Droit d'accès aux données personnelles et Journée mondiale de la vie privée

À l’occasion de la journée mondiale de la vie privée (Data Privacy Day - 28 janvier 2010), l’AFCDP (Association française des correspondants à la protection des données à caractère personnel) publie son premier Index du droit d’accès.

Chacun peut exercer un droit d'accès à ses données personnelles

Au titre de la loi Informatique et Libertés, chacun peut exercer un droit d’accès à ses données personnelles. L’AFCDP, en partenariat avec l’ISEP (Institut Supérieur d’Electronique de Paris), publie la première mesure de l’effectivité de ce droit.

La journée mondiale de la vie privée — Data privacy day

La journée européenne de la protection des données à caractère personnel est une initiative du Conseil de l’Europe, soutenue par la Commission européenne, qui a proclamé solennellement le 28 janvier de chaque année journée de la protection des données à caractère personnel. En 2009, est apparu le Data Privacy Day, célébré en Europe mais aussi aux États-Unis et au Canada. Ces initiatives ont le même objectif : sensibiliser les citoyens à leurs droits pour promouvoir la protection de leurs données personnelles et le respect de leurs libertés et droits fondamentaux, et en particulier de leur vie privée.

L'index AFDCP du Droit d'accès

C’est à cette occasion que l’association française représentative de la profession de CIL (Correspondant à la protection des données à caractère perosnnel, plus rapidement nommés Correspondants informatique et libertés ou CIL) dévoile son tout premier Index AFCDP du Droit d’Accès.

Celui-ci est basé sur les travaux effectués par les participants du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » dispensé par l’ISEP. Dans le cadre de ce cursus, les élèves mènent plusieurs projets, dont l’un consiste à exercer leur droit d’accès. La promotion 2008-2009, sous la direction de Mme Claire Levallois-Barth, docteur en droit et enseignant-chercheur à Télécom ParisTech, a ainsi sollicité 207 organismes, privés et publics.

63% des entités répondent dans les délais impartis

Plus de 63% des entités sollicitées ont répondu dans les deux mois impartis par le cadre légal.

Ce chiffre de 63% cache des disparités importantes : Le secteur Internet/Réseaux sociaux est en queue de peloton (28%), tandis que les secteurs Assurances/Mutuelles et Commerce/Grande distribution se distinguent par les meilleurs taux de réponse (respectivement 75 et 71%).

La taille de l’organisme sollicité ne semble pas être un facteur discriminant : de grands acteurs n’apportent aucune réponse pertinente à la demande, alors même que des accusés de réception sont envoyés pour faire patienter la personne, voire suivis par l’envoi de messages publicitaires.

L’AFCDP note avec satisfaction que les entités ayant désigné un CIL répondent aux demandes exprimées (taux de réponse de 80%), dans les temps et avec la qualité souhaitée.

Source : Communiqué de l'AFDCP

Une trop grande méconnaissance des obligations du droit d'accès

Ce qui paraît assez significatif, au regard du communiqué publié autour de la naissance de cet index, c'est l'actuelle et persistante ignorance du droit d'accès dans un grand nombre d'entreprises, même parmi les 63% ayant formellement répondu.

Comme le fait observer le communiqué, 20% des réponses ont été jugées insatisfaisantes. Les exemples cités sont assez hallucinants ; on hésite entre supposer la réelle incompétence par ignorance de la loi ou la volonté délibérée de fournir des réponses évasives.

Voici les exemples cités dans le communiqué :

  • « Nous vous désinscrivons de notre lettre d’informations immédiatement ! » (Biens culturels)
  • « Vous avez un problème avec votre abonnement ? » (Télévision)
  • « Voici le nombre de points de retraite que vous avez acquis » (Mutuelle)
  • « Nous sommes propriétaires des données et nous ne les communiquons pas » (Energie et secteur automobile)
  • « Voici le mot de passe que vous avez oublié » (en clair !) (Services et Transports)
  • « Nous n’avons aucune donnée bancaire vous concernant mais nous pouvons les modifier » (Biens culturels)
  • « Il faudrait nous assigner en justice pour nous forcer à vous donner ces informations » (Réseau social)

Le communiqué rappelle qu’en avril 2009, la CNIL a prononcé une sanction pécuniaire de 7000 euros rendue publique à l’encontre d’un fournisseur d’accès à Internet qui n’avait répondu que partiellement aux demandes répétées d’une cliente souhaitant accéder à l’ensemble de ses informations personnelles détenues par la société.

La propriété des données : une notion frelatée ?

Rappelons de notre côté que la notion de propriété des données n'a pas de statut juridique en tant que telle. La propriété peut porter sur la création intellectuelle de ces données (propriété intellectuelle telle que droit d'auteur, droit des marques, brevet...), relever du domaine des informations réservées parce que confidentielles, ou encore et précisément dans notre cas, appartenir à des personnes physiques parce que constituant des données sur leur personne ou sur leur vie privée : ce sont les données à caractère personnel protégées par la loi Informatique, fichiers et libertés. Les deux dernières réponses citées sont donc sans fondement juridique, alors que les précédentes sont à côté de la plaque.

Le communiqué de la CNIL du 15 avril 2009 au sujet de la délbération contre Neuf-CI :
www.cnil.fr/la-cnil/actu-cnil/article/article//la-cnil-sanctionne-neuf-ci-pour-violation-du-droit...
La délibération de la CNIL du 12 juin 2008 contre Neuf-CI :
www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/149/

Lire notre actualité du 18 mai 2009 sur cette sanction.

Le Mastère Spécialisé Management et Protection des Données à Caractère Personnel de l'ISEP : www.formationcontinue-isep.fr/informatiqueetlibertes/ms-il/50-informatique-et-libertes-mastere-specialise

Lire notre Fiche sur les données à caractère personnel et son paragraphe sur les CIL.

Didier FROCHOT