La Loi Informatique et Libertés négligée par 82% des organisations françaises

• Imprimer

Le baromètre annuel de l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) est toujours autant cruel. La plupart des organisations ignorent leurs obligations légales.

A l'occasion de la journée mondiale de la vie privée, l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) a publié son baromètre annuel du respect du droit d'accès par les organisations françaises. Même si certaines améliorations sont perceptibles, 82% des entreprises et administrations ne respectent pas la Loi Informatique et Libertés du point de vue de ce droit d'accès d'accès. Cela ne préjuge pas, bien entendu, d'autres manquements de la part des 82% de « mauvais élèves » ou des 18% de « bons élèves ».

Toutes les organisations (en dehors des cas particuliers comme la police et la justice) doivent communiquer toutes les informations en leur possession sur les personnes en faisant la demande dans un délai de deux mois. Ce droit d'accès (et de rectification des informations inexactes) ne doit pas être confondu avec le droit d'opposition qui concerne l'interdiction faite à une organisation de détenir des informations sur la personne le demandant.

18% des organisations sollicitées seulement ont répondu conformément à la loi dans un délais de deux mois. 31% n'ont pas répondu dans les délais légaux. Et 51% ont certes répondu mais pas de manière satisfaisante, notamment en confondant le droit d'accès et le droit d'opposition ou bien en niant l'existence de ce droit (réponse type : « les données demandées ne sont pas communiquées car appartenant à l'entreprise »). L'AFCDP précise que certaines organisations glissent de belles perles dans leurs courriers, indiquant spontanément une attitude illégale (comme la conservation sans durée limitée des données personnelles).

Même le CPDP ne garantit pas le respect de la loi

Même si la présence d'un correspondant à la protection des données à caractère personnel (CPDP) au sein d'une organisation améliore la situation, le score reste catastrophique : 40% des réponses faites sous l'égide d'un tel CPDP sont totalement satisfaisantes (donc 60% ne le sont pas).

L'AFCDP fustige, à l'occasion de ce baromètre, la difficulté à trouver, sur les sites web d'organisations, les coordonnées du responsable du traitement auprès de qui exercer son droit d'accès et de rectification. Dans 90% des cas étudiés, aucune mention du responsable de traitement ou d'un CPDP n'y est faite.

L'association a remarqué de nombreuses bizarreries supplémentaires : envoi d'un cadeau au demandeur (au lieu des données), annonce d'une purge des données (confusion droit d'accès / droit d'opposition) suivi d'un envoi des dites données miraculeusement retrouvées, demande de paiement pour le simple respect du droit d'accès (seuls les frais d'envois peuvent être facturés), etc.

A l'inverse, des réactions exemplaires ont été repérées : demande de preuve de l'identité du demandeur (la communication des données personnelles ne doit être faite qu'à la personne concernée), convocation au guichet d'une mairie pour remise en main propre d'une très bonne synthèse, etc.

A l'heure où les offices de défense des droits, comme la CNIL, sont soumis à de fortes pressions, notamment budgétaires, rappeler l'état de l'irrespect du droit par les entreprises et administrations est une oeuvre des plus salutaires.