En 2019, la Cnil a contrôlé une vingtaine d’acteurs appartenant aux secteurs suscitant le plus de réclamations de la part des particuliers lorsque ceux-ci souhaitent exercer leurs droits. Il s’agit des assurances, des banques, du recouvrement de créances, de la grande distribution, du commerce en ligne, des sites de rencontre et des ministères.
Des questions sur la durée de conservation des données
Côté mauvais points, la Cnil constate que l’information fournie aux personnes est souvent incomplète, en particulier du fait de l’absence d’information concernant les bases légales utilisées par les entreprises et les durées de conservation des données. L’information est difficilement accessible ou inintelligible. Néanmoins, la Cnil a constaté que les organismes contrôlés ont, pour la plupart, bien pris en compte l’exigence de respecter les droits des personnes.
Il faut proposer des réponses types au service client et tracer les demandes d’exercice de droits
Certaines modalités facilitent l’exercice des droits en ligne et sont encouragées par la Cnil. Il s’agit par exemple de la possibilité pour les personnes de télécharger elles-mêmes leurs données à partir de leur compte en ligne dans le cas de l’exercice du droit d’accès et du droit à la portabilité de ses données personnelles. On citera à ce titre le cas emblématique du Leboncoin qui a mis en place un tel dispositif.
Des délais excessifs pour répondre aux demandes des particuliers
À l’inverse, la Cnil constate des mauvaises pratiques récurrentes telles que des délais excessifs pour répondre aux demandes d’exercice de droits ; l’absence de lien de désabonnement dans les e-mails de prospection commerciale ; le fait qu’un client ne puisse pas supprimer son compte en ligne par lui-même. La Cnil a donné des suites répressives à certains de ces dossiers avec des rappels à l’ordre, des mises en demeure ou des sanctions.
Les sous traitants d’entreprises responsables de traitement constituent un cas particulier
Bilan ? Les sous-traitants ont dans l’ensemble bien pris conscience de l’évolution du cadre légal concernant leur activité. La majorité d’entre eux ont encadré leurs prestations par des clauses respectant les termes de l’article 28 du RGPD. L’article 28 du RGPD dispose que, lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci doit faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes.
Des modèles types d’information des personnes
Les vérifications ont mis en évidence de bonnes pratiques de la part de certains de ces acteurs. Ils ont par exemple mis à disposition de leurs clients des modèles d’information des personnes ou des clauses contractuelles types. Ils ont également pu mettre à disposition des outils permettant d’assurer l’exercice des droits des personnes tels que des liens de désinscription automatique, des outils de suivi des demandes des utilisateurs, des boîtes e-mail de contact unique.
Des prestataires croient à tort ne pas être concernés par le RGPD
Enfin, afin de mettre en place les bonnes pratiques, il est nécessaire côté entreprises de disposer des bonnes compétences et de la bonne organisation, en particulier de disposer d’un délégué à la protection des données ou DPO (Data Protection Officer). En 2019, côté entreprises et organismes publics, 64 900 ont désigné un DPO. Cela représente 21 000 DPO « personnes physiques », car des organismes mutualisent leur DPO. C’est +31% par rapport à 2018.