Données personnelles : les bonnes pratiques pour répondre à un particulier

En 2019, la Cnil a contrôlé une vingtaine d’acteurs appartenant aux secteurs suscitant le plus de réclamations de la part des particuliers lorsque ceux-ci souhaitent exercer leurs droits. Il s’agit des assurances, des banques, du recouvrement de créances, de la grande distribution, du commerce en ligne, des sites de rencontre et des ministères.

Des questions sur la durée de conservation des données

Côté mauvais points, la Cnil constate que l’information fournie aux personnes est souvent incomplète, en particulier du fait de l’absence d’information concernant les bases légales utilisées par les entreprises et les durées de conservation des données. L’information est difficilement accessible ou inintelligible. Néanmoins, la Cnil a constaté que les organismes contrôlés ont, pour la plupart, bien pris en compte l’exigence de respecter les droits des personnes.

À cet égard, la Cnil retient certaines bonnes pratiques observées. Il s’agit par exemple de l’élaboration de réponses types à destination du service client pour qu’il puisse gérer l’exercice des droits des personnes ; l’utilisation d’une adresse e-mail dédiée par un service unique de réponse aux particuliers ; l’usage d’un outil spécifique pour tracer les demandes d’exercice des droits.

Certaines modalités facilitent l’exercice des droits en ligne et sont encouragées par la Cnil. Il s’agit par exemple de la possibilité pour les personnes de télécharger elles-mêmes leurs données à partir de leur compte en ligne dans le cas de l’exercice du droit d’accès et du droit à la portabilité de ses données personnelles. On citera à ce titre le cas emblématique du Leboncoin qui a mis en place un tel dispositif.

Des délais excessifs pour répondre aux demandes des particuliers

À l’inverse, la Cnil constate des mauvaises pratiques récurrentes telles que des délais excessifs pour répondre aux demandes d’exercice de droits ; l’absence de lien de désabonnement dans les e-mails de prospection commerciale ; le fait qu’un client ne puisse pas supprimer son compte en ligne par lui-même. La Cnil a donné des suites répressives à certains de ces dossiers avec des rappels à l’ordre, des mises en demeure ou des sanctions.

Un cas particulier concerne les sous traitants amenés à traiter des données personnelles pour le compte de leur client, lui-même responsable de traitement. Des contrôles ont été effectués, sur cette thématique, auprès de 15 organismes, fournisseurs de services et de solutions informatiques en ligne à destination d’organismes publics ou privés, de la TPE à la multinationale.

Bilan ? Les sous-traitants ont dans l’ensemble bien pris conscience de l’évolution du cadre légal concernant leur activité. La majorité d’entre eux ont encadré leurs prestations par des clauses respectant les termes de l’article 28 du RGPD. L’article 28 du RGPD dispose que, lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci doit faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes.

Des modèles types d’information des personnes

Les vérifications ont mis en évidence de bonnes pratiques de la part de certains de ces acteurs. Ils ont par exemple mis à disposition de leurs clients des modèles d’information des personnes ou des clauses contractuelles types. Ils ont également pu mettre à disposition des outils permettant d’assurer l’exercice des droits des personnes tels que des liens de désinscription automatique, des outils de suivi des demandes des utilisateurs, des boîtes e-mail de contact unique.

Ces vérifications ont toutefois montré que certains prestataires pensent à tort ne pas être soumis au RGPD et ne pas devoir être qualifiés de sous-traitants. C’est notamment le cas lorsqu’ils réalisent une prestation de maintenance pour laquelle l’accès aux données à caractère personnel reste ponctuel et n’est qu’une conséquence « fortuite » de leur prestation. A ce stade, la Cnil a donc décidé de renforcer sa démarche pédagogique pour sensibiliser les professionnels sur ces questions. Ces contrôles devraient permettre d’établir une grille d’analyse concernant la conformité des clauses encadrant la relation de sous-traitance au regard de l’article 28 du RGPD.

Enfin, afin de mettre en place les bonnes pratiques, il est nécessaire côté entreprises de disposer des bonnes compétences et de la bonne organisation, en particulier de disposer d’un délégué à la protection des données ou DPO (Data Protection Officer). En 2019, côté entreprises et organismes publics, 64 900 ont désigné un DPO. Cela représente 21 000 DPO « personnes physiques », car des organismes mutualisent leur DPO. C’est +31% par rapport à 2018.