La réalité du droit d'accès à nos données personnelles


Le droit d'accès à nos données personnelles est loin d'être toujours respecté. Micro audit qui révèle surprises et déceptions.



Publié le 19 août 2023



Le droit d'accès : un droit fondamental


L'une de nos principales préoccupations en termes de données personnelles pourrait se résumer à cette question : qui détient quoi ? C'est ce que nous avons essayé de savoir cet été, en réalisant un mini audit. Notre boite de réception de courriel n'étant pas exempte de spam (loin s'en faut), nous avons décidé d'exercer notre droit d'accès à nos données personnelles pour toutes les entreprises nous spammant, soit un peu moins d'une quinzaine. Les résultats sont aussi inattendus qu'éloquents.



Citons tout d'abord l'article 15 du RGPD, qui définit ce qu'est le droit d'accès.



Article 15



La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi que les informations suivantes:


a) les finalités du traitement;


b) les catégories de données à caractère personnel concernées;


c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;


d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;


e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement;


f) le droit d'introduire une réclamation auprès d'une autorité de contrôle;


g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;


h) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.




Pour notre part, notre requête était "simple" : nous avons demandé l'intégralité de nos données personnelles détenues par les entreprises nous spammant. Au regard de l'article 15, que cela signifie-t-il ?



- Que TOUTES les données personnelles faisant l'objet d'un traitement doivent être communiquées. "Toutes" inclut donc, par exemple, l'ensemble des courriels de prospects (contenant une adresse courriel personnelle, donc une donnée personnelle) qui nous ont été adressé,
- Que les destinataires d'éventuelles transmissions de données, souvent "partenaires" du site visité doivent être indiqués (ou à défaut les catégories de destinataires),
- Que l'entreprise concernée doit préciser si, oui ou non, l'utilisateur final fait l'objet d'un profilage ou d'une décision automatisée,
- Que l'entreprise doit également fournir tout identifiant associé au compte, ainsi que la nature des terminaux utilisés lorsque l'utilise se connecte à son compte.


Préalablement, nous avons réalisé un petit sondage sur les réseaux sociaux en posant, pour celles et ceux qui l'avaient fait, la question suivante : "Avez-vous estimé avoir obtenu une réponse satisfaisante suite à un exercice de droit d'accès au titre de l'article 15 du RGPD ?". Une petite centaine de personnes ont répondu, (et on les remercie vivement d'avoir participé), certaines précisant que la qualité des réponses obtenues variait en fonction de la nature des données demandées. Voici le résultat de ce sondage sous forme de graphe.





Les proportions visibles ci-dessus reflètent in fine la disparité des réponses que nous avons obtenues de notre côté via les entreprises qui nous spamment. En effet, la qualité de celles-ci s'étale sur un spectre qui va du très bon en passant par le moyen, le mauvais, le très mauvais involontaire, et le très mauvais intentionnel.


Nous avions souhaité dans un premier temps ne citer aucune marque. Les réponses obtenues nous ont poussé à faire l'inverse. En effet, certaines entreprises, dont on perçoit bien l'effort fourni en termes de respect des droits de l'usager, méritent d'être mises en valeur. De même, nous estimons nécessaire de citer également les entreprises qui bafouent et / ou négligent les droits de l'usager, avec parfois une désinvolture pour le moins rageante.


Au résultat !


Les champions : les grandes entreprises (dont les GAFAM)


Il faut le dire : Les réponses de meilleure qualité nous ont été fournies par… Amazon prime, Google et Booking.


Palme d'Or à Amazon Prime qui nous indique tout, et même plus encore : Etat-civil, coordonnées, achat et visionnages réalisés bien sûr, mais aussi : liste complète des mails de prospects envoyés (avec précision si le mail a été ouvert ou non), liste complète et valeur des cookies et traceurs (y compris les pixels) déposés sur les terminaux, destinataires des infos transmises, liste des segments et profilage réalisés, identification des terminaux utilisés, et le bonus : liste générique de terminaux utilisés sans connexion au compte, mais très vraisemblablement lié à celui-ci.


De façon plus claire : c'est la toute première fois qu'une entreprise fournit, sans pour autant corrompre des données ni impliquer un tiers, des données de type probabiliste, ce qu'elle pourrait contourner au regard de la jurisprudence existante (cas Criteo, paragraphes 114 et 117 cités dans notre article sur ce sujet). Il ne s'agit en aucun de réaliser ici une critique des pratiques commerciales ou marketing, mais il faut le dire : jamais jusqu'à présent nous n'avons obtenu de données aussi complètes. On peut cependant reprocher une réelle complexité de lecture et / ou d'exploitation des données reçues.



Google arrive juste derrière, avec toutefois une liste des traceurs qui n'est pas totalement exhaustive.



Booking se situe en troisième place, avec une mention félicitations pour la lecture des données facilement compréhensible et exploitable.



Mention spéciale tout de même pour deux entreprises françaises qu'il convient de féliciter (dans ce domaine du moins) :



- Printemps,
- Interflora France,



qui fournissent des informations très complètes : il y manque la valeur des traceurs associés ; mais on peut reconnaître que le droit d'accès est respecté et la réponse plutôt complète.



Un ventre mou hors règlementation



On passe un (gros) cran en dessous, avec des entreprises de taille moyenne (mais pas toutes) dont on perçoit bien une profonde méconnaissance de la réglementation. Ainsi, certaines nous ont répondu de façon extrêmement partielle. On devine bien que les responsables de traitement ou leur DPO ont pensé avoir satisfait la demande : il n'en est rien. Aucun spam mentionné (entre autres manquements), très vraisemblablement parce que les campagnes de "cold prospect" sont sous traitées et / ou mal maîtrisées. La méconnaissance de ce qu'est une donnée personnelle est aussi probablement à l'origine de la pauvreté des réponses, avec, du moins nous le soupçonnons, le manque de moyens. Car en effet, tenir un registre de données à jour demande de sérieuses ressources humaines et matérielles, vraisemblablement négligées par les entreprises concernées.



C'est ainsi que nous pouvons attribuer la palme de la négligence (pas forcément intentionnelle cela dit) à "jeuxvideo.com", pour lequel notre compte est inactif depuis plus de trois ans, ce qui a pour effet de ne plus pouvoir se connecter. En revanche, les spams sont toujours, eux, bien évidemment adressés. Mais quand le membre de Webedia affirme que notre compte est inactif et que par conséquent nos données sont automatiquement supprimées, le jour même où nous recevons un spam de sa part, on se demande s'il faut en rire ou en pleurer. L'utilisation de gmail par cette entreprise y est-elle pour quelque chose ? Difficile à dire.



Même type de réponse pour Carrefour Spectacles, dont la politique de confidentialité renvoie vers Ticketmaster, qui ne retrouve plus de compte actif, et renvoie à nouveau la balle vers Carrefour France. Un bel imbroglio qui permet de diluer les responsabilités tout en exploitant à minima la donnée personnelle qu'est l'adresse courriel pour spammer en toute impunité, sans pour autant avoir de réponse, bien évidemment. Néanmoins, on pressent plus chez ces entreprises une profonde négligence qu'une réelle intentionnalité malveillante ou protectionniste. Les conséquences pour l'usager restent cependant les mêmes : pas d'accès à ses données personnelles.



Les vrais grands méchants



On passe ici dans un registre plus pervers. Deux catégories d'entreprises se distinguent. La première : celles qui méprisent pleinement les droits fondamentaux des utilisateurs par une absence totale de réponse, en l'espèce :


- FNAC billetterie,
- Ceative Labs



La seconde : celle qui ne fournit que très peu de données, mais dont on sait qu'elle en détient beaucoup plus : Valiuz.


Nous avons écrit il y a quelques mois un article sur les DMP qu'on vous invite à relire brièvement. Dans celui-ci, nous précisions avoir exercé à l'époque notre droit d'accès à deux entreprises :


- Electro dépôt, membre de l'alliance Valiuz, en donnant notre courriel de compte en référence
- Valiuz, en en donnant uniquement un cookie identifiant en référence, hors connexion de compte.


Toutes deux avaient répondu de façon satisfaisante à notre demande, notamment électro dépôt, qui a tout précisé : achats, profilage et segmentation (segmentation réalisée sur UNE SEULE session d'achat de trois articles en magasin !), destinataires des données (parmi lesquelles figure Valiuz), etc.



Cette fois-ci, notre demande envers Valiuz a eu pour référence le même courriel que celui d'électro dépôt. Quelle n'est pas notre surprise de constater que la réponse de la plateforme s'est résumée aux données d'Etat-civil et la liste de nos achats.


La segmentation réalisée ? Non communiquée, ce qu'Electro-dépôt lui-même n'a pas fait.
La mention de transmission de données vers la DMP partenaire Médiarithmics ? Méprisée
Le listing de courriels de prospect ? Totalement absent.
Les synchronisation avec les achats "réels" en magasin, dont on rappelle qu'il s'agit là de la vocation principale de Médiarithmics et Valiuz ? Rien..


Nous ne nous épancherons pas plus sur le "cas Valiuz", que nous avons déjà largement évoqué dans nos articles précédents (notamment dans une partie de cet article), si ce n'est que pour affirmer que Valiuz ne vous dit que ce qu'il a envie de dire, ce qui ne nous surprend malheureusement guère.


Voici ci-dessous deux tableaux récapitulatifs de nos demandes, dont l'image en synthèse est téléchargeable ici









Qu'en retenir ?



Que la donnée personnelle reste un bien très volatile et, pour une part non négligeable d'entreprises, pas du tout maîtrisée. Car ne nous y trompons pas : le fait d'être en capacité pour des entreprises comme Booking, Google et Amazon de pouvoir répondre pleinement à une demande de droit d'accès montre aussi que celles-ci maîtrisent parfaitement nos données et, conséquemment, savent tout aussi parfaitement les exploiter.


On ne peut pas dire la même chose d'autres entreprises, dont on peut raisonnablement penser que la majorité n'a pas conscience des données qu'elle détient. Fait plutôt dangereux si l'on considère la transmission de celles-ci vers des partenaires, dont on ignore (y compris l'émetteur lui-même) le nombre; la durée de conservation et et la teneur de leur traitement. La "Dark data", dont ces données font très vraisemblablement partie, trouve dans ce cas précis son origine dans la négligence et la faible connaissance de la réglementation.



Bien dommage, et préoccupant quel que soit le cas de figure.



Par ailleurs, il nous est possible de porter réclamation auprès de la CNIL, ce que nous ferons , mais sans illusion. En effet, pour mémoire, une plainte à ce sujet est toujours en cours, depuis plusieurs mois désormais. La durée de traitement des plaintes laisse bien peu d'espoir quant au résultat escompté : connaître les données personnelles détenues (mais aussi : générées) par les entreprises qui les détiennent.



En tout état de cause, une rigueur accrue en termes de gestion des données personnelles par nos entreprises est hautement souhaitable.



Dignilog.