La plupart des organisations n’offrent pas encore un droit de regard sur les données personnelles qu’elles stockent

Une étude effectuée par l’UGent auprès de 220 organisations de traitement de données personnelles montre que plus de la moitié d’entre elles n’accepte pas les demandes visant à les consulter, alors que c’est obligatoire. Et parmi celles qui acceptent, les fichiers semblent souvent malaisément interprétables ou bien l’identité du demandeur n’est pas contrôlée.

Sous l’égide des chercheurs Glen Joris et du dr. Peter Mechant (Onderzoeksgroep Media, Innovatie en Communicatie Technologie), six étudiants en sciences de la communication de l’UGent ont, il y a quelques mois, pris contact avec 220 entreprises, associations et organisations actives dans le secteur des données, pour leur demander de pouvoir examiner leur façon de traiter les données personnelles. Ils ont ensuite dressé un rapport sur la manière dont ces organisations exercent le droit de regard, qui figure dans la loi nationale sur la confidentialité de 1992.

L’analyse démontre que sur les 220 firmes de traitement de données personnelles contactées, seules 106 ont accepté de les partager (48,2%), dont 99 endéans le délai légal de 45 jours ouvrables. Elles ont mis en moyenne 18 jours pour traiter la demande.

“Dans certains cas, il a fallu envoyer jusqu’à 14 mails ou verser jusqu’à 10 euros, avant que les données soient transférées. L’étude montre que le respect de la loi actuelle sur la confidentialité reste en grande partie lettre morte et que les organisations accusent une important retard vis-à-vis des exigences du GDPR”, affirment les chercheurs.

Les politiques de confidentialité couvrent en moyenne cinq pages A4

L’étude a aussi examiné les politiques de confidentialité en ligne de ces organisations. En moyenne, elles se composent de 2.734 termes (cinq pages A4). 50 des 220 firmes de traitement des données (22,7 pour cent) n’y avaient pas mentionné le droit de regard des données personnelles. Prendre contact avec les organisations à propos de ce droit de regard ne semble en outre pas évident du tout: quatre sur dix (37,6 pour cent) ne mentionnent en effet aucun interlocuteur spécifique pour ce faire.

Les demandes se sont faites au moyen d’un formulaire type sur lequel un seul critère, à savoir l’identification, avait été omis, afin de vérifier comment les organisations allaient réagir. L’identification du demandeur est légalement obligatoire pour éviter toute consultation illicite. Il n’empêche que seules 39 des 106 organisations ont exercé une forme spécifique de contrôle d’identité. 24 demandèrent de réintroduire la demande à partir de l’adresse mail qu’elles connaissaient ou d’en établir à tout le moins une liaison. Seul un nombre restreint appliquait une authentification double, par laquelle un code était envoyé à l’adresse e-mail privée ou au numéro de GSM de l’étudiant. ‘Il apparaît donc parfaitement possible de solliciter les données de tiers, sans que vous deviez vous identifier vous-même’, déclare le chercheur Glen Joris.

Fichiers illisibles

Lorsque les étudiants reçurent effectivement leurs données sous la forme d’une pièce jointe (seules 69 organisations sur les 106 l’ont fait), ils purent… tenter de consulter leurs données personnelles. “Même si les étudiants ont parfois été sidérés par la quantité de données qui étaient stockées à leur sujet, ils ont connu surtout des problèmes d’ouverture et d’interprétation correcte des fichiers de données. Outre l’énorme diversité de formats – csv, .png, .json, .pdf, … -, plusieurs fichiers étaient en effet malaisément interprétables, voire carrément illisibles pour l’utilisateur ordinaire d’un ordinateur”, selon les chercheurs.

GDPR

Nombre d’organisations ne semblent dès lors pas prêtes pour la nouvelle réglementation européenne (GDPR), qui entrera en vigueur vendredi prochain. Pourtant, le droit de regard des données existe depuis 1992 déjà. Une fois le GDPR appliqué, le non-respect de la loi sur la confidentialité pourra être sanctionné et ce, pour la première fois.