nette progression par rapport à l’année précédente et un retour sur les niveaux des Index précédents. Mais « réagir » ne veut pas dire respecter ses obligations légales. En effet, pour être valide, la réponse doit parvenir en moins de deux mois, ce qui n’était pas le cas de trente réponses. Les participants du Mastère Spécialisé « Informatique et Libertés » de l’ISEP ont donc jugé du degré de conformité des réponses obtenues dans les deux mois.

L’Index s’intéresse également cette année à la façon dont le droit d’accès est géré chez nos voisins européens (voir le communiqué de presse).


English On the occasion of Data Privacy Day, the French Data Privacy Officer Association publishes its Index of the right of access 2014, significantly improved. Download the press release

Under the French Data Protection law, each data subject has a right of access on his personal data. The AFCDP publishes its annual measure of the effectiveness of that right. The answers that can be expected have steadily improved : 41% of organizations solicited have made a reply complying with the law. This indicator shows a clear progress when compared to previous surveys (from 18% in 2010, to 20% and 30% from the previous years).

The Data Privacy Day is an initiative of the Council of Europe with the support of the European Commission, who solemnly proclaimed the 28th of January of each year “Data Privacy Day”. In 2009 USA and Canada joined the initiative, with one goal : raising the public’s awareness of their rights to promote the protection of their personal data and the respect of the fundamental rights and freedoms of natural persons, and in particular the right to privacy.

In this context, the French DPO Association unveiled in January 2010 its first « AFCDPs index of the right of access ». The association publishes today the fourth edition of the Index, in partnership with the Paris High School ISEP.

This index is based on the work completed by the participants of the European Master’s Degree in « Management and Personal Data Protection » delivered by ISEP since seven years. Into their course work, the students have many projects underway, one of which is to exercise their rights of access.

The promotion 2012-2013 has therefore requested 224 private and public sector bodies.

In conformance with the so-called « Informatique et Libertés » law (Article 39), any natural person providing proof of identity is entitled to ask the data controller of personal data in order to know if he detains information on her, and where applicable, to be provided with the relevant material.

The students exercised their right of access on the spot and by post (or email) nearby organisms with which they felt likely the fact that these are holders of personal data relating to them and covering daily life of citizens in all their aspects : employment/training, housing, banking and insurance, trade, health care, information and communication society, public administrations…

If that Index does not pretend to be representative of all companies, however it corresponds to the organizations which had more frequent contact with the public. In its nature, the sample is reasonably comparable from one year to the other (same sectors of activity) and the method implemented is the same.

57% of the tested entities replied within two months :

On the 224 contacted organisations, 72% reacted, that indicates a marked increase compared with the previous year and a return to levels experienced in the first few index.

But « react » does not mean to fulfill its legal obligations. In fact, to be valid, the reply must be received within two months.

Index AFCDP 2014 of the right of access : 57% of required entities replied within the two months allowed in the legal framework.

Only 1% of organizations that have been asked a few euros financial contribution (most often the amount is announced to cover postage cost, when the legislation clearly stipulates that the possibility to charge a fee is only to cover the expenses of reproduction).

More responses comply with the French Personal Data Protection Law :

However reply within the two months required doesn’t mean that the reply complies with the law. The ISEP Master degree participants have determined the level of compliance of the responses.

In their opinion, 41% of required organizations made a reply complying with the law. (in blue on the above diagram).

This indicator shows a clear progress with respect to the previous years (coming from 18% in 2010).

The « specificities » of the Index 2014

The members of Masters’ ISEP 2012-2013 found that :

  • A requestor was threatened by the enterprise solicited … expressing a strong dissatisfaction to be disturbed and disregarding visibly the French data protection law !
  • A big bank is unable to find any data regarding… one of his loyal customer.
  • A magazine of the press consumer oriented wrongly interprets the request as referring to a subscription.
  • A very large international undertaking of the CAC40 index firms content itself with sending some copies, without any cover letter, but with an anonymous post-It involving the words : « These are ! »
  • A department store, unprepared to such exercises, put in copy the applicant, who attended amused to the internal e-mail exchanges, and « multi-bounds » between the various services, which no one wanted hear the request.
  • Several hospitals have made the confusion with request of access to the medical file – paid access – … and rushed to enclose an invoice in sending !

BUT…

  • A bank (The Crédit Agricole des Savoies) communicates the scoring and offered to reimburse the postal costs paid by the applicant.
  • The Secours Catholique was fully compliant in its answer and set out the procedure to be followed to take advantage of the Robinson list (avoiding receiving any marketing message).
  • Amazon Luxembourg addresses a recommended letter with acknowledgement of receipt announcing the sending of a crypted CD – that mail includes passwords to access to the file and read the records. The CD is also received in recommended letter with acknowledgement of receipt.

It was also observed that in Poland, in order to limit abusive requests, data subject can only sent one request every six months to the same data controller. Spain adopted the same principle, but with an interval of 12 months. In Belgium, the time limit for responding is 45 days, 40 in United-Kingdom, 15 in Italy and 4 weeks in Denmark (compared with two months in France). The Greece, the Spain and Sweden impose to the data controller the systematic communication of the origin of the data processed. The British and Italian data controllers may charge a fee even if no data has been found.

The ISEP class has also raised many interesting practices used by the tested organizations in order to verify the identity of the applicant : Apple requests informations that are considered to be known only by the data subject, for Amazon a form must be completed and returned. To be noted, in United-Kingdom, the Data Protection act does not foresees explicitly the need to verify the applicant’s identity.

Concerning the same subject matter of the applicant’s identity checks (It shall be avoided to deliver personal data to unauthorized third persons), the class considered usefully the question of the specific case of the requests made by a divorced parent. How a data controller can know if the applicant is a custodial or non-custodial parent ?

Among the reasons of negative judgment communicated by the « testers » there are : a total lack of understanding of the request ; a lack of verification of the applicant’s identity ; the data collection of irrelevant data ; the provision of personal data of others ; incomplete nor incomprehensible responses ; retention periods irrelevant regarding the purpose of the processing.

We have to note in addition at this stage the difficulty - too often - to find clear information on the organizations’ website how to exercise the right of access.

Many also are the organizations whose collaborators in charge of to process these requests and become startled or who admit to being incompetent for that.

We remind that in April 2009 the CNIL (French Data Protection Authority) imposed a fine of 7.000 € made available to the public inimical of an ISP who just replied partially to the requests of a customer interested in accessing to all of her personal data.

To know more : Bruno RASLE, Delegate General of the AFCDP, / +33 (0)6 12 34 08 84

Thanks : Thanks to the students 2012-2013 of the Master Degree ISEP for their involvement. DPOs of the future, they will be committed to implement in their organizations the procedures to reach a reply effectively and securely to the requests of access of the data subjects.

We especially thank Claire Levallois-Barth, Doctor of law and teaching researcher at Télécom ParisTech, who led the research of the students regarding the right of access, Denis Beautier, responsible for the « Mastères Spécialisés » of ISEP for the considerable project support given, Flavia Caloprisco and Corentin Hellendorf for their help.

That Index was based on an original idea of Bruno Rasle, AFCDP’s Delegate General.

Index AFCDP 2013 du Droit d’accès

Le 24 janvier 2013, à l’occasion de la journée mondiale de la vie privée (Data Privacy Day) l’AFCDP publie son Index du droit d’accès 2013.

Bien que le taux de retour soit en baisse, la conformité des réponses obtenues marque une nette amélioration : 30 % des organismes sollicités ont fait une réponse conforme au droit. Cet indicateur montre un clair progrès par rapport aux relevés des années précédentes (18 % et 20 % pour les Index précédents), mais laisse aussi apparaître une marge d’amélioration importante.

La promotion 2011-2012 du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l’ISEP a sollicité 198 organismes, privés et publics (contre 226 et 207 et l’année précédente).

Sur les 198 organismes contactés, seuls 92 ont réagi (soit 46,5 %), ce qui marque une dégradation par rapport aux relevés précédents. 44 % des entités sollicitées ont répondu dans les deux mois impartis par le cadre légal. Ce nombre montre une forte baisse du taux de retour par rapport aux 63% obtenus lors du précédent Index. Mais, au total, seuls 30 % des organismes sollicités ont fait une réponse conforme au droit. Cet indicateur montre un clair progrès par rapport aux relevés des années précédentes (18 % et 20 % pour les Index précédents), mais aussi une marge d’amélioration importante.

Parmi les raisons du jugement porté par les « testeurs » on trouve :

  • une totale incompréhension de leur demande ;
  • une absence de vérification de l’identité du demandeur ;
  • la collecte de données non pertinentes ;
  • la fourniture de données personnelles relatives à d’autres personnes ;
  • des réponses incomplètes ou incompréhensibles ;
  • des durées de conservation non-adéquates avec la finalité du traitement.

Notons également à ce stade la difficulté trop souvent éprouvée à trouver de l’information sur le site Web des organismes pour exercer son droit d’accès. Nombreux également sont les organismes dont les collaborateurs chargés de traiter ces demandes se montrent étonnés ou s’avouent incompétents sur ce sujet. Signalons un seul cas de posture jugée « agressive ».

Download the press release translated to english here

Index AFCDP 2011 du Droit d’Accès aux données personnelles

Le 28 janvier 2011, l’AFCDP publie son Index du droit d’accès 2011.

C’est à cette occasion que l’association française représentative de la profession de CIL (Correspondant Informatique et Libertés) a dévoilé l’an dernier son tout premier « Index AFCDP du Droit d’Accès ». La promotion 2009-2010 du Mastère Spécialisé de l’ISEP a sollicité 226 organismes, privés et publics (contre 207 l’an dernier).

69 % des entités sollicitées ont répondu dans les deux mois impartis par le cadre légal.

Ce nombre montre une légère progression par rapport aux 63 % obtenus l’an dernier.

Ce nombre de 69 % cache des disparités importantes : si l’on note un taux de réponse dans les deux mois requis très légèrement supérieur pour les organismes du secteur public (71 %) par rapport aux entreprises du secteur privé, on remarque que se distinguent les secteurs Banques/Activités de crédit, Santé et Commerce/Grande distribution avec les meilleurs taux de réponse (respectivement 88, 84 et 79 %), alors que les Réseaux sociaux obtiennent un score de 50 %.

L’AFCDP publie son premier Index du droit d’accès

Le 28 janvier 2010, l’association française représentative de la profession de CIL (Correspondant Informatique et Libertés) dévoile son tout premier « Index AFCDP du Droit d’Accès ».

La promotion 2008-2009 du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » dispensé par l’ISEP, sous la direction de Mme Claire Levallois-Barth, docteur en droit et enseignant-chercheur à Télécom ParisTech, a ainsi sollicité 207 organismes, privés et publics.

Plus de 63 % des entités sollicitées ont répondu dans les deux mois impartis par le cadre légal.

Rappelons qu’en avril 2009 la Cnil a prononcé une sanction pécuniaire de 7.000 euros rendue publique à l’encontre d’un fournisseur d’accès à internet qui n’avait répondu que partiellement aux demandes répétées d’une cliente souhaitant accéder à l’ensemble de ses informations personnelles détenues par la société.

Ce nombre de 63 % cache des disparités importantes : Le secteur Internet/Réseaux sociaux est en queue de peloton (28 %), tandis que les secteurs Assurances/Mutuelles et Commerce/Grande distribution se distinguent par les meilleurs taux de réponse (respectivement 75 et 71 %).

La taille de l’organisme sollicité ne semble pas un facteur discriminant : de grands acteurs n’apportent aucune réponse pertinente à la demande, alors même que des accusés de réception sont envoyés pour faire patienter la personne, voire même qu’ils poursuivent l’envoi de messages publicitaires.

L’AFCDP note avec satisfaction que les entités ayant désigné un CIL répondent aux demandes exprimées (taux de réponse de 80 %), dans les temps et avec la qualité souhaitée.

Il faut toutefois ajouter que, pour la première version de cet Index, nulle mention n’est faite du degré de conformité de ces réponses. Ainsi plusieurs retours montrent une totale incompréhension de la demande, comme ce fournisseur d’accès à Internet qui traite le courrier comme une demande de support technique, cette mutuelle qui retourne le code d’accès et l’identifiant INSEE servant à se connecter à son site internet ou cet organe de presse qui se borne à indiquer la date de fin d’un abonnement.

Au total, de l’avis des membres du Mastère Spécialisé, moins de 20 % des réponses reçues ont été jugées totalement satisfaisantes.

Que dire, par exemple, des réponses suivantes ?

  • « Nous vous désinscrivons de notre lettre d’informations immédiatement ! » (Biens culturels)
  • « Vous avez un problème avec votre abonnement ? » (Télévision)
  • « Voici le nombre de points de retraite que vous avez acquis » (Mutuelle)
  • « Nous sommes propriétaires des données et nous ne les communiquons pas » (Energie et secteur automobile)
  • « Voici le mot de passe que vous avez oublié » (en clair !) (Services et Transports)
  • « Nous n’avons aucune donnée bancaire vous concernant mais nous pouvons les modifier » (Biens culturels)
  • « Il faudrait nous assigner en justice pour nous forcer à vous donner ces informations » (Réseau social)

Plusieurs entités ont également révélé dans leur courrier des éléments qui pourraient leur être reprochés, comme des durées de conservation illimitée tandis qu’un acteur de la Net-économie a retourné les données personnelles… d’un homonyme. La civilité indiquée dans le fichier des passeports d’une Mairie de la petite couronne n’était pas la bonne.

Si l’exercice s’est focalisé sur des organismes basés en France, quelques demandes ont été adressées à l’étranger, avec des résultats forts décevants, notamment concernant deux entités britanniques qui, après avoir demandé et reçu une contribution d’une dizaine de livres Sterling, n’ont jamais répondu. Une seule structure française a demandé une participation financière préalablement à la fourniture des informations demandées, ce qui est tout à fait autorisé si son montant ne dépasse pas les frais de reproduction.

Ces résultats sont à comparer avec ceux de l’étude similaire effectuée par l’Union Fédérale des Consommateurs et dont les résultats ont été publiés dans le n° 475 (novembre 2009) du magazine Que Choisir. Sur 106 demandes adressées, 55 réponses avaient été reçues (souvent lacunaires), 40 lettres étaient restées sans réponse et 11 entités avaient refusé de fournir les informations demandées ou avaient répondu « à côté de la plaque » (sic).