Regroupant plus de 6.000 professionnels de la conformité au RGPD et à la Loi Informatique & Libertés, l'AFCDP vient de publier l'édition 2020 de son Index AFCDP du Droit d'accès. Depuis 2010, celui-ci évalue chaque année la capacité des entreprises à répondre aux demandes d'accès aux données personnelles, une obligation réglementaire inscrite dans le RGPD.

Pour cette édition, les étudiants du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l'ISEP (Institut Supérieur d'Electronique de Paris) ont sollicité 154 organisations, dont 80% d'entreprises privées et 20% d'organismes publics. Le test s'est déroulé au cours des mois d'octobre est novembre 2019.

Encore trop d'entreprises laissent les demandes de droit d'accès sans réponse.

Au total, plus de 7 organisations sur 10 (70,7%) ont répondu dans l'échéance prévue par le RGPD, poursuivant l'amélioration engagée l'année précédente (où six entités sur dix avaient répondu dans les temps). Des progrès à souligner, d'autant plus que le délai est passé de deux à un mois (les responsables des traitements pouvant cependant prolonger celui-ci dans certaines circonstances, dès lors qu'ils préviennent les demandeurs).

Il subsiste néanmoins 29,3% d'entreprises qui font la sourde oreille, un taux toujours trop élevé. « Après la stagnation des résultats obtenus durant les années qui ont précédé l'entrée en application du RGPD, nous observons enfin une constante amélioration : de moins en moins de responsables de traitement font le mort », relève commente Bruno Rasle, créateur de l'Index.

La formation des personnels d'accueil encore négligée

Malgré cette évolution positive, le niveau de conformité des réponses ne progresse pas. Cette année, seulement 37% des organisations contactées ont fourni une réponse respectant les exigences légales, un taux qui était à 36,6% sur l'édition 2019. Plus d'un organisme sur six est donc toujours incapable d'apporter une réponse conforme, les autres retournant des réponses qualifiées de décevantes, incomplètes, incompréhensibles, voire « complètement à côté de la plaque » par les auteurs de l'index. Parmi les exemples recueillis par la promotion ISEP 2019-2020, l'un des enquêteurs a reçu les données d'un tiers, d'autres se sont vu demander trop ou aucun justificatif d'identité, un autre a vu ses données effacées.

Enfin, un dernier test consistant à demander un accès aux données personnelles en se rendant physiquement sur les sites des entreprises révèle un faible niveau de formation des personnels d'accueil. En effet, sur 24 responsables de traitement testés ainsi, seuls 6 ont pu traiter la demande.