Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    4 478
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 4 478
    Points : 117 491
    Points
    117 491

    Par défaut Données personnelles : une étude montre que les entreprises ont de la peine à répondre au droit d'accès

    Accès aux données personnelles : seules 60% des entreprises ont répondu aux demandes dans les délais impartis,
    un droit d'accès difficile à exercer

    Au titre de la loi Informatique & Libertés, chacun peut demander à accéder à ses données personnelles. L’édition 2019 de l’Index AFCDP (Association française des correspondants aux données personnelles) montre une meilleure prise en compte du droit des personnes. L’étude a été réalisée entre novembre 2017 et février 2018. Le RGPD n’était donc pas encore entré en application (il est en application depuis le 25 mai 2018). Ce qui laissait deux mois aux organismes pour répondre aux demandes.

    Cet indicateur est basé sur les travaux effectués par les membres du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l’ISEP (Institut Supérieur d’Electronique de Paris, grande école).

    Dans le cadre de ce cursus, les participants – souvent des Data Protection Officer en poste ou des professionnels amenés à l’être - mènent plusieurs projets, dont l’un consiste à exercer leur droit d’accès. Confrontés ainsi à la réalité, il leur est demandé d’en tirer des enseignements pratiques et opérationnels afin que leur propre responsable de traitement réponde de façon conforme.

    La promotion 2017-2018 a ainsi sollicité 126 organismes (80 % privés et 20 % publics) entre novembre 2017 et février 2018, avant l’entrée en application du RGPD (les responsables de traitement avaient donc encore deux mois pour répondre aux demandes).

    Sur les 126 organismes contactés, 60,3 % ont réagi en moins de deux mois (contre 52,4 % pour l’index précédent) dans les deux mois impartis par l’ancien cadre légal. Ce taux constitue l’Index AFCDP du droit d’accès pour 2017.

    « Nous avions observé une stagnation lors des millésime précédents. L’amélioration constatée cette année s’explique-t-elle par la prise en compte du RGPD et du niveau de sanctions associé ? » s’interroge Bruno Rasle, Délégué général de l’AFCDP et créateur de l’Index.

    Cependant répondre dans les deux mois ne signifie pas non plus que cette réponse soit conforme à la loi. Les participants du Mastère Spécialisé « Informatique et Libertés » de l’ISEP ont donc jugé du degré de conformité des réponses obtenues dans les deux mois. Au total, de l’avis des membres du Mastère Spécialisé, 36,5 % des organismes sollicités ont fait une réponse conforme au droit, jugée satisfaisante ou très satisfaisante, dont le respect du délai de deux mois (contre 36,6 % pour l’index précédent).

    Quelques points marquant qui accompagnent cette édition

    Voici quelques appréciations des membres de la promotion ISEP 2017-2018 :

    • « Point très positif : la personne chargée de la conformité m’a contacté par téléphone pour demander des précisions »
    • « Réponse parfaite de dix-sept pages envoyée en recommandé avec accusé de réception avec une lettre explicative très claire »
    • « Demande traitée dans le temps par une interlocuteur réactif et très pédagogue »
    • « Une fois mon identité vérifiée, tout a été très vite »


    Cependant
    • « La société m'a envoyé des données d'un tiers ! »
    • « La société s’est bornée à me renvoyer vers la CNIL. Veux-t-elle que j’adresse une plainte à cette dernière ? »
    • « Mes données m’ont été envoyées sans aucune vérification de mon identité. N’importe qui aurait pu se faire passer pour moi et obtenir mes informations les plus personnelles »
    • « Les indications pour avoir accès aux données sont très claires sur le site... malheureusement, il ne s’agit que d’une façade car elles ne sont pas mises en pratique »
    • « La réaction première de l’entreprise était complètement « à côté de la plaque ». Ils ont compris que je voulais supprimer mon compte ! Mon interlocuteur a arrêté de répondre après que je lui ai expliqué que je demandais simplement à accéder à mes données »


    Ces appréciations sont dans la lignée de celles faites par les promotions précédentes, dont voici un florilège :

    • Une grande banque ne trouve aucune donnée concernant… l’un de ses clients fidèle ;
    • Une très grande entreprise du CAC40 se contente d’envoyer quelques photocopies, sans aucune lettre d’accompagnement, mais avec une petite note anonyme comportant ce simple mot : « Voilà ! » ;
    • Un cabinet de recrutement affirme avoir procédé à la purge des données … mais est capable de les produire par la suite ;
    • Une entreprise répond qu’elle juge la demande « abusive » et affirme qu’elle n’y répondra que « contrainte par le Procureur de la République » ;
    • « Tout ça, c’est du pipeau ! », réaction entendue au téléphone (Profession règlementée dans le domaine du Droit) ;
    • « Vous devriez être flatté de figurer dans notre base de données ! » - Collecte déloyale d’informations et refus de communication des informations détenues ;
    • « Ces informations sont confidentielles et sont stockées sur des serveurs sécurisés. Je n’y ai pas accès et c’est trop compliqué de demander à chaque service de donner les informations » ;
    • « Nous vous confirmons que nous avons bien vos données personnelles »… oui, mais, lesquelles ? « Il s’agit des données de l’entreprise, je n’ai pas le droit de vous les transmettre » ;
    • « Je tiens tout d'abord à vous rassurer quant au contenu de nos fichiers, ils ne comportent aucune données personnelles pris au sens étymologique du terme ».


    Citation Envoyé par AFCDP
    Parmi les raisons récurrentes des jugements négatifs portés par les « testeurs » de l’ISEP on trouve : une totale incompréhension de leur demande ; une absence de vérification de l’identité du demandeur ; la collecte de données non pertinentes ; la fourniture de données personnelles relatives à d’autres personnes ; des réponses incomplètes ou incompréhensibles; des durées de conservation non-adéquates avec la finalité du traitement.

    Notons également la difficulté trop souvent éprouvée à trouver de l’information sur le site Web des organismes pour exercer son droit d’accès.

    Nombreux également sont les organismes dont les collaborateurs chargés de traiter ces demandes se montrent étonnés ou s’avouent incompétents sur ce sujet.
    Source : Index droit d'accès édition 2019

    Et vous ?

    Qu'en pensez-vous ? La perspective d'une sanction plus lourde dans le cadre du RGPD est-elle susceptible de faire évoluer les choses dans le bon sens ?

    Voir aussi :

    MongoDB : 202 millions de CV privés exposés sur internet à cause d'une base de données non protégée
    La société mère de Cambridge Analytica plaide coupable d'avoir enfreint la loi britannique sur les données, et reçoit une amende de 15 000 £
    Marriott concède que 5 millions de numéros de passeport volés par les pirates n'ont pas été chiffrés, faisant suite à la violation des données clients
    Microsoft aurait initié le projet Bali pour donner aux utilisateurs le contrôle des données collectées à leur sujet, il serait encore en phase de test
    Comment certaines applications Android échangent des données avec Facebook, en particulier pour les mobinautes qui n'ont pas de compte Facebook ?
    Images attachées Images attachées
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    janvier 2018
    Messages
    206
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France, Aisne (Picardie)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2018
    Messages : 206
    Points : 484
    Points
    484

    Par défaut

    Si l'administration arrêtait de pondre des lois sans consulter les principaux exécutant, peut être qu'on aura pas de tels statistiques : alors oui, les entreprises doivent impérativement se conformer à la loi mais elles ne sont pas toutes dans la capacité de régler cela rapidement car elles n'ont pas tous un budget énorme vis à vis du service informatique (interne ou externe). Quand je vois des sites e-commerce réalisés avec Prestashop & cie, je constate bien souvent qu'ils ne sont pas conforme à la loi et cela n'arrive pas avant un moment de par le fait que souvent, les TPE et PME n'ont pas les moyens de demander à des personnes qualifiés de faire cela.

  3. #3
    Membre expérimenté
    Profil pro
    Inscrit en
    janvier 2011
    Messages
    1 576
    Détails du profil
    Informations personnelles :
    Localisation : France, Nord (Nord Pas de Calais)

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 576
    Points : 1 485
    Points
    1 485

    Par défaut

    Pour avoir du traiter ce type de problématique a plusieurs reprises en 2018, je confirme entre la réception de la demande , l'arrivé dans le service pour extraire les données .. et le retour au client il se déroule bien 2 mois .

  4. #4
    Membre actif Avatar de Citrax
    Homme Profil pro
    Chargé d'affaire
    Inscrit en
    juin 2014
    Messages
    149
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Chargé d'affaire
    Secteur : Conseil

    Informations forums :
    Inscription : juin 2014
    Messages : 149
    Points : 259
    Points
    259

    Par défaut

    Tout cela montre l'incompetence de nombres d'entreprises qui feraient mieux de ne rien collecter du tout. C'est comme ca que la loi devrait etre tournée puisqu'ils resteront incapables ou dans le deni.
    Ca evitera des recevoirs des mails disant : "vos données ont été diffusées actuellement sur internet" !!

    coupable et pas des moindres, l'un des GAFAM !
    "Pourquoi faire compliqué......quand on peut faire simple......"

Discussions similaires

  1. Réponses: 21
    Dernier message: 03/08/2018, 14h44
  2. Réponses: 16
    Dernier message: 26/08/2016, 12h23
  3. Réponses: 0
    Dernier message: 09/11/2010, 11h01
  4. Réponses: 14
    Dernier message: 30/07/2009, 18h31
  5. Réponses: 0
    Dernier message: 30/07/2009, 10h42

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo