Qu'est-ce que le droit d'accès ?

C'est un droit garanti par la loi CNIL de 1978, qui permet de demander au responsable d'un fichier l'intégralité des données qu'il détient sur vous. Il est nécessaire pour pouvoir ensuite réaliser un droit de requalification qui permet de faire rectifier les données vous concernant …

Qu'est-ce que le droit d'accès ?

C'est un droit garanti par la loi CNIL de 1978, qui permet de demander au responsable d'un fichier l'intégralité des données qu'il détient sur vous. Il est nécessaire pour pouvoir ensuite réaliser un droit de requalification qui permet de faire rectifier les données vous concernant.
Il est assez facile à faire exercer, il suffit d'adresser une lettre de ce type :

objet: Exercice du droit d'accès
Madame, Monsieur,
Conformément à l’article 39 de la loi du 6 janvier 1978 modifiée en août 2004, je vous prie de bien vouloir me faire parvenir une copie, en langage clair, de l’ensemble de ces données (y compris celles figurant dans les zones « blocs-notes » ou « commentaires »).

Vous voudrez bien également me donner toute information disponible sur l’origine de ces données me concernant.

Je vous rappelle que vous disposez d’un délai maximal de deux mois suivant la réception de ce courrier pour répondre à ma demande, conformément à l’article 94 du décret du 20 octobre 2005 pris pour l’application de la loi du 6 janvier 1978 modifiée.

Je vous prie d’agréer, Madame, Monsieur, l’expression de mes salutations distinguées.

[Ajouter ici les informations de comptes, email, identifiant, par exemple (non pas les mots de passes...) ainsi qu'une pièce d'identité]

D'ailleurs la CNIL met à disposition un formulaire pour générer une lettre type

Intro

Intrigué de connaitre qu'elles étaient les données détenues sur moi par différentes sociétés j'ai entrepris, fin décembre 2016, d'envoyer une lettre de ce type à une petite dizaine de sociétés et administrations détenant, à ma connaissance, des informations sur moi. Ceci est donc un retour d'expérience.

Sociétés/administrations contactées (ordre alphabétique)

Amazon

Il y a déjà fallu trouver un contact pour exercer ce droit au près d'Amazon, leur FAQ tournant en boucle sans jamais indiquer où exercer ce droit...Je suis donc passé par le tchat amazon, après avoir dû expliqué ce qu'est le droit d'accès à l'opérateur, ma demande à été transmise au bon service. Quelques jours plus tard j'ai reçu un mail du service juridique m'invitant à justifier de mon identité avec un photocopie de carte d'identité et un justificatif de domicile (chose non demandé à l'inscription sur le service au passage...).
Environ un mois après ma demande initiale j'ai reçu par la poste le code de déchiffrement des données (même pas générer aléatoirement [NOM][année] ...) et les données devaient être envoyées séparément. Je ne les ai jamais reçus (Ont-elles été réellement envoyé ? Ont-elles été subtilisées sur le chemin ?)...j'ai bien re-contacté amazon par mail après un mois, mais je n'ai pas eu de réponse.

CIC

Un message (électronique) à mon conseiller bancaire, et je recevais (par la poste...) une semaine plus tard les données suivantes :

• Les données d'état civile : nom, prénom, date et lieu de naissance, adresse de résidence, sexe, justification d'identité avec son numéro, et sa date de fin de validité
• Situation familiale : Conjoint/concubin si oui depuis quand, régime matrimonial si oui depuis quand , et le nombre d'enfant
• Capacité juridique ainsi que la relation avec le groupe CM-CIC (salarié, administrateur etc...)
• Situation professionnelle : profession (code PCS) ainsi que la date de début, Employeur ainsi que la date de début, Si on a une activité d'employeur, si on est entrepreneur individuel si oui le status, ainsi que si l'on est travailleur frontalité
• Les coordonnées : numéro de téléphone (fixe + portable) , numéro de fax, adresse mail, site internet, ainsi que les modes de prospection commerciales autorisées : courrier postal, téléphone, sms, email
• Données socio-économique : Marché/Sous marché (si oui depuis quand)
• Élément de patrimoine : Situation de logement (location, logé à titre gratuit etc...) là aussi la date de début de la situation, Actif et passif de référence
• Contenu du bloc-note commercial
• cotation risque bancaire : Une note entre A+ et F (la moins bonne) avec 12 échelons possible
• Les produits : type de produit, n°identification, nature juridique (1 ou plusieurs détenteurs par exemple), état et la date d'ouverture pour chacun des produits
• Les services souscrit
• Les assurances, et les contrats

conclusion : efficace mais manque de détails (on ne sait pas à partir de quelques indicateurs est réalisé la note de cotation risque bancaire) et un envoi papier...

Deezer

Un contact en ligne facile et rapide, et une réponse (électronique) tout aussi rapide avec les données suivantes :

• User ID
• Email
• Username
• Phone
• LANG
• Origin : [date de création du compte]
• Facebook connect: NO
• GooglePlus connect: NO
• Samsung connect: NO
• Offer : Gratuit
• Genre
• Pseudo
• Nom
• Prénom
• Date de naissance
• Adresse
• Code postal
• Ville

La réponse est conclue par une proposition de suppression du compte ainsi que des données. On peut toutefois regretter que les données d'écoutes ne soient pas présentes, en effet cela reste des données personnelles. A noter que la loi numérique prévoir une portabilité des données sur les plateformes donc d'ici à ce que le décret d'application soit prit, il sera normalement possible de les récupérer plus facilement.

Fnac

Une demande en ligne à l'adresse mail indiqué dans les CGU,un retour expliquant qu'ils vont faire suite à ma demande de supprimer mon compte si je leur envoie la demande signée (en plus de la carte d'identité déjà envoyer la première fois).On se demande parfois comment ils arrivent à comprendre ça...Je réponds en expliquant que non je veux pas que mon compte soit supprimé mais exercer mon droit d'accès, 1 mois après zéro réponse, donc relance avec menace de porter plainte au près de la CNIL, les données suivantes arrivaient par la poste 15 jours plus tard :

• Info compte client : id compte, date de création, mail, nom, prénom, civilité, dernière visite, status du compte, numéro d'adhérent, acceptation de mail
• Adresse client : nom de l'adresse, prénom, nom, rue, code postal, ville
• Info compte adhérent : numéro adhérent, civilité, prénom, nom, date de naissance , début adhésion, fin adhésion, email
• Commande fnac.com : ID commande, n°commande, date commande, message commande,cadeau, email, montant total TTC, type commande

conclusion : Pas très rapide ni très sérieux, et sur papier...mais au moins j'ai fini par les obtenir

Izly

Izly c'est la carte de paiement des crous universitaire donc la gestion est confiée au groupe BPCE. Ils ont automatiquement un certain nombre de données via les universités qui leur partage. Un contact via le site, et une relance, zéro réponse. Donc pas de données :(

Médiathèque

Au USA, une partie du Patrioc Act permet au FBI d'accéder au fichier des bibliothèques. Mais est-ce possible dans ma médiathèque ? Parce que si la donnée n'existe pas, on ne peut pas y accéder. La réponse est plus-tôt non, uniquement les 3 derniers empreints et les empreints en cours sont conservés. Au niveau des données personnelles il y a :

• Numéro de carte
• Nom , prénom, année de naissance, sexe,
• Adresse : rue, code postal ville, quartier, n° de rue
• Téléphone , mail (les deux facultatifs)
• Code social-professionnel
• Mot de passe (en clair !!!)
• Lien avec d'autres comptes (en l'occurrence la carte familiale )
• Date de création du compte

conclusion : Une des meilleures réponse, détaillée, avec des explications sur la provenance des données, ainsi qu'une proposition de venir vérifier directement sur leur poste.

Navigo

Le navigo, c'est la carte de transport en ile de France, gérer par comutitres, absence de réponse pendant 1 mois 1/2, une petite relance avec menace cnil, les données arrivent dans la boite aux lettres le lendemain :) :

• Synthèse client : civilité, N° client, état, nom, date de naissance, Espace SEL , prénom, tel fixe, adresse, photo
• Données client : email, tel mobile, complément de voie, N° et voie, code postal, ville, pays
• Acceptation des démarchages par mail
• regroupement des prélèvements
• Liste des contrats commerciaux : N° de contrat, état, validité, produit, date de début validité, date de fin validité, type client, document
• Liste des passes : n° de série, produit, etat, date de fin de validité, cohabitation
• Données bancaires : RIB et SEPA
• Historique d'adresse successives du client : adresse, code postal, bureau de distribution, N° tel fixe, code insee, date de début validité , date fin validité

Les données suivantes sont présentes pour chaque contrat :

• événement client : commentaire auto, commentaire manu , date de l'événement
• données commerciales :
  • contrat de transport : nom (du contact), zone début validité, fin validité, état, validité
  • Lieu de livraison
  • Établissement et cursus (dans mon cas puisque c'est un pass imaginair, le navigo étudiant) : adresse de l'établissement, code insee de la ville de l'établissement, niveau d'étude, certificat de scolarité
  • Nombre de perte/vol enregistré
  • nom de non réception enregistré
  • Liste des clients (Porteur/payeur) : type de client (Porteur/payeur) n°client, état, identité (NOM prénom date de naissance) téléphone fixe/mobile
  • Liste des passes : n°série, produit, état, date de fin de validité cohabitation
• données financières : N°client, civilité, nom, prénom , téléphone (fixe/mobile) , top porteur/payeur , référence mandat SEPA, situation financière (mode de paiement, solde, nb.de prélèvement restant, mensualité barème , prochaine échéance
  • Domiciliation bancaire : Titulaire du compte , date de début validité date fin validité, statut, N°de compte, Bic/IBAN, référence mandat SEPA, date de signature, leu de signature, motifs d'invalidité, statut
• Historique transport : historique des contrats de transport : nom, zones, début validité, fin validité ,état validité,
• événement : référence client, référence contrat commercial, événement sur le contrat ,date de l'événement, commentaire auto, commentaire manuel
• événement pass : Référence client, Passe numéro de série, événement sur le passe, date de l'événement, commentaire auto, commentaire manuel
• Photocopie numérique des pièces justificatives

conclusion: pas mal de donnée, pas d'explication des sigles (sauf un), et pas les données de bornage qu'ils possèdent certainement.

orange (mobile)

Il faut envoyer un courrier papier.. J'ai reçu un tableau d'événement avec les colonnes suivantes

• N° de dossier
• N° client
• civilité client
• nom client (nom,prénom)
• date création de l'événement
• date clôture événement
• résolution thème libellé
• conclusion intitulée
• sous-conclusion intitulé
• description demande

En réalité ça correspond aux SMS envoyés par le service consommateur... Certainement que la demande, qui doit être envoyé au service consommateur , a été compris comme une demande des données du service consommateur et pas une demande de l'ensemble des données détenus.

Conclusion : un lexique était fourni, et le délai des 2 mois est respecté mais pas exactement ce que je souhaitais.

Sfr (fixe + mail)

SFR c'est compliqué, c'est une demande papier, mais j'ai du la renvoyer 2 fois car selon eux, l'adresse mise dans les CGU n'est pas la bonne ^^
C'est aussi compliqué car je ne suis pas titulaire du contrat, néanmoins sfr gère bien mes données, ayant un "sous-compte" (compte rattaché au principal mais avec un mot de passe/identifiant différent). Ils n'ont jamais voulu comprendre que quand bien même non titulaire du contrat j'avais le droit de faire un droit d'accès et j'entendais le faire respecter. Je n'ai donc pas obtenu mes données personnels, mais celle du titulaire du contrat qui accepté de faire la demande.
Là encore, le message était adressé au service consommateur, et donc nous avons eu uniquement les données du service consommateurs alors qu'on demandait l'ensemble des données détenus par SFR. Elles ont été fournies via une liste de capture d'ecran :

• Données du titulaire :

  • Nom du titulaire
  • N° siren
  • adresse titulaire
  • n° tel fixe
  • date de naissance
  • département de naissance
  • n° contrat
  • date souscription
  • status contrat
  • ligne suspendu depuis le
  • forfait suscrit
  • date démarrage forfait
  • nom de l'utilisateur
  • région de l'utilisateur
  • catégorie titulaire
  • nombre des relances
  • nombre de suspensions
  • impayés à jour
  • mode de prélèvement
  • iban
  • domiciliation
  • titulaire compte

• Parution divers (oui/non) :

  • dans l'annuaire sans nom complet
  • dans l'annuaire sans adresse complète
  • dans l'annuaire sans recherche inversé
  • dans l'annuaire sans prospection
  • liste rouge
• Une liste des captures d'écran des mémos des contacts avec:
  • Réf activité
  • Statut
  • Groupe
  • Type
  • Activité
  • NDI
  • nouveau NDI
  • ancien NDI
  • date RDV
  • Paramètres
  • Commentaires
  • Date début planifiée
  • Date début
  • Date fin
  • Durée
  • Réf Dossier
  • Media
  • Source
  • Opération
  • Code distributeur
  • Offre (Liste à choix multiple donc l'un des choix est "Remise Loc BOX 3€/12 mois" par exemple :))
  • Conclusion
  • Date réception
  • Date signature
  • Montant
  • Priorité
  • Réf lot
  • Segment
  • Modifiée le
  • Modifieur
  • Assignée à
  • Position
  • ID LDCOM
  • Civilité , Prénom, Nom
  • Code postal, Ville
  • N° voie, Voie
  • Cplt 1, Cplt 2
  • email
  • N° de tel2

conclusion : on a du bataillé pour avoir les données, ils refusent de me filer mes propres données et les données obtenues ne sont pas complètes ni clair (il reste plein de sigle).

Bilan

Un bilan mitigé donc, puisque je n'ai pas eu avoir l'ensemble des données sollicités et qu'il faut parfois menacer d'une plainte à la CNIL pour les obtenir. Néanmoins il est toujours intéressant de connaitre les informations détenues sur nous et les possibles conséquences de leur revente ou fuite éventuelles.

Bien que l'état d'urgence est déjà par son existence une dérive, cet état d'urgence déraille aussi...

Contexte

J'ai au cours des trois derniers mois lu un grand nombre d'arrêtés, notamment pour comprendre si l'état d'urgence était utilisé uniformément sur tout le territoire. Les données publiées par l'Assemblée nationale ne permettent …

Bien que l'état d'urgence est déjà par son existence une dérive, cet état d'urgence déraille aussi...

Contexte

J'ai au cours des trois derniers mois lu un grand nombre d'arrêtés, notamment pour comprendre si l'état d'urgence était utilisé uniformément sur tout le territoire. Les données publiées par l'Assemblée nationale ne permettent pas de le savoir et même dans leur rapport, bien qu'il détaille géographiquement à l'aide des cartes, ces cartes ne montrent pas certaines choses, par exemple qu'environ 1/3 des autorisations de fouilles ont été pour le département de la Seine et Marne.

Il faut savoir que le suivi de l'Assemblée nationale est possible uniquement parce que Jean Jaques Urvoas, lors de la première prolongation de novembre 2015 a introduit, à la suite de discussions informelles entre le législatif et l'exécutif, un amendement visant à ce que le parlement soit informé de toutes les mesures prises dans le cadre de l'état d'urgence par le gouvernement. Ce bout de loi votée dans l'urgence (2 jours entre le dépôt et le vote définitif) a été remanié (en urgence aussi) en juillet 2016, lors d'une prolongation, pour que les autorités administratives transmettent d'elles-mêmes les arrêtes au parlement (Sénat et Assemblée nationale) Les données publiées par l'Assemblée nationale tous les 15 jours viennent du ministère de l'Intérieur et de la Justice, ainsi que des préfectures. Il n'y a aucune obligation de publication sur le site de l'Assemblée de ces chiffres...

Qu'elles sont les mesures dont on peut avoir connaissance ?

Un certain nombre de mesures ne sont pas publiées, par exemple les ordres de perquisitions, ou les assignations à résidences.

Voici les mesures prévus par la loi sur l'état d'urgence, prises par arrêtés préfectoraux qui sont publiées dans les recueils des actes administratifs des préfectures:

• Les fouilles, c'est l'article 8-1 de loi sur l'état d'urgence qui permet au préfet d'autoriser à procéder aux contrôles d'identité, à l'inspection visuelle et à la fouille des bagages ainsi qu'à la visite des véhicules circulant, arrêtés ou stationnant sur la voie publique ou dans des lieux accessibles au public.
• Les zones, c'est l'article 5 qui permet (principalement) d'instituer, par arrêté, des zones de protection ou de sécurité où le séjour des personnes est réglementé.
• Les manifestations c'est l'article 8 qui permet, à l'autorité administrative qui justifie de ne pas être en mesure d'en assurer la sécurité compte tenu des moyens dont elle dispose d'interdire les cortèges, défilés et rassemblements de personnes sur la voie publique.
• Les fermetures, c'est l'article 8 qui permet au préfet d'ordonner la fermeture provisoire des salles de spectacles, débits de boissons et lieux de réunion de toute nature.

L'état d'urgence version 5 s'étend de 21 juillet 2016 au 21 décembre 2016, la version 6 du 22 décembre jusqu'au 15 juillet 2017 (sauf une éventuelle suspension avant)

La nature de l'état d'urgence et ces décisions lourdes de conséquence, implique que l'on le manie avec la plus grande prudence et le plus grand suivi.

Et ça déraille où ?

Un suivi défaillant

Les chiffres affichées par l'Assemblée nationale et le Sénat dans son rapport sur la prolongation vers la version 6 de l'état d'urgence sont, du moins pour certains, incomplet!
Ce qui est d'autant plus problématique puisque les députés le reconnaisse dans leur rapport "Le contrôle parlementaire s'est vite imposé comme un élément de la légitimité de cette période d'exception"

Pour la version 5 au 14 décembre :
Pour les zones de protections : entre le 26 juillet et le 14 décembre 2016, il est possible de trouver 27 zones de protections, hors le Sénat en répertorie 20 (au 14/12/16) et l'Assemblée nationale 22 (au 8/12/16). De plus, au moins deux zones que j'ai pu répertorié ne correspondent pas à celles répertoriés par le Sénat (autrement dit le Sénat en trouve plus que moi sur ces départements). Donc il y a en réalité eu une trentaine de zones de protections, soit ... 1/3 de plus ...

Cela vient possiblement du fait que ce sont les préfectures qui remontent au parlement leurs propres actes, par exemple aucune des quatre zones de protections de la Loire apparaît dans le rapport du Sénat.

De même avec les interdictions de manifestations, au moins trois sont manquantes dans la synthèse du Sénat du 14 décembre.

Pour la version 6:
On ne peut que prendre les données de l'Assemblée nationale publiés le 12 janvier

Hors déjà (20 jours après le début de cette période) ça déraille !

Des fermetures il y en a eu 2 (au moins à ma connaissance) VS 1 selon les chiffres de l'Assemblée nationale
Des restrictions de circulation il y a en a eu au moins 1 VS 0 selon les chiffres de l'Assemblée nationale

Du copier-coller

On constate, pour les arrêtes de fouilles que c'est réalisé suivant une mécanique de copier-coller l'exemple le plus flagrant sont ces deux arrêtés

Le premier arrêté à deux articles II avec deux lieux d'exécution et le second n'a pas d'article II et pas de lieu d'exécution...Mais cela n'empêche pas le préfet de signer les deux arrêtés.

Certains arrêtés sont aussi des copies coller de jour en jour, par exemple la fouille à la gare du Crusot (et en gare de Chalon-sur-Saône plus récemment) est autorisé de 8h00 à 24h00 tous les jours depuis au moins début octobre.
Il n'est plus étonnant que par la suite il y ait eu plus de 2000 arrêtés ordonnant des fouilles sur la période 5 avec ce type d'arrêtés.
N'étant pas juriste je ne peux l'affirmer, mais il est possible que ceci est pour but de faire des contrôles dans les trains, grâce à l'article 8 de la loi du 22 mars 2016 relative à la prévention et à la lutte contre les incivilités, contre les atteintes à la sécurité publique et contre les actes terroristes dans les transports collectifs de voyageurs.

Un cas similaire c'est autour des camps de réfugiés à Loon-Plage et Grande-Synthe où tous les jours de 6h à 18h les fouilles sont autorisés par un arrêté.

Un autre cas flagrant, les arrêtés du 11 janvier par le préfet de Seine Maritime sont tous pour une application durant l'état d'urgence version 6 mais aucun ne cite la nouvelle loi de prolongation promulguée le 19 décembre...ils ont gardé le même modèle...

Fouille de plus de 24h

Les autorisations de fouilles sont limités à 24h, mais les préfets contournent parfois plus ou moins directement la loi:

• 10 arrêtes de 24h à la suite

Les considérants

Best-of des considérants pour justifier les mesures d'état d'urgence :

• Considérant qu'un attentat survenu il y a plus de 15 jours à 1000km de là va induire un flux important de véhicule (page 60)

• Considérant qu'en se cachant entre le fromager et le maraîcher, dans le Loiret (Voici une carte de France avec le Loiret si vous ne savez pas où ce département est situé) il est possible de s'introduire sur le territoire français
  

Divers

Entre la démission de Manuel Valls de son poste de premier ministre et la promulgation de la loi de prolongation le 19 décembre, l'état d'urgence était censé se finir 15 jours après la démission du gouvernement (c'est la loi) c'est-à-dire le 21 décembre. Néanmoins, certains préfets ont pris des arrêtes pour des mesures de l'état d'urgence durant cette période pour une application après le 21 décembre, c'est-à-dire après la fin "prévu" de l'état d'urgence.

Le préfet de la Drôme a interdit les raves party sur une trentaine de communes de son département, mais son arrêté n'utilise pas l'état d'urgence telle qu'on pourrait s'y attendre (=> comme pour interdire une manifestation, non pour cela il utilise le droit commun). Il cite la loi sur l'état d'urgence "notamment son article 11-1", l'article 11-1 c'est l'article sur les perquisitions administratives !

I. - Le décret déclarant ou la loi prorogeant l'état d'urgence peut, par une disposition expresse, conférer aux autorités administratives mentionnées à l'article 8 le pouvoir d'ordonner des perquisitions en tout lieu [...] lorsqu'il existe des raisons sérieuses de penser que ce lieu est fréquenté par une personne dont le comportement constitue une menace pour la sécurité et l'ordre publics."

Ce n'est qu'un aperçu, à travers les recueils des actes administratifs des dérives de l'état d'urgence, mais il y en a bien d'autres qui sont bien plus complexes à répertorier (lors d'exécution d'ordre,usage de l'état d'urgence à outrance, mesures individuelles), à titre d'exemple, les arrêtés de fouille ont parfois été exécuter par des vigiles ou même de "simple" bénévoles. Les maires ont aussi, par des arrêtés municipaux utilisé l'état d'urgence, parfois simplement pour appuyer leur propos, d'autres fois en réécrivant des mesures qui sont normalement réservées aux préfets.

Source / Données

Si vous souhaitez utilisez ces données je vous conseille de les vérifiées, en effet c'est un travail très fastidieux à faire, il est possible (voir même certain) qu'il y ait des fautes, n'hésitez pas à me les signaler. Néanmoins, cela ne couvre pas l'ensemble des arrếtés de l'état d'urgence mais seulement une grosse partie des versions 5 et 6.

• version 6 suivi détaillé dans les recueils des actes administratifs antérieurs au 15 janvier 2017
• version 5 par recueil des actes administratifs jusqu'à début décembre 2016
• verison 5 extrait des zones de protections au 14 décembre 2016

Épisode 1 par ici => Aperçu de l'appli SAIP sous le capot.

Suite à ma demande d'accès aux documents administratifs sur SAIP le 13 juin, puis de ma demande d'avis CADA le 13 juillet avec une réponse de la CADA le 20 octobre, j'ai fini par obtenir l'accès aux documents souhaités …