« On a beaucoup de droits, ok, mais pour les faire valoir, c’est compliqué » : les épreuves de l’exercice des droits
Rédigé par Antoine Courmont
-
25 February 2022La mise en œuvre des droits de protection des données est un chemin, pouvant être semé d’embûches pour les personnes. Présentation des principaux obstacles à surmonter pour exercer ses droits.
[Dossier] La protection des données est-elle un sport de riches ?
- Introduction - La protection des données est-elle un sport de riches ?
- Le plaignant type ? Un homme, diplômé et cadre
- « S’ils m’avaient répondu concrètement, je n’aurais pas fait appel à la CNIL » : les dynamiques relationnelles de l’exercice des droits
- « On a beaucoup de droits, ok, mais pour les faire valoir, c’est compliqué » : les épreuves de l’exercice des droits
- Le travail, premier vecteur de socialisation à la protection des données ?
Le cadre juridique de protection des données personnelles dote les individus de droits afin qu’ils puissent contrôler les flux d’informations les concernant. Chaque personne dispose ainsi de droits à l’information, d’accès, d’opposition, d’effacement, de rectification ou encore de portabilité de ses données. Elle doit pour cela adresser dans un premier temps ses demandes à l’organisme concerné (entreprises, acteurs publics, associations, etc.), puis, si elle n’obtient pas satisfaction, elle peut contacter la CNIL.
Toutefois, en pratique, l’exercice de ces droits peut s’avérer complexe. Plusieurs difficultés et obstacles apparaissent dans le chemin du droit, comme en témoignent les plaignants que nous avons interrogés. Ces difficultés constituent autant d’épreuves qu’il faut surmonter avant d’adresser une plainte à la CNIL. Selon les compétences et les connaissances des personnes, elles peuvent être des obstacles qui conduisent au non-recours.
Malgré la diversité des situations rencontrées, un certain nombre d’étapes, par lesquelles les personnes doivent passer avant de s’adresser à la CNIL, peuvent être identifiées : parvenir à contacter l’entreprise, attester de son identité, dépasser les obstacles matériels de la procédure, investir un temps conséquent, connaître la CNIL, se constituer un dossier de preuves et, enfin, adresser sa plainte à la CNIL. Chacune de ces étapes peut conduire les personnes à se résigner et abandonner le processus d’exercice de leurs droits. A l’inverse, exercer ses droits conduit à un apprentissage progressif des procédures et des techniques. Une fois ce « capital procédural » constitué, certains plaignants deviennent des « repeat players » ayant l’habitude des procédures et tirent davantage profit du droit que les « one shooters » qui y ont un recours occasionnel. Ils exercent alors plus fréquemment leurs droits de protection de leurs données personnelles. Sur les 284 plaignants ayant répondu à notre questionnaire, plus qu’un quart d’entre eux (27%) avait déjà adressé une plainte à la CNIL.
« C’est un 110 mètres haies pour réussir à les joindre. »
La première épreuve à l’exercice des droits consiste à identifier l’entreprise et à dénicher un numéro de téléphone, une adresse postale, un formulaire sur son site internet, ou une adresse email pour parvenir à la contacter. Malgré les moteurs de recherche ou autres annuaires, cette étape est loin d’être triviale. Pour un grand nombre des personnes interrogées, elle constitue même la difficulté principale, tant l’information peut être enfouie sur une page isolée des sites internet des entreprises.
C’est vraiment difficile de parvenir à joindre [cette entreprise]. C’est une maison de fous ! Le formulaire pour faire retirer des informations est sur une page qui est assez cachée. (…) C’est vraiment une bataille. C’est très difficile de contacter les sites Internet, tout est fait pour qu’on ne puisse pas les joindre, en particulier quand les sites ne sont pas européens. (…) C’est vraiment sinueux et compliqué. Le plus compliqué, c’est d’ailleurs clairement de trouver le contact. (Homme, 25-29 ans, Bac+2/Licence, Cadre et profession intellectuelle supérieure)
J’ai alors contacté le DPO de (nom d’une entreprise). Bon, ça n’a pas été simple pour trouver son email. J’ai fait comme je fais d’habitude : j’ai regardé dans les mentions légales, il y a toujours le responsable du site et son contact. Là, je n’ai pas trouvé celui du DPO. Pour le trouver, j’ai dû faire une recherche via Google ! J’ai réussi à trouver un email, j’ai envoyé un message. (…) mais il n’y a même pas de numéro de téléphone pour les joindre, ça ajoute un stress supplémentaire, on ne sait pas à qui on parle, on ne sait pas qui est ce DPO. (Femme, 50-59 ans, Bac+2/Licence, Profession non mentionnée)
J’ai regardé pour contacter les entreprises prestataires, c’était facile de les identifier, il y a leur nom dans le texto. Mais, c’est un 110 mètres haies pour réussir à les joindre. Déjà trouver leur site internet, puis trouver un mail, c’est très compliqué. (Homme, 30-39 ans, Bac+2/Licence, Etudiant)
Si légalement les individus peuvent exercer leurs droits par le biais de n’importe quel moyen de contact, les individus cherchent le plus souvent à contacter le DPO de l’entreprise ou le service en charge de la gestion des données personnelles. Or, ce contact est rarement mis en avant sur les sites internet (pour information la CNIL publie en open data la liste des DPO enregistrés auprès d’elle, mais il n’est pas obligatoire d’avoir un DPO pour toutes les entreprises). Plusieurs stratégies sont mises en œuvre : fouiller dans les mentions légales, faire une recherche sur Google. Certains vont même jusqu’à contacter des employés de l’entreprise sur Linkedin !
L’automatisation des services commerciaux est également perçue comme un obstacle supplémentaire. Un nombre significatif de plaignants mentionnent les difficultés à avoir un échange avec une personne de l’entreprise, notamment lorsque leur cas est complexe et ne correspond pas aux procédures et aux formulaires automatisant l’exercice des droits. Courriels sans retours, absence de réponses aux appels téléphoniques, chatbots ou serveurs téléphoniques, etc. L’automatisation des services commerciaux des entreprises (ou des services publics), selon des scénarios préétablis qui ne correspondent pas toujours aux situations réelles, est un obstacle à la mise en œuvre des droits. La perte de lien social qu’elle induit est un motif récurrent de contestation par les plaignants.
Quand j’ai découvert ça, j’étais horrifiée et j’ai essayé de les contacter. Je suis allée sur le site à toutes les rubriques. Aucune rubrique ne correspond à ma demande. Je n’ai aucun moyen de les contacter pour me plaindre du fait qu’ils publient mon code confidentiel. (…) Je ne vois pas ce que je peux faire… Je peux télécharger l’application mobile mais je serais exactement dans la même situation, à savoir que dans « autres demandes » il y a toujours les mêmes rubriques. Il n’y a pas la possibilité d’écrire une lettre. (…) Je ne sais pas quoi faire... On n’a aucun moyen de les contacter. (Femme, 70 ans et plus, Bac+2 / Licence, Retraité)
Quand je me suis aperçu de l’erreur, j’ai tout de suite essayé de corriger cela. Mais bon, il était minuit, et je n’ai réussi à accéder qu’à une messagerie vocale. De toute façon chez [nom de l’entreprise], c’est l’enfer pour avoir des contacts. Pour s’inscrire et souscrire à une offre, là y’en a des numéros, mais sinon… Chez eux, il y a un chat, de 9h à 18h. Mais ils n’écoutent pas. Il faut tomber sur la bonne personne. (…) il faut passer par 3 services, que des messageries vocales, et un chat pour quelque chose d’urgent. (Femme, 25-29 ans, Bac+2/Licence, Étudiant)
Enfin, exercer ses droits requière d’entrer en contact à distance avec l’entreprise et d’exprimer sa demande. Si certaines médiations facilitent l’opposition au traitement de ses données (le SMS « STOP », le lien « Me Désinscrire » dans un email, le formulaire de suppression de son compte dans des services en ligne, etc.), d’autres nécessitent que le plaignant prenne sa plume pour les exprimer à l’organisme. Or, l’apprentissage des manières d’entrée en contact avec une entreprise est très inégalement distribué. La forme classique du courrier (électronique ou non) implique une certaine maîtrise de l’écrit par la rédaction de lettres de type formel. Il faut être capable d’exprimer d’une manière claire et compréhensible son problème, sa demande et, éventuellement, de la justifier en s’appuyant sur le droit.
Pour cela, certains plaignants s’appuient sur des ressources disponibles en ligne, tels que des modèles de courrier récupérés sur le site officiel de la CNIL ou de militants les mettant à disposition. D’autres plaignants, qui exercent fréquemment leurs droits, se sont constitués leurs propres modèles de courriers.
J’ai un texte tout fait dans un document Word, un message type, que j’adapte selon les cas, dans lequel je demande la suppression de toutes mes données ainsi que de m’indiquer comment ils ont obtenu mes données. Je cite explicitement les textes de loi sur lesquels je m’appuie pour cela. Je l’ai tourné sous la forme d’une mise en demeure, leur demandant de procéder immédiatement à la suppression de mes données. (Homme, 50-59 ans, CAP-BEP, Employé)
J’ai trouvé sur Internet un modèle de courrier, très bien fait, qui indique les droits RGPD et demandent aux entreprises d’indiquer comment elles ont eu accès à mes informations et de les supprimer. C’est rapide, il suffit de copier/coller le courrier et de l’envoyer par email à l’entreprise. (Homme, 30-39 ans, Bac+2/Licence, Développeur informatique)
J’ai récupéré le courrier type sur le site de la CNIL que j’ai envoyé à une demi-douzaine d’organismes. (Homme, 40-49 ans, Master et +, Profession intermédiaire)
Attester de son identité
L’épreuve suivante consiste à attester de son identité, étape indispensable pour que l’entreprise puisse faire le lien entre le demandeur et les données de celui-ci dans son système d’information. Selon les organismes, cette procédure peut s’effectuer de différentes manières selon les sites : simple envoi d’email, copie des papiers d’identité, envoi d’un code ou d’un lien à l’adresse email du compte, connexion sur le compte en ligne sur le site de l’entreprise, etc. Si elle est légitime pour s’assurer de l’identité de la personne qui exerce ses droits, la demande d’informations complémentaires demandées peut rebuter certains plaignants.
Ils m’ont répondu qu’il fallait que je fournisse une copie de ma carte d’identité. J’ai refusé en disant que la copie de ma carte d’identité était nécessaire uniquement s’ils avaient un doute légitime sur mon identité. Or, là, ils me contactent par email en me disant que j’ai donné mon accord, donc, ils n’ont pas de doute sur mon identité ! J’ai relancé plusieurs fois, je n’ai plus jamais eu de réponse. (Homme, 40-49 ans, Bac+2/Licence, Cadre et profession intellectuelle supérieure)
Parfois, c’est plus compliqué, il n’y a pas cette possibilité de gestion des consentements sur les sites internet et je suis obligé d’envoyer des courriers recommandés. Ce que je trouve aberrant c’est quand ils demandent en plus une copie de la pièce d’identité. Je trouve ça extrême : je demande juste à ne plus recevoir de publicités, pas que l’on supprime toutes mes informations personnelles. Ils cherchent vraiment à décourager les gens à faire ce genre de démarche. (Homme, 40-49 ans, Master et +, Cadre et profession intellectuelle supérieure)
Dans certains cas, notamment en cas de comptes anciens, cela peut s’avérer particulièrement complexe alors que les personnes n’ont plus accès à la boîte email avec laquelle ils ont créé ce compte.
J’ai un vieux profil sur lequel il y a des photos de moi et des informations. Je veux le supprimer, mais il est associé à une ancienne adresse email sur laquelle je n’ai plus accès. Et là, c’est le parcours du combattant. J’ai l’impression d’être dans une boucle infinie. Je n’ai plus accès à l’email ni au mot de passe du compte. Et donc, [le réseau social] me propose de réinitialiser le mot de passe par email pour pouvoir supprimer mon compte. Sauf que je n’ai plus accès à leur email. (Homme, 25-29 ans, Bac+2/Licence, Cadre et profession intellectuelle supérieure)
Par ailleurs, certains s’inscrivent à des services en ligne sous un faux patronyme ou en modifiant certaines informations (sexe, date de naissance, etc.) pour ne pas divulguer leur identité. Cela peut entraîner des conséquences au moment de l’exercice des droits : l’organisme rejetant leurs demandes puisque les informations inscrites sur leur document d’identité ne correspondent pas à celles présentes dans les bases de données de l’entreprise. Certaines personnes peuvent ainsi se retrouver dans des situations kafkaïennes qui les empêchent d’exercer leurs droits puisqu’ils ne sont pas en mesure d’assurer à l’entreprise qu’ils sont bien les personnes concernées par ces informations. Ce type de situation semble toutefois très difficile à résoudre simplement.
Dépasser les obstacles matériels
Certaines demandes des responsables de traitement peuvent alourdir le processus d’exercice des droits. Il peut s’agir de répondre en langue anglaise, demander des documents justificatifs complémentaires (pièces d’identité), de réclamer l’envoi d’une demande par voie postale ou d’un courrier recommandé, d’exiger d’utiliser un formulaire ou une procédure interne, etc. Si ces demandes peuvent être justifiées pour des raisons organisationnelles, toutes ces exigences sont autant d’obstacles pour les individus.
Le formulaire pour faire retirer des informations est sur une page qui est assez cachée, il faut ensuite imprimer un formulaire puis l’envoyer en courrier recommandé. Et depuis le Canada, ça coûte cher d’envoyer un courrier recommandé en France ! (Homme, 25-29 ans, Bac+2/Licence, Cadre et profession intellectuelle supérieure)
Au cours de nombreux échanges de mails s’étalant sur une durée d’environ 10 mois, la société lui a demandé d’adresser un courrier recommandé au Panama ; refusé de communiquer une adresse postale française pour l’envoi du recommandé ; demandé de payer pour accéder à sa fiche d’informations – ce qu’elle a refusé de faire. (Femme, 25-29 ans, Master et +, Cadre et profession intellectuelle supérieure)
J’ai fait ça il y a quelques mois, ils ont supprimé une partie, mais pas tout. Je les ai relancés et relancés plusieurs fois, je n’ai pas eu de réponses. J’ai fini par les appeler et ensuite, j’ai eu un email dans lequel ils m’ont indiqué qu’il fallait que j’envoie un courrier recommandé. Je n’allais quand même pas envoyer un courrier recommandé donc, je leur ai dit que j’allais déposer une plainte et engager une procédure auprès de la CNIL. (Homme, 30-39 ans, Master et +, Cadre et profession intellectuelle supérieure)
Investir du temps
Le temps nécessaire à la procédure est une friction supplémentaire dans l’exercice des droits de protection des données. D’une part, faire une demande de droits auprès de l’organisme demande du temps et nécessite un investissement temporel non négligeable. Certains plaignants déclarent ainsi consacrer plusieurs heures par semaine à l’exercice de leurs droits.
D’autre part, malgré le délai légal de 30 jours, la gestion de la temporalité de la demande par les responsables de traitement peut conduire les personnes à abandonner, de guerre lasse, leur recours.
C’est vraiment une guerre d’usure. Il faut avoir du temps – ça me prend une partie de mes week-ends – de l’énergie et de l’abnégation ou du moins de l’entêtement. (Homme, 50-59 ans, Master et +, Cadre et profession intellectuelle supérieure)
C’est clairement assez chronophage. Ça prend du temps ! Là, j’avais du temps parce que confinement, mais si j’étais à temps plein, pas sûr que je consacrerai du temps à faire ça. (Homme, 18-24 ans, Master et +, Cadre et profession intellectuelle supérieure)
Les entreprises jouent la guerre lasse en se disant que les gens vont laisser tomber, que le processus est trop long par rapport à leur dommage. (…) Bon, je suis à la retraite, j’ai du temps, je me bagarre, j’en fais une question de principe. (Homme, 60-69 ans, bac+2/licence, Retraité)
Quelques plaignants témoignent ainsi que précédemment ils se sont résignés, faute de temps à consacrer à l’exercice de leurs droits par rapport au préjudice subi. « Je reçois régulièrement des emails commerciaux par ce biais. Donc, je me désabonne, et si ça ne marche pas, je les mets en indésirable. Mais je n’ai jamais sollicité la CNIL là-dessus, sinon on n’en finirait jamais ! Ce serait beaucoup trop long. » (Femme, 50-59 ans, Master et +, Profession intermédiaire)
En outre, les entreprises disposent d’un délai légal de 30 jours pour répondre à la demande de droits. A l’issue de ces 30 jours, en l’absence de réponse, le requérant peut solliciter la CNIL. Dans les faits, cela nécessite de savoir gérer cette temporalité et d’être en capacité de suivre ses demandes. Pour cela, certains ont mis en place des tableaux de suivi de leurs demandes pour se souvenir de leurs démarches et envoyer des mails de relance ou adresser une plainte à la CNIL s’ils n’ont pas de réponse dans le temps imparti comme le détaille ce plaignant : « Il y a trois cas de figure : soit l’entreprise répond dans le mois, soit je n’ai pas de réponse, soit je n’ai pas de réponse passé le délai légal d’un mois. Je me suis peu à peu organisé. Je tiens à jour un tableau avec l’entreprise concernée, la date de ma demande, etc. Mais je n’envoie pas forcément dès le lendemain du délai légal d’un mois une plainte à la CNIL. » (Homme, 30-39 ans, Bac+2/Licence, Développeur informatique)
Se constituer un dossier de preuves
La CNIL préconise de lui adresser une copie de l’ensemble des démarches effectuées préalablement à la plainte, afin que les agents de l’institution puissent juger sur pièces des faits déclarés et qualifier juridiquement l’infraction. Cela requière pour le plaignant de conserver ces échanges et de constituer un dossier de « preuves » des transgressions de l’organisme.
(Après une première demande infructueuse de suppression de ses informations auprès d’un laboratoire, le plaignant réitère sa demande en tâchant de faire des captures d’écran pour « prouver » sa demande) Je me suis un peu renseigné sur le site de la CNIL. J’ai fait une nouvelle demande sur le site du laboratoire, en prenant cette fois-ci des captures d’écran pour me constituer un dossier en quelque sorte, des preuves. J’ai attendu deux mois, donc bien plus que les 30 jours légaux, et sans réponse de leur part, j’ai fait mon signalement sur le site de la CNIL. (Homme, 40-49 ans, BAC+2 / licence, Cadre et profession intellectuelle supérieure)
Pour déposer ma plainte, ce n’était pas simple, je m’y suis pris en deux fois pour rassembler toutes les pièces jointes, des captures d’écran, pour que ce soit factuel et j’ai fait très attention à ce que j’ai écrit pour que ce soit parfaitement compréhensible. (Homme, 40-49 ans, Master et +, Cadre et profession intellectuelle supérieure)
Or, comme en témoignent ces personnes, avoir des « preuves » peut être plus compliqué dans l’univers numérique, largement dématérialisé, au point, ici, de devoir refaire la procédure afin de la documenter. Ces pratiques et techniques de documentation et d’archivage nécessitent en outre une rigueur et une organisation, ainsi qu’une capacité à qualifier et administrer la preuve, c’est-à-dire à sélectionner des éléments pertinents pour le jugement par les services de la CNIL.
Adresser sa plainte à la CNIL
L’exercice des droits nécessite par définition d’avoir connaissance de ses droits. Dans une large majorité, les plaignants interrogées connaissaient la CNIL et le cadre règlementaire de protection des données préalablement au problème à l’origine de l’exercice de leurs droits. Cependant, si la notoriété de la CNIL est importante, la compréhension de ses missions et des droits individuels de protection des données est souvent vague et imprécise. En particulier, les personnes peuvent connaître la CNIL, mais ne pas savoir qu’elles peuvent lui adresser une plainte.
Je connaissais la CNIL, mais je ne savais pas que l’on pouvait déposer une plainte. Je l’ai su en cherchant des informations sur mes droits sur le site de la CNIL. (Homme, 18-24 ans, Master et +, Cadre et profession intellectuelle supérieure)
J’en ai parlé à ma copine, qui ne savait pas bien ce qu’était la CNIL et qu’elle pouvait résoudre des problèmes individuels. Pour beaucoup de personnes, la CNIL, c’est uniquement pour les grands dossiers qu’on voit dans les médias. (Homme, 30-39 ans, Bac+2/Licence, Employé)
Ensuite, la dernière étape est celle de la transmission de leur plainte à la CNIL. Si une très grande majorité des personnes interrogées nous ont indiqué ne pas avoir eu de difficultés particulières pour trouver et remplir le formulaire, certaines ont pointé les difficultés pour réussir à envoyer leur demande. Notamment, l’identification de la catégorie adéquate sur le site de la CNIL correspondant à son cas particulier.
Je ne savais juste pas très bien précisément à quelle rubrique concernait ma plainte, si c’était du démarchage publicitaire ou une violation de mes données. (Homme, 30-39 ans, Bac+2/Licence, Employé)
C’est juste compliqué sur le site de la CNIL pour trouver le bon motif de la plainte. Il n’y avait pas de motifs qui correspondaient à mon cas, ce n’est pas évident. J’ai choisi un motif qui ne correspond pas. J’imagine qu’il y a beaucoup de personnes qui vont baisser les bras s’ils ne trouvent pas ce qui correspond à leur situation. (Homme, 40-49 ans, Bac+2/Licence, Profession intermédiaire)
*
* *
Toutes ces étapes illustrent la longue chaîne de l’exercice des droits (il conviendrait, pour la décrire complétement, d’étudier toutes les étapes mises en œuvre par les organismes pour traiter les demandes reçues). Si elles constituent autant d’épreuves pour les personnes, elles se justifient, souvent, par de « bonnes raisons organisationnelles » pour les entreprises. Par exemple, il est plus simple pour ces dernières que les demandes d’exercice de droits soient centralisées et formalisées afin qu’elles s’intègrent aisément avec un processus de traitement interne préalablement défini. De même, il est légitime de s’assurer que la personne qui exerce ses droits soit bien la même que celle qui a créé le compte. Au sein des organisations, la demande de droits doit passer à travers des circuits de validation et des chaînes de traitement plus ou moins formalisés.
Toutefois, certaines entreprises jouent sciemment sur ces difficultés pour entraver l’exercice des droits. Or, comme le rappelait une des personnes interrogées, « il devrait être aussi simple de supprimer un compte que de le créer ». Il est également notable de constater le caractère très artisanal des étapes à franchir, quand le numérique se caractérise par sa capacité à automatiser et réaliser des opérations à grande échelle : le contraste est saisissant entre la fluidité des parcours d’usage des services numériques et le chemin nécessaire pour exercer ses droits. Dans son travail de contrôle, la CNIL analyse les processus d’exercice des droits, et, elle peut être amenée à sanctionner les entreprises en cas de parcours de droit volontairement sinueux, conduisant à l’absence de droits effectifs pour les personnes.
Article suivant :
Le travail, premier vecteur de socialisation à la protection des données ?
Article précédent :
Illustration (CC BY-NC 2.0) - Jan Jespersen : Obstacles