ParticuliersProfessionnelsPresse
FrEnGestionnaire de cookies
  1. Accueil
  2. Observatoire du droit d’accès sur les réseaux sociaux : le Laboratoire d’innovation numérique de la CNIL (LINC) publie son bilan

Observatoire du droit d’accès sur les réseaux sociaux : le Laboratoire d’innovation numérique de la CNIL (LINC) publie son bilan

30 janvier 2025

Le LINC a étudié les parcours d’accès aux copies des données personnelles mis en œuvre par 10 réseaux sociaux. Pour chaque réseau social, deux demandes d’accès ont été effectuées et examinées selon une grille d’analyse comprenant 30 questions.

 

Accéder à l’Observatoire du droit d’accès à une copie de ses données

 

En quoi consiste l’étude de l’observatoire du droit d’accès du LINC ?

En 2024, et dans la suite des travaux déjà engagés sur les pratiques de design (voir le site Données & Design), le LINC a mené une étude des parcours utilisateurs dans le cadre de l’exercice de leurs droits d’accès sur les réseaux sociaux.

Qu'est-ce que le droit d'accès ?

Le droit d’accès est un droit prévu par le règlement général sur la protection des données ou RGPD. Il permet de savoir si vos données personnelles sont traitées et d’en obtenir la communication dans un format compréhensible.

Il permet également de contrôler l'exactitude des données et, au besoin, de les faire rectifier ou effacer.

Le LINC a sélectionné 10 réseaux sociaux parmi les plus utilisés en Europe et en France : Discord, Facebook, Instagram, LinkedIn, Meta, Pinterest, Snapchat, TikTok, Twitch, X (ex-Twitter), YouTube.

Les parcours d’accès aux copies des données personnelles de ces réseaux sociaux ont été examinés sur la base d’une grille d’analyse (30 questions) destinée à recenser les bonnes pratiques mises en place et, à la fin, d’afficher un score pour chaque réseau social.

Après une première analyse, le LINC a échangé avec ces réseaux sociaux à la fin de l’année 2024, ce qui a permis de réajuster quelques points de la méthodologie.

L’objectif était de mettre en lumière les bonnes pratiques – issues du cadre légal, des recommandations de la CNIL et de l’EDPB, mais aussi d’autres sources comme des articles de la CNIL,  de l’ICO ou des documents de la Commission Européenne - et d’encourager l’amélioration de l’expérience utilisateur, en partant des grands principes du RGPD.

Cet observatoire n’a pas pour but – ni pour effet – d'apprécier la conformité à la règlementation sur la protection des données. Ainsi, il ne se prononce pas sur la conformité de ces réseaux sociaux, en cela il se distingue des travaux menés par l’action coordonnée européenne, le Coordinated enforcement framework (CEF).

Les parcours sont étudiés selon trois grandes étapes :

  1. Informations préalables
    Avant d’accéder à la démarche, comment les personnes sont-elles informées sur ce droit et sur la manière de l’exercer ?
  2. Exercice de la demande d'accès
    Quels parcours les réseaux sociaux proposent-ils aux personnes pour demander la copie de leurs données ?
  3. Réception et consultation des données
    Comment les données sont-elles transmises et sous quelle forme ?
Vue d'ensemble de l'analyse du parcours : 27 critères observés traduits en équivalents de pourcentages remplis, décomposés en trois étapes :<br /> Étape 1 - Informations préalables (9 critères) décomposée en trois sous parties :confidentialité (non applicable : cette étape concerne l'information uniquement) ; facilité d’accès et fluidité du parcours (7 critères) ; Transparence de l’information (2 critères) et une mention spéciale « L'information est-elle complètement adaptée aux mineurs ? ».<br /> Étape 2 - Exercice de la demande d’accès (10 critères) décomposée en trois sous-parties : confidentialité (1 critère) ; facilité d’accès et fluidité du parcours (5 critères) ; Transparence de l’information (4 critères) et une mention spéciale « L'information est-elle complètement adaptée aux mineurs ? ».<br /> Étape 3 - Réception et consultation des données (8 critères) décomposée en trois sous-parties : confidentialité (1 critère) ; facilité d’accès et fluidité du parcours (3 critères) ; Transparence de l’information (4 critères) et une mention spéciale « L'information est-elle complètement adaptée aux mineurs ? ».

La méthodologie et la grille d’analyse sont disponibles sur l’observatoire, afin que l’étude puisse être reproduite :

  • 27 questions concernent l’analyse du parcours utilisateur jusqu’à la réception des données. Les données en elles-mêmes n’ont pas été analysées. Le LINC n’a pas évalué l’exhaustivité et la qualité des données reçues, mais seulement étudié les formats dans lesquels elles étaient mises à disposition.
  • 3 questions supplémentaires permettent de tester si le réseau social avait mis en place une information dédiée et adaptée aux mineurs.

Quels sont les résultats de cette étude ?

De manière générale, le LINC constate qu’entre 44 % et 76,5 % des bonnes pratiques recensées dans sa grille d’analyse sont mises en place dans les parcours des réseaux sociaux.

Cette étude permet de dégager quelques grandes tendances générales pour l’ensemble des réseaux sociaux étudiés :

  • En moyenne, 4 clics sont nécessaires accéder au formulaire de demande d’accès depuis la page d’accueil de chaque réseau.
  • Le temps d’attente moyen avant de recevoir les données est ensuite de 19 heures et 23 minutes.
  • Certaines pratiques sont mises en place par tous les acteurs étudiés, comme des parcours d’accès automatisés.
  • Des points d’amélioration concernent tous les réseaux sociaux, comme l’adaptation de l’information vers un public mineur.

La grille d’analyse proposée par le LINC, la démarche suivie et les résultats pour chaque réseau social sont intégralement consultables sur le site de l’observatoire. Elles pourront être adaptées pour participer à la diffusion de bonnes pratiques dans d’autres contextes que les réseaux sociaux.

Au-delà de cette étude centrée exclusivement sur l’expérience utilisateur et les bonnes pratiques en matière de conception d’interface, la CNIL mène d’autres actions relatives à l’exercice des droits, que ce soit dans le cadre de ses missions d’accompagnement ou de contrôle.

En 2024, elle a ainsi participé à une action coordonnée européenne sur le sujet, qui a notamment mené à des mesures répressives pour des organismes qui répondaient de manière incomplète. En outre, une fiche pratique rappelle aux professionnels leurs obligations et les informations à transmettre à toute personne qui fait une demande de droit d’accès de manière générale.

 

Texte reference

Pour approfondir

Ceci peut également vous intéresser ...

Droit d’accès : bilan des contrôles de la CNIL dans le cadre d’une action coordonnée ...
20 janvier 2025
Contrôles
La CNIL, Cybermalveillance.gouv.fr et l’Unaf publient deux guides sur les cybermenaces pour les ...
26 juin 2024
Internet
Droit d’accès : la CNIL et ses homologues européens procèdent à une série de contrôles
Dans le cadre d’une action coordonnée au niveau européen, la CNIL contrôle des organismes ...
28 février 2024
Contrôles