L'exercice du droit d'accès

Posted on dim. 02 avril 2017 in misc

Qu'est-ce que le droit d'accès ?

C'est un droit garanti par la loi CNIL de 1978, qui permet de demander au responsable d'un fichier l'intégralité des données qu'il détient sur vous. Il est nécessaire pour pouvoir ensuite réaliser un droit de requalification qui permet de faire rectifier les données vous concernant.
Il est assez facile à faire exercer, il suffit d'adresser une lettre de ce type :

objet: Exercice du droit d'accès
Madame, Monsieur,
Conformément à l’article 39 de la loi du 6 janvier 1978 modifiée en août 2004, je vous prie de bien vouloir me faire parvenir une copie, en langage clair, de l’ensemble de ces données (y compris celles figurant dans les zones « blocs-notes » ou « commentaires »).

Vous voudrez bien également me donner toute information disponible sur l’origine de ces données me concernant.

Je vous rappelle que vous disposez d’un délai maximal de deux mois suivant la réception de ce courrier pour répondre à ma demande, conformément à l’article 94 du décret du 20 octobre 2005 pris pour l’application de la loi du 6 janvier 1978 modifiée.

Je vous prie d’agréer, Madame, Monsieur, l’expression de mes salutations distinguées.

[Ajouter ici les informations de comptes, email, identifiant, par exemple (non pas les mots de passes...) ainsi qu'une pièce d'identité]

D'ailleurs la CNIL met à disposition un formulaire pour générer une lettre type

Intro

Intrigué de connaitre qu'elles étaient les données détenues sur moi par différentes sociétés j'ai entrepris, fin décembre 2016, d'envoyer une lettre de ce type à une petite dizaine de sociétés et administrations détenant, à ma connaissance, des informations sur moi. Ceci est donc un retour d'expérience.

Sociétés/administrations contactées (ordre alphabétique)

Amazon

Il y a déjà fallu trouver un contact pour exercer ce droit au près d'Amazon, leur FAQ tournant en boucle sans jamais indiquer où exercer ce droit...Je suis donc passé par le tchat amazon, après avoir dû expliqué ce qu'est le droit d'accès à l'opérateur, ma demande à été transmise au bon service. Quelques jours plus tard j'ai reçu un mail du service juridique m'invitant à justifier de mon identité avec un photocopie de carte d'identité et un justificatif de domicile (chose non demandé à l'inscription sur le service au passage...).
Environ un mois après ma demande initiale j'ai reçu par la poste le code de déchiffrement des données (même pas générer aléatoirement [NOM][année] ...) et les données devaient être envoyées séparément. Je ne les ai jamais reçus (Ont-elles été réellement envoyé ? Ont-elles été subtilisées sur le chemin ?)...j'ai bien re-contacté amazon par mail après un mois, mais je n'ai pas eu de réponse.

CIC

Un message (électronique) à mon conseiller bancaire, et je recevais (par la poste...) une semaine plus tard les données suivantes :

  • Les données d'état civile : nom, prénom, date et lieu de naissance, adresse de résidence, sexe, justification d'identité avec son numéro, et sa date de fin de validité
  • Situation familiale : Conjoint/concubin si oui depuis quand, régime matrimonial si oui depuis quand , et le nombre d'enfant
  • Capacité juridique ainsi que la relation avec le groupe CM-CIC (salarié, administrateur etc...)
  • Situation professionnelle : profession (code PCS) ainsi que la date de début, Employeur ainsi que la date de début, Si on a une activité d'employeur, si on est entrepreneur individuel si oui le status, ainsi que si l'on est travailleur frontalité
  • Les coordonnées : numéro de téléphone (fixe + portable) , numéro de fax, adresse mail, site internet, ainsi que les modes de prospection commerciales autorisées : courrier postal, téléphone, sms, email
  • Données socio-économique : Marché/Sous marché (si oui depuis quand)
  • Élément de patrimoine : Situation de logement (location, logé à titre gratuit etc...) là aussi la date de début de la situation, Actif et passif de référence
  • Contenu du bloc-note commercial
  • cotation risque bancaire : Une note entre A+ et F (la moins bonne) avec 12 échelons possible
  • Les produits : type de produit, n°identification, nature juridique (1 ou plusieurs détenteurs par exemple), état et la date d'ouverture pour chacun des produits
  • Les services souscrit
  • Les assurances, et les contrats

conclusion : efficace mais manque de détails (on ne sait pas à partir de quelques indicateurs est réalisé la note de cotation risque bancaire) et un envoi papier...

Deezer

Un contact en ligne facile et rapide, et une réponse (électronique) tout aussi rapide avec les données suivantes :

  • User ID
  • Email
  • Username
  • Phone
  • LANG
  • Origin : [date de création du compte]
  • Facebook connect: NO
  • GooglePlus connect: NO
  • Samsung connect: NO
  • Offer : Gratuit
  • Genre
  • Pseudo
  • Nom
  • Prénom
  • Date de naissance
  • Adresse
  • Code postal
  • Ville

La réponse est conclue par une proposition de suppression du compte ainsi que des données. On peut toutefois regretter que les données d'écoutes ne soient pas présentes, en effet cela reste des données personnelles. A noter que la loi numérique prévoir une portabilité des données sur les plateformes donc d'ici à ce que le décret d'application soit prit, il sera normalement possible de les récupérer plus facilement.

Fnac

Une demande en ligne à l'adresse mail indiqué dans les CGU,un retour expliquant qu'ils vont faire suite à ma demande de supprimer mon compte si je leur envoie la demande signée (en plus de la carte d'identité déjà envoyer la première fois).On se demande parfois comment ils arrivent à comprendre ça...Je réponds en expliquant que non je veux pas que mon compte soit supprimé mais exercer mon droit d'accès, 1 mois après zéro réponse, donc relance avec menace de porter plainte au près de la CNIL, les données suivantes arrivaient par la poste 15 jours plus tard :

  • Info compte client : id compte, date de création, mail, nom, prénom, civilité, dernière visite, status du compte, numéro d'adhérent, acceptation de mail
  • Adresse client : nom de l'adresse, prénom, nom, rue, code postal, ville
  • Info compte adhérent : numéro adhérent, civilité, prénom, nom, date de naissance , début adhésion, fin adhésion, email
  • Commande fnac.com : ID commande, n°commande, date commande, message commande,cadeau, email, montant total TTC, type commande

conclusion : Pas très rapide ni très sérieux, et sur papier...mais au moins j'ai fini par les obtenir

Izly

Izly c'est la carte de paiement des crous universitaire donc la gestion est confiée au groupe BPCE. Ils ont automatiquement un certain nombre de données via les universités qui leur partage. Un contact via le site, et une relance, zéro réponse. Donc pas de données :(

Médiathèque

Au USA, une partie du Patrioc Act permet au FBI d'accéder au fichier des bibliothèques. Mais est-ce possible dans ma médiathèque ? Parce que si la donnée n'existe pas, on ne peut pas y accéder. La réponse est plus-tôt non, uniquement les 3 derniers empreints et les empreints en cours sont conservés. Au niveau des données personnelles il y a :

  • Numéro de carte
  • Nom , prénom, année de naissance, sexe,
  • Adresse : rue, code postal ville, quartier, n° de rue
  • Téléphone , mail (les deux facultatifs)
  • Code social-professionnel
  • Mot de passe (en clair !!!)
  • Lien avec d'autres comptes (en l'occurrence la carte familiale )
  • Date de création du compte

conclusion : Une des meilleures réponse, détaillée, avec des explications sur la provenance des données, ainsi qu'une proposition de venir vérifier directement sur leur poste.

Navigo

Le navigo, c'est la carte de transport en ile de France, gérer par comutitres, absence de réponse pendant 1 mois 1/2, une petite relance avec menace cnil, les données arrivent dans la boite aux lettres le lendemain :) :

  • Synthèse client : civilité, N° client, état, nom, date de naissance, Espace SEL , prénom, tel fixe, adresse, photo
  • Données client : email, tel mobile, complément de voie, N° et voie, code postal, ville, pays
  • Acceptation des démarchages par mail
  • regroupement des prélèvements
  • Liste des contrats commerciaux : N° de contrat, état, validité, produit, date de début validité, date de fin validité, type client, document
  • Liste des passes : n° de série, produit, etat, date de fin de validité, cohabitation
  • Données bancaires : RIB et SEPA
  • Historique d'adresse successives du client : adresse, code postal, bureau de distribution, N° tel fixe, code insee, date de début validité , date fin validité

Les données suivantes sont présentes pour chaque contrat :

  • événement client : commentaire auto, commentaire manu , date de l'événement
  • données commerciales :
    • contrat de transport : nom (du contact), zone début validité, fin validité, état, validité
    • Lieu de livraison
    • Établissement et cursus (dans mon cas puisque c'est un pass imaginair, le navigo étudiant) : adresse de l'établissement, code insee de la ville de l'établissement, niveau d'étude, certificat de scolarité
    • Nombre de perte/vol enregistré
    • nom de non réception enregistré
    • Liste des clients (Porteur/payeur) : type de client (Porteur/payeur) n°client, état, identité (NOM prénom date de naissance) téléphone fixe/mobile
    • Liste des passes : n°série, produit, état, date de fin de validité cohabitation
  • données financières : N°client, civilité, nom, prénom , téléphone (fixe/mobile) , top porteur/payeur , référence mandat SEPA, situation financière (mode de paiement, solde, nb.de prélèvement restant, mensualité barème , prochaine échéance
    • Domiciliation bancaire : Titulaire du compte , date de début validité date fin validité, statut, N°de compte, Bic/IBAN, référence mandat SEPA, date de signature, leu de signature, motifs d'invalidité, statut
  • Historique transport : historique des contrats de transport : nom, zones, début validité, fin validité ,état validité,
  • événement : référence client, référence contrat commercial, événement sur le contrat ,date de l'événement, commentaire auto, commentaire manuel
  • événement pass : Référence client, Passe numéro de série, événement sur le passe, date de l'événement, commentaire auto, commentaire manuel
  • Photocopie numérique des pièces justificatives

conclusion: pas mal de donnée, pas d'explication des sigles (sauf un), et pas les données de bornage qu'ils possèdent certainement.

orange (mobile)

Il faut envoyer un courrier papier.. J'ai reçu un tableau d'événement avec les colonnes suivantes

  • N° de dossier
  • N° client
  • civilité client
  • nom client (nom,prénom)
  • date création de l'événement
  • date clôture événement
  • résolution thème libellé
  • conclusion intitulée
  • sous-conclusion intitulé
  • description demande

En réalité ça correspond aux SMS envoyés par le service consommateur... Certainement que la demande, qui doit être envoyé au service consommateur , a été compris comme une demande des données du service consommateur et pas une demande de l'ensemble des données détenus.

Conclusion : un lexique était fourni, et le délai des 2 mois est respecté mais pas exactement ce que je souhaitais.

Sfr (fixe + mail)

SFR c'est compliqué, c'est une demande papier, mais j'ai du la renvoyer 2 fois car selon eux, l'adresse mise dans les CGU n'est pas la bonne ^^
C'est aussi compliqué car je ne suis pas titulaire du contrat, néanmoins sfr gère bien mes données, ayant un "sous-compte" (compte rattaché au principal mais avec un mot de passe/identifiant différent). Ils n'ont jamais voulu comprendre que quand bien même non titulaire du contrat j'avais le droit de faire un droit d'accès et j'entendais le faire respecter. Je n'ai donc pas obtenu mes données personnels, mais celle du titulaire du contrat qui accepté de faire la demande.
Là encore, le message était adressé au service consommateur, et donc nous avons eu uniquement les données du service consommateurs alors qu'on demandait l'ensemble des données détenus par SFR. Elles ont été fournies via une liste de capture d'ecran :

  • Données du titulaire :

    • Nom du titulaire
    • N° siren
    • adresse titulaire
    • n° tel fixe
    • date de naissance
    • département de naissance
    • n° contrat
    • date souscription
    • status contrat
    • ligne suspendu depuis le
    • forfait suscrit
    • date démarrage forfait
    • nom de l'utilisateur
    • région de l'utilisateur
    • catégorie titulaire
    • nombre des relances
    • nombre de suspensions
    • impayés à jour
    • mode de prélèvement
    • iban
    • domiciliation
    • titulaire compte
  • Parution divers (oui/non) :

    • dans l'annuaire sans nom complet
    • dans l'annuaire sans adresse complète
    • dans l'annuaire sans recherche inversé
    • dans l'annuaire sans prospection
    • liste rouge
  • Une liste des captures d'écran des mémos des contacts avec:
    • Réf activité
    • Statut
    • Groupe
    • Type
    • Activité
    • NDI
    • nouveau NDI
    • ancien NDI
    • date RDV
    • Paramètres
    • Commentaires
    • Date début planifiée
    • Date début
    • Date fin
    • Durée
    • Réf Dossier
    • Media
    • Source
    • Opération
    • Code distributeur
    • Offre (Liste à choix multiple donc l'un des choix est "Remise Loc BOX 3€/12 mois" par exemple :))
    • Conclusion
    • Date réception
    • Date signature
    • Montant
    • Priorité
    • Réf lot
    • Segment
    • Modifiée le
    • Modifieur
    • Assignée à
    • Position
    • ID LDCOM
    • Civilité , Prénom, Nom
    • Code postal, Ville
    • N° voie, Voie
    • Cplt 1, Cplt 2
    • email
    • N° de tel2

conclusion : on a du bataillé pour avoir les données, ils refusent de me filer mes propres données et les données obtenues ne sont pas complètes ni clair (il reste plein de sigle).

Bilan

Un bilan mitigé donc, puisque je n'ai pas eu avoir l'ensemble des données sollicités et qu'il faut parfois menacer d'une plainte à la CNIL pour les obtenir. Néanmoins il est toujours intéressant de connaitre les informations détenues sur nous et les possibles conséquences de leur revente ou fuite éventuelles.