L’arrivée du RGPD, le 25 mai 2018, renforce la protection des données à caractère personnel des individus et confère de nouveaux droits à ces derniers. J’ai décidé de faire usage de mon droit d’accès auprès d’un certain nombre d’entreprises et vous partage, ici, le bilan de mes actions.
Plantons le décor
Comme le dit si bien Rayna Stamboliyska dans son article : « Exercice des droits à l’ère du RGPD : un sport de combat » , c’est une « fausse surprise que de réaliser le désordre » ambiant en matière de protection des données à caractère personnel. La première loi relative au sujet existe depuis 1978. Nous sommes en 2018 et certaines entreprises n’appliquent pas totalement une loi déjà vieille de 40 ans.
Absence de procédure pour certains, de moyens de contact voire de mentions relatives à l’exercice des droits pour d’autres, réponse automatique indiquant que l’adresse mail contactée, pourtant récupérée sur le site officiel, n’existe pas … sont tant d’obstacles qui vous donnent envie de jeter l’éponge. N’y voyez pas le mal, 40 ans après informatique et libertés, des mois après RGPD, les entreprises ne sont simplement pas toutes organisées pour pouvoir répondre à des demandes d’individus, malgré les obligations existantes, c’est ça, la réalité du terrain.
Même s’il est problématique pour une organisation gérant des données à caractère personnel de ne pas savoir s’organiser pour respecter les droits des personnes, il faut aussi avouer que peu de gens connaissent leurs droits. Encore moins en font usage. Les entreprises se pensaient donc globalement « tranquilles », convaincues qu’elles avaient « le temps ». Jusqu’au RGPD, où de nombreux individus ont simplement pris conscience des droits existants, et ont décidé de les utiliser.
Résumons donc : une majorité d’entreprises n’est pas encore prête à répondre correctement à des demandes d’exercice d’un droit, qu’il existe depuis des années ou non. J’ai souhaité faire le point sur ma vie numérique, savoir qui disposait de quoi, sur ma personne, et j’ai commencé à solliciter différentes organisations traitant mes données afin d’exercer mon droit d’accès.
Le droit d’accès, mais encore ?
Exercer ses droits, ça semble plutôt facile sur le papier. En pratique, c’est loin d’être le cas.
Les mentions légales, les conditions générales d’utilisation, les politiques de confidentialité, sont autant de documents à lire et analyser pour trouver qui contacter, quelle procédure utiliser pour faire exercer ses droits. Conseil, si vous souhaitez exercer les vôtres, armez-vous d’un (grand) café avant de démarrer votre lecture.
Je ne détaillerai pas davantage l’exercice des droits, l’article de Rayna le faisant très bien, je vous invite à le lire, à nouveau. Ici, nous allons nous pencher sur « la suite », la pratique, et les réponses apportées.
La pratique
Round 1 : j’ai sollicité 21 entreprises afin de faire exercer mon droit d’accès. Sur ces 21, 18 disposaient d’un e-mail fonctionnel, les trois autres indiquant une adresse qui tombe en erreur et m’offrant pour seul réconfort un mail automatique, poli, me disant « désolé, l’adresse e-mail n’existe pas ».
Six des 18 entreprises ont été éliminées au round 2… pour avoir supprimé mes données alors que j’en demandais l’accès. J’imagine que ces entreprises ne doivent pas être habituées à recevoir des demandes, et sous le stress et la panique, elles ont supprimé l’intégralité de mes données au lieu de me les communiquer.
Mention spéciale sur ce round : une entreprise contactée pour un droit d’accès a supprimé mes données et m’a communiqué un e-mail m’indiquant la purge.
Quelques jours après, elle m’a communiqué un second e-mail, me disant qu’ils ne pouvaient pas satisfaire ma demande de droit d’accès, puisqu’ils ne disposaient d’aucune donnée sur moi…
Enfin, quelques jours après ce deuxième e-mail, une dernière communication est arrivée, me disant que si je voulais m’inscrire à nouveau au service, j’étais obligé de prendre contact directement avec l’entreprise, car mon adresse e-mail était « blacklistée », afin que je ne sois pas inscrit à nouveau sur leur systèmes… Il semble donc que la société conserve des informations sur moi, malgré la suppression annoncée, l’opération de « blacklistage » n’étant pas réalisable autrement.
Nous voilà au round 3, avec 12 entreprises toujours en course. Sur ces 12 entreprises, une m’a répondu en une heure qu’elle avait besoin d’un délai supplémentaire pour m’apporter une réponse. J’attends donc le retour de ladite entreprise.
Quatre entreprises ont répondu correctement, avec de bonnes informations, en me demandant de justifier de mon identité car elles n’étaient pas à même d’affirmer avec certitude que j’étais bien qui je prétendais être. A ce titre, ils m’ont demandé de justifier de mon identité, par tout moyen valable, et une entreprise m’a d’ores et déjà communiqué mes données. Bon point pour elle. Les trois autres n’ont pas encore donné suite, mais nous sommes dans le délai légal.
Ce qui nous laisse sept entreprises.
Bienvenue à Galère-Land.
Sur les sept entreprises restantes, cinq entreprises n’ont pas accusé la réception de ma demande. Je ne sais donc pas si elle est reçue, si elle est traitée, en cours de traitement ou si elle est tombée aux oubliettes.
Une entreprise n’a pas donné suite à ma demande pour le moment, mais phénomène improbable… je reçois des communications d’eux, communication que je ne recevais pas avant et qui sont clairement à vocation commerciale. Ecrire au DPO a donc conduit l’entreprise à m’adresser des e-mails commerciaux, que je n’avais pas avant et auxquels je n’ai pas consenti. Je vous laisse apprécier l’ironie de la situation, et j’espère pour eux qu’ils vont corriger rapidement le tir, la CNIL n’appréciant sans doute pas la pratique.
Enfin… mon « grand gagnant ». Une entreprise s’est retrouvée à commettre une violation de données en répondant à ma demande de droit d’accès. Ladite entreprise m’a communiqué les informations relatives à mon identifiant… qui appartenait manifestement à une autre personne avant. Et c’est ainsi que j’ai appris l’identité de la personne disposant de mon identifiant avant moi, de son nom, son prénom, son adresse, bref. Il semble que le service juridique se soit rendu compte de « la boulette », puisqu’ils m’ont contacté, pour tenter de me justifier l’erreur, me dire qu’elle n’arriverait plus, que c’était de ma faute et de celle du service client, qui a traité la demande, qui était « offshore ».
Non seulement les informations transmises ne sont pas les miennes, mais en plus l’entreprise n’assume pas son erreur et comble du comble elle ne m’a pas indiqué que ma demande était traitée en dehors du territoire de l’Union.
J’étais quelque peu…mécontent, mécontentement que j’ai signalé. Depuis, plus aucune nouvelle, plus de réponses. Dommage.
Bilan
Sur 21 entreprises, cinq ont répondu « dans les clous » à ma demande. Moins de 25%. Ce n’est certes pas un bon chiffre, mais il reste encourageant pour la suite. Les réponses qui m’ont été fournies sont complètes, bonnes, citent la règlementation de façon précise. Les réponses m’invitant à patienter également, le délai de réponse est mentionné, les justifications du temps de réponse sont communiquées.
Le niveau de maturité des organisations n’est pas homogène, certaines comprennent bien les enjeux, font preuve de sérieux, d’autres pas. Certaines s’y prennent parfois mal, peuvent être maladroites, là où d’autres ne vous répondent pas, ne semblent pas vous considérer et vous spamment alors que vous ne l’avez jamais demandé. Il reste encore un long chemin à parcourir pour un certain nombre d’entreprises, reste à savoir si cela se fera dans la bonne intelligence, ou dans la douleur des sanctions.
2 réflexions au sujet de « Le difficile (et long) exercice des droits sous le RGPD »