Conformité RGPD : la pratique suit-elle la théorie ?
Les organisations sont-elles en mesure d’exercer les droits que le RGPD confère aux citoyens ? Les observations d’une start-up positionnée sur ces problématiques suggèrent que non.
[Mise à jour du 13 décembre 2018 : changement de marque pour Freebip, devenu Misakey]
[Mise à jour du 7 décembre 2018 : « Petit Empereur était […] un nom administratif de départ, […] en train d’être changé, et le seul nom qui est aujourd’hui communiqué est […] Freebip », nous a signalé l’entreprise.]
Il reste difficile, pour les Français, de faire exercer les droits que le RGPD leur donne en matière d’accès à leurs données personnelles.
La start-up Freebip (ex-petit empereur) en est arrivée à cette conclusion à l’issue d’une expérimentation menée auprès de 439 164 sites internet*.
Elle publie ses observations à quelques semaines du lancement, en bêta, de sa plate-forme Freebip… destinée entre autres à faciliter l’exercice des droits que garantit le RGPD.
L’expérimentation a porté sur un droit inscrit aux articles 13, 14 et 15 du règlement européen : celui de demander à tout responsable du traitement un accès aux données à caractère personnel, ainsi que la rectification ou l’effacement de celles-ci.
Les 439 164 sites ont été sollicités entre octobre et novembre par voie électronique. Les messages qui leur ont été adressés semblaient provenir de personnes prétextant notamment la réception de spam. Leur requête : savoir si lesdits sites avaient des informations liées à leur adresse e-mail, que ce soit dans leurs bases de données ou celles de leurs sous-traitants.
Pièce d’identité, s’il vous plaît
Bilan : 1 % des sites ont répondu positivement sous 30 jours. Les e-mails ne sont pas parvenus dans 16 % des cas.
Les autres (83 %) n’ont « pas été en mesure de répondre », selon Freebip. Certaines sont tout simplement restées silencieuses. Parmi celles qui ont répondu, on a demandé, pêle-mêle, de préciser les services utilisés, de remplir un formulaire, d’envoyer le scan d’une pièce d’identité… ou de faire une demande par voie postale.
Le taux de retours « positifs » a été plus élevé (17 %) chez les 10 051 sites qui proposaient une adresse e-mail de contact dédiée aux questions liées aux données personnelles. Pour autant, 74 % d’entre eux n’ont pas répondu. Et 3,5 % n’étaient pas joignables.
Autre obstacle à la mise en application du RGPD : la barrière de la langue. Parmi les sites qui ont positivement répondu en français, 19 % ont pu répondre dans la langue maternelle d’un Allemand. 30 % ont choisi de répondre en anglais ; 45 % n’ont pas donné suite.
* Freebip ne donne pas davantage de détails sur le profil des sites internet sollicités.