Baromètre AFCDP du Droit d’Accès : progrès confirmé dans les entreprises
Par Bertrand Lemaire | Le | Gouvernance
Les entreprises répondent de mieux en mieux aux exigences du RGPD en matière de droit d’accès selon le Baromètre de l’AFCDP. Mais la conformité est encore très très loin du 100 %.

L’AFCDP (Association française des correspondants à la protection des données personnelles), l’association professionnelle des DPO, réalise tous les ans un Baromètre du Droit d’Accès. Celui-ci consiste à faire demander à des entreprises les données possédées sur des individus par des étudiants du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l’ISEP (Institut Supérieur d’Électronique de Paris, grande école). Ces étudiants mesurent la proportion de réponses et la qualité de celles-ci. Ce qui est désolant, c’est que répondre rapidement et de manière appropriée est une exigence de l’article 15 du RGPD. Mais les entreprises sont loin de toutes être conformes.
Cependant, au fil du temps, l’AFCDP constate une nette amélioration. Et c’est de nouveau vrai cette année. Sur les 95 responsables de traitement soumis au RGPD, 61 organismes ont réagi dans les temps aux demandes qui leur ont été adressées, soit 64,2 % de l’échantillon. On est donc toujours loin des 100 % mais le progrès est certain face aux 59,1 % de 2024, 50,7 % de 2023 et 45,9 % de 2022. 35 % de responsables de traitement n’ont pas réagi et ne semblent pas en mesure de communiquer les données personnelles aux personnes concernées. L’AFCDP rappelle « l’augmentation du nombre de sanctions pécuniaires infligées ces derniers mois par la CNIL à la suite de telles non-conformités. » A bon entendeur…
La réponse peut exister mais ne pas être totalement conforme dans la forme ou dans le fond (La transmission des données était-elle sécurisée ? Les données transmises paraissaient-elles complètes ? Étaient-elles fournies sous une forme compréhensible ? Les délais sont-ils respectés ?). Une qualité « excellente » a été attribuée à 30 réponses, soit environ un tiers. Là encore, on est très loin du 100 %… Quelques gags savoureux sont mentionnés à titre d’anecdotes. Par exemple, contacter l’entreprise suppose d’utiliser un service re-captcha de Google (avec transfert de données aux Etats-Unis). Autre exemple : le service client répond que la demande est prise en compte, envoie un questionnaire de satisfaction et… s’arrête là. Une autre entreprise a aussi demandé de justifier une demande relevant pourtant d’un droit garanti par le RGPD…