Droit d'accès aux données personnelles : YouTube en tête, Twitch à la traîne

Le Laboratoire d'Innovation Numérique de la Commission nationale de l'informatique et des libertés (LINC), un service de la Direction des technologies, de l’innovation et de l'intelligence artificielle de l'autorité qui réunit sept personnes, s'est penché sur l'effectivité du droit d'accès aux données personnelles par dix réseaux sociaux, "parmi les plus utilisés en Europe et en France". Il s'agit de Discord, Facebook, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitch, X (ex-Twitter), YouTube. 

Ce n'est pas une évaluation de la conformité

L'objectif était de voir comment ces plateformes répondaient aux demandes de droit d'accès par leurs utilisateurs. Le LINC précise qu'il ne s'agissait pas de vérifier la conformité de ces pratiques au Règlement général sur la protection des données (RGPD) et que depuis la publication des résultats, les procédures ont pu changer. 

C'est l'article 15 (3) du RGPD qui prévoit que le responsable du traitement doit fournir une copie des données à caractère personnel faisant l'objet d'un traitement. Ce droit permet à la personne concernée de contrôler la licéité de chaque activité de traitement. Dans ce cadre, le responsable du traitement doit tout d'abord informer les personnes de l'existence d'un tel droit au moment de la collecte de leurs données, permettre aux personnes de l'exercer grâce à des modalités pratiques (formulaire...), mettre en place un parcours interne efficace pour répondre à cette demande, ainsi que prévoir des modalités de réponse qui soient compréhensibles, accessibles, formulées en des termes clairs et simples. 

Une grille d'évaluation de 30 questions

Pour mener ces travaux, le Laboratoire a envoyé deux demandes d'accès à chaque réseau social, puis a examiné les réponses au prisme d'une grille d'évaluation comprenant 30 questions. Celle-ci était divisée de la sorte : 27 questions portaient sur l’analyse du parcours utilisateur jusqu’à la réception des données et 3 questions supplémentaires servaient à tester si le réseau social avait mis en place une information dédiée et adaptée aux mineurs. 

Une note et un pourcentage ont été attribués à chaque réseau social, permettant d'établir un classement. Le voici : YouTube (77%), X, TikTok et Instagram (73%), Facebook (71%), LinkedIn (64%), Discord (61%), Pinterest et Snapchat (60%). Aucun score n'a pu être attribué à Twitch qui n'a pas répondu à la demande d'accès "dans la temporalité dédiée à l'analyse, soit 4 mois à partir du 6 février 2024". La plateforme de streaming, propriété d'Amazon, a exercé son droit de réponse mettant notamment en avant que les résultats du LINC ne constituaient pas "une analyse de la conformité juridique". 

YouTube, bon élève en matière de fluidité du parcours

Dans les détails, YouTube remplit 20,67 critères sur 27. Il est particulièrement bien noté s'agissant de la facilité d'accès et de la fluidité du parcours. Le LINC a, par exemple, relevé que la copie des données personnelles était fournie dans un format qui permet de consulter les informations sans compétences spécifiques.

Le LINC tire également de grandes tendances de ce travail. Sur un ordinateur, il faut en moyenne 3,8 clics pour accéder à la démarche, contre 4 clics sur un téléphone mobile. Les utilisateurs doivent attendre 19h23 en moyenne avant de recevoir une copie de leurs données personnelles, avec un délai de 12 jours avant l'expiration du téléchargement. En revanche, aucun parcours n'était intégralement en français. Point important : aucun parcours n'était complètement adapté aux mineurs. Par exemple, seuls 4 parcours sur 10 utilisaient un langage adapté à au moins une étape du parcours. 

Le droit d'accès, un sujet central de mise en oeuvre du RGPD

Le droit d'accès est devenu un sujet central, au point que le Comité européen de la protection des données (CEPD) en a fait le thème de son action coordonnée, une initiative visant à harmoniser l'application du RGPD à l'échelle européenne. Dans le cadre de sa participation, la Cnil a mené une série de contrôles d'organismes privés et publics pour vérifier la prise en compte de ce droit. Elle a ainsi pris des mesures répressives contre les entités qui ne respectaient pas ce droit.