82% des organismes ne respectent pas la loi informatique et libertésA l’occasion de la cinquième “journée internationale de la protection des données“, l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) révèle que 82 % des entreprises et administrations ne respectent pas la loi informatique et libertés. 51% des organismes interrogés tentent certes de le faire, mais sans y parvenir, ou mal, et 31 % ne se donnent même pas la peine de s’y essayer.
La loi prévoit en effet que lorsque toute personne fichée a des droits (à l’information, d’accès, de rectification, d’opposition) afin de lui permettre de vérifier si elle est fichée, et de lui fournir, dixit la CNIL, “de solides garde-fous pour protéger les personnes des dangers liés aux fichiers et à l’exploitation de données personnelles“.
Pour la cinquième année, le monde entier fête la journée internationale de la protection des données, créée par le Conseil de l’Europe pour célébrer la signature, il y a 30 ans de cela exactement, de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, dénommée
«Convention 108», le seul instrument juridique contraignant sur le plan international“.
A cette occasion, l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP), représentative de la profession de Correspondant Informatique et Libertés (CIL), publie son second Index du Droit d’Accès aux données personnelles.
Pour cela, les élèves du Mastère Spécialisé « Informatique et libertés » de l’Institut Supérieur d’Electronique de Paris (ISEP) ont exercer leur droit d’accès par courrier papier auprès de 226 organismes “avec lesquels ils pensaient probable le fait que ceux-ci soient détenteurs de données personnelles les concernant et qui couvrent les différents aspects de la « vie quotidienne d’un citoyen » : emploi/formation, logement, banques/ assurances, commerce, santé, sociétés de l’information & de la communication, administrations…”
31% des organismes ne respectent pas nos “droits” informatique et libertés 31% de ces organismes n’ont pas pris la peine de répondre, ou l’ont fait au-delà des deux mois impartis par le cadre légal. Certains y mettent les formes, à l’instar de cette entreprise qui a répondu qu’elle jugeait la demande « abusive », avant d’affirmer qu’elle n’y donnera suite que « contrainte par le Procureur de la République »… alors qu’il s’agit bien là d’un « droit » reconnu par la loi à toute personne fichée.
Une clinique privée a, de son côté, répondu que « Pour le désarchivage de votre dossier médical, le coût est de 150 € par séjour dans notre établissement », alors même que, en vertu du droit d’accès, “toute personne peut prendre connaissance de l’intégralité des données la concernant et en obtenir une copie dont le coût ne peut dépasser celui de la reproduction” (voir le guide pratique de la CNIL).
De plus, le droit d’opposition autorise expressément toute personne à “s’opposer, pour des motifs légitimes, à figurer dans un fichier, sans avoir à se justifier” (hors fichiers fiscaux, policiers, sécurité sociale…).
Enfin, et en vertu du droit de rectification, “toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations qui la concernent lorsque ont été décelées des erreurs, des inexactitudes ou la présence de données dont la collecte, l’utilisation, la communication ou la conservation est interdite.”
L’AFCDP, qui s’étonne également de voir que “l’un des organismes contacté a envoyé un cadeau (de faible valeur) au demandeur, et qu’un étudiant a éprouvé la surprise de recevoir ses données personnelles de la part d’un voyagiste, en réponse à la demande faite auprès d’une société commercialisant des jeux vidéo“, a compilé plusieurs autres excuses ou motifs des refus avancés :
- « Tout ça, c’est du pipeau ! », réaction entendue au téléphone (Profession règlementée dans le domaine du Droit).
- « Vous devriez être flatté de figurer dans notre base de données ! » -
Collecte déloyale d’informations et refus de communication des informations détenues.
- « Ces informations sont confidentielles et sont stockées sur des serveurs sécurisés. Je n’y ai pas accès et c’est trop compliqué de demander à chaque service de donner les informations »
– Secteur Santé/Social.
- « Nous vous confirmons que nous avons bien vos données personnelles »
- Secteur Presse/Média
- « Il s’agit des données de l’entreprise, je n’ai pas le droit de vous les transmettre ».
- « Je tiens tout d’abord à vous rassurer quant au contenu de nos fichiers, ils ne comportent aucune données personnelles pris au sens étymologique du terme ».
En l’espèce, la CNIL rappelle qu’”une donnée personnelle est une information qui permet de vous identifier ou de vous reconnaître, directement ou indirectement :
Il peut s’agir d’un nom, prénom, date de naissance, adresse postale, adresse électronique, adresse IP d’un ordinateur, numéro de téléphone, numéro de carte de paiement, plaque d’immatriculation d’un véhicule, empreinte digitale, ADN, photo, numéro de sécurité sociale…
La moitié des réseaux sociaux ne respectent pas la loi Si “69% des entités sollicitées ont répondu dans les deux mois impartis par le cadre légal“, tous ne l’ont pas fait de la même manière, ni avec la même efficacité. L’AFCDP souligne ainsi que le taux de réponse est “très légèrement supérieur pour les organismes du secteur public (71%) par rapport aux entreprises du secteur privé“, mais que s’y distinguent par contre les “secteurs Banques/Activités de crédit, Santé et
Commerce/Grande distribution avec les meilleurs taux de réponse (respectivement 88, 84 et 79%), alors que les Réseaux sociaux obtiennent un score de 50%“.
Pour autant, souligne l’étude, “répondre dans les deux mois requis ne signifie pas que cette réponse soit conforme” :
Au total, seulement 26% des réponses reçues dans les délais ont été jugées satisfaisantes ou totalement satisfaisantes.
Ceci fait, qu’au total, moins de 18% des organismes sollicités ont fait une réponse conforme au droit.
L’AFCDP déplore entre autres le fait que certains ne vérifient même pas l’identité du demandeur, que d’autres collectent des “données non pertinentes (voire interdites)“, répondent de façon incomplète ou incompréhensible, confondent “droit d’accès” et “droit d’opposition“, ou pensent qu’ils ont le droit de conserver les données de façon illimitée, alors qu’en matière de durée de conservation des informations, les données personnelles soient avoir “une date de péremption (…) raisonnable en fonction de l’objectif du fichier“.
L’AFCDP, qui a découvert que “90% des organismes qui ne donnent aucune indication sur leur site pour permettre l’exercice du droit n’ont pas désigné de CIL“, constate ainsi “une claire différence quant à la conformité des réponses entre les organismes ayant désigné un CIL auprès de la CNIL et les autres” :
40% des réponses faites sous l’égide d’un Correspondant Informatique et Libertés sont jugées « totalement satisfaisantes » contre 22% pour les autres.
A l’inverse, 59% des réponses reçues par des organismes n’ayant pas désigné de CIL ont été jugées totalement insatisfaisantes.
Le gouvernement ne veut pas de correspondants informatique et libertés Alors que le gouvernement multiplie les attaques à l’encontre de la CNIL (voir Défenseur des droits: le gouvernement veut décapiter la CNIL et Le président de la CNIL sauve sa tête, et La CNIL dans le collimateur de la Cour des comptes), il serait peut-être bon, a contrario, de lui accorder plus de pouvoirs et de moyens afin que la loi informatique et libertés, votée en 1978, soit enfin appliquée.
Sans préjuger des suites du bras de fer engagé avec la CNIL, on peut présumer que le combat sera loin d’être gagné. En témoigne la réponse que vient de faire le ministère de la justice à Alex Türk, sénateur du Nord et président de la CNIL, qui lui demandait pourquoi le gouvernement ne souhaitait pas désigner de correspondant informatique et libertés dans les administrations et les ministères alors même que ce dispositif, non obligatoire mais introduit par le législateur en 2004 est fortement incité par la CNIL et que, fin 2009, “près de 6 000 organismes, majoritairement privés, ont désigné un correspondant” :
Alex Türk : Fin 2009, près de 6 000 organismes, majoritairement privés, ont désigné un correspondant. Certaines administrations ont également adopté ce dispositif : préfectures, collectivités locales, grandes écoles, direction générale du travail, etc.
Le correspondant informatique et libertés, interlocuteur privilégié de la Commission nationale de l’informatique et des libertés (CNIL), a pour mission de veiller à ce que l’organisme auquel il est attaché respecte la bonne application de la loi. En contrepartie, l’organisme est exonéré de toute obligation de déclaration de ses fichiers.
Or, le secrétaire d’État à la justice a expressément déclaré que « le Gouvernement n’entend pas désigner de correspondants dans les services déconcentrés de l’État ».
Il lui demande quels sont les motifs pour lesquels le Gouvernement ne souhaite pas mettre en œuvre un tel mécanisme créé par le législateur alors même que certaines administrations l’ont d’ores et déjà fait..
Réponse du Ministère de la justice : (…) Dans les services déconcentrés de l’État, dépourvus de la personnalité morale et placés sous l’autorité hiérarchique des ministres, (…) la mise en place de ces correspondants est au surplus malaisée au regard du principe de l’autorité hiérarchique ; en effet, le fait que le correspondant doive assurer d’une manière indépendante le respect des obligations prévues par la loi « Informatique et libertés » remet en cause l’exercice du contrôle par son supérieur hiérarchique.
Le Gouvernement ne peut ainsi qu’être défavorable à la désignation d’un correspondant à la protection des données dans ces services.
A défaut de rappeler aux organismes leurs devoirs, et aux citoyens leurs droits, la CNIL rend public ce jour une application iPhone “destinée à sensibiliser les jeunes et leur donner les bons réflexes pour contrôler leur image sur Internet“.
L’an passé, pour la 4e édition de cette journée, je m’étais étonné de cette sorte de fixette faite sur l’internet, comme si les questions de vie privée étaient ainsi “solubles” dans le www (voir Le monde entier enterre la vie privée).
En l’espèce, il y a pourtant fort à faire : la semaine prochaine, l’Assemblée discutera en effet, en deuxième lecture, d’une proposition de loi de simplification et d’amélioration de la qualité du droit qui, entre autres choses, veut consacrer un “principe général d’échanges d’informations entre administrations“, et donc revenir sur ce pour quoi la loi informatique et libertés avait précisément été adoptée (voir Safari et la (nouvelle) chasse aux Français).
