Droit d’accès à ses données personnelles : une légère amélioration selon l’AFCDP

Le droit d’accès à ses données personnelles détenues par un responsable de traitement s’améliore légèrement en qualité et en quantité. C’est ce que diagnostique l’AFCDP, l’association des Délégués à la protection des données, les DPD et DPO, et des professionnels de la protection des données. Le taux d’organismes qui réagit aux demandes d’accès aux données est en légère augmentation et la qualité des réponses connait une amélioration.

Etude auprès de 115 responsables de traitement

Lors d’un test, 115 responsables de traitement ont été sollicités pour l’accès aux données personnelles. 75 organismes ont réagi aux demandes, soit 65,2 % du panel. L’AFCDP observe l’existence d’un « noyau » d’environ 35 % de responsables de traitement qui ne sont pas en position de traiter une demande d’accès aux données.  Dans le panel, 80 % des organisations appartiennent au secteur privé et 20 % appartiennent au secteur public.

Sur les 75 organismes qui ont réagi, 68 l’ont fait en moins de 1 mois. C’est 59 % du total des 115 responsables de traitement à comparer aux 50,7 % de 2023 et aux 45,9 % de 2022. L’étude montre que la qualité des réponses s’améliore. Au-delà du respect des délais de réponse, l’étude s’est i intéressée à la conformité des réponses vis-à-vis du RGPD. La transmission des données était-elle sécurisée ? Les données transmises paraissaient-elles complètes ? Étaient-elles fournies sous une forme compréhensible ?

Au total, 39 des 68 organismes qui ont répondu dans les délais impartis ont obtenu une appréciation excellente ou satisfaisante. Cela représente 40 % du panel des 115 responsables de traitement sollicités. C’est une avancée par rapport aux 32,3 % de 2023 et aux 22,2 % de 2022.

Absence de fournitures des informations complémentaires

Dans ce cadre, 19 organismes obtiennent une appréciation moyenne. C’est 16,5 % du total des organismes testés. Il leur est principalement reproché de ne pas avoir fourni les informations complémentaires prévues par l’article 15 du RGPD. Dix organismes écopent d’une mauvaise appréciation. C’est 8,7 % du total. L’incomplétude ou l’illisibilité des données fournies figurent en première place des reproches formulés à ces organisations.

L’étude pointe des cas problématiques. Comme les années précédentes, elle relève des erreurs grossières dans le traitement des demandes de droit d’accès, comme la confusion avec une demande d’effacement avec la suppression du compte client ou la communication de données relatives à un tiers, ce qui constitue une violation de données.

Dans plusieurs cas, l’organisme a bien pris soin de chiffrer les données avant de les transmettre mais  la personne concernée est restée dans l’impossibilité de déchiffrer l’envoi. Enfin, pour l’un des organismes sollicités, l’accès aux données n’est possible qu’avec une décision d’un juge. L’AFCDP note que ce responsable de traitement n’a pas désigné de Délégué à la Protection des Données.

Différence entre la promesse et la réalité

L’étude note enfin un effet déceptif dû à l’écart entre les promesses formulées par les organismes et la réalité. Si 68 des 115 organismes testés proposent sur leur site Web une information claire et facile à trouver concernant les droits RGPD dont disposent les personnes concernées et la façon de les exercer, 18 d’entre eux n’ont jamais réagi à la demande de droit d’accès qui leur avait adressée.

Pour rappel, l’article 15 du RGPD donne le droit à chaque personne de demander à un responsable de traitement d’accéder à ses données personnelles qui sont traitées le concernant et à des informations complémentaires telles que les finalités poursuivies par les traitements ou les catégories de destinataires auxquelles les données ont pu être transmises.