CNIL : baja velocidad


Les commentaires sur une certaine forme de passivité (pour ne pas dire de duplicité) de la CNIL dans le domaine de la défense des droits de l'usager s'accumulent. Synthèse et opinions sur une institution qui, disons-le sans amiguïté, déçoit.



Pubié le 12 juin 2024



Le phénomène n'est pas récent : des critiques, parfois acerbes, sont régulièrement adressées à la CNIL via les réseaux sociaux. On ne va pas se mentir : nous faisons régulièrement partie de ces détracteurs. Nous souhaitons ici en expliquer les raisons.



Les missions de la CNIL



A quoi sert la CNIL ? Sa mission essentielle est définie par l'article 51 du RGPD, et reprise dans l'article 8 de la loi "Informatique et libertés" du 6 janvier 1978. Nous citons ici les parties qui nous intéressent :


Article 51 du RGPD



Chaque État membre prévoit qu'une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l'application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l'Union (ci-après dénommée «autorité de contrôle»).


.


Extrait de l'article 8 (I)(2) de la loi "Informatique et libertés" du 6 janvier 1978



I. La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes :
(...)


Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France.




On comprend donc que parmi les missions de la CNIL, la protection des données et la valorisation des droits des usagers constitue la part majeure de son activité, ou du moins est censée la constituer. On relèvera au passage qu'il n'existe aucune mention de considération économique en la matière.



Nous pouvons néanmoins nous permettre de le dire : le compte n'y est pas. On pourrait évoquer le manque de moyens et / ou de budget, mais cet argument reste très contestable. A titre d'exemple criant, et comme cela a très souvent été fait, il est possible de réaliser un comparatif tout-à-fait raisonnable entre notre APD française et son homologue espagnole. Le tableau ci-dessous résume en quelques chiffres, pour chaque APD et pour l'année 2023 :



Pour ce qui concerne les moyens dont disposent nos APD respectives :


- Le budget alloué,
- Le salaire moyen de chaque pays (source française INSEE, source espagnole INE),
- Le nombre d'employés dans chaque APD



Pour ce qui concerne les actions :


- Le nombre de plainte reçues par APD
- Le nombre de sanctions prononcées par chaque ADP.



.





On en comprend donc sans difficulté :


- Que la CNIL dispose de plus de moyens financiers et humains que son homologue espagnole, l'AEPD
- Qu'elle a prononcé au cours de l'année 2023 DIX FOIS MOINS de sanctions.



L'asymétrie du traitement des plaintes



Quelle est la stratégie de la CNIL en matière de répression ? Prononcer des "sanctions-symboles", en espérant naïvement que celles-ci auront un impact plus large. Ce fut le cas avec la sanction à l'encontre de Google au sujet de sa fenêtre de consentement, ou encore contre Criteo, (sanction que nous avons largement commenté dans cet article en lien)



Mais les faits tendent à démontrer que celles-ci n'ont pour ainsi dire aucun impact sur des phénomènes analogues en France.



Par ailleurs, on observe bien une gradation de l'action de la CNIL en fonction de ce qu'elle estime être important ou pas. Que la nature de la sanction change en fonction de la gravité de la faute commise, cela est compréhensible. En revanche, l'usager est en droit de demander à minima que ses réclamations soient traîtées dignement. Nous pouvons ici illustrer notre propos avec un exemple caractéristique, trop connu hélàs par ceux qui tendent à défendre leur vie privée et par la même celle des usagers d'Internet.



Dernier exemple en date : une n-ième fenêtre de consentement non conforme. Nous avions déposé plainte. Mini time-line à suivre.



Nous nous étions félicités de la rapidité de transmission de notre réclamation. Pour mémoire, elle a été déposée en week end le 1er juin 2024 (un samedi). Dès le lundi 3 juin matin, la réclamation a été transmise au service des plaintes de la CNIL, puis à peine deux heures plus tard, un courriel de rappel à l'ordre a été adressé au DPO concerné. La CNIL nous a rendu compte de ces faits, ainsi que de la.... clôture de la plainte. C'est au plaignant de vérifier (comme nous le faisons du reste pratiquement toujours) la mise en conformité du site. Aucun suivi de la part de notre APD, qui précise que le responsable de traitement du site a 4 mois pour se mettre en conformité. C'est toujours au plaignant de déposer à nouveau une plainte le cas échéant. L'instruction, quand elle existe, se réalise à minima.



Et encore : nous n'avons évoqué qu'un seul cas extrêment simple et incontestable. De nombreuses plaintes sont également lues en diagonale et clôturées sans réelle lecture attentive. En témoignent les réclamations à l'encontre du déploiement de Google Analytics sans consentement (le sujet porte donc sur le seul consentement non requis auprès de l'usager), pour lesquelles la CNIL apporte une réponse hors-sujet en évoquant l'actuel DPF et le fait que désormais les transferts de données vers les Etats-Unis sont autorisés sous certaines conditions. Sans commentaires.



Les exemples de ce type sont légions. Les corrections ne sont pas appliquées par les responsables de traitement qui bénéficient d'une quasi totale impunité en la matière, et naturellement récidivent. Si l'on y ajoute le peu de sanctions réelles prononcées par notre APD, autant dire que dans ce domaine, la CNIL ne sert pas à grand chose.



Mais d'autre faits tout aussi sérieux, si ce n'est plus, nous heurtent.



La CNIL championne de la duplicité ?



La question semble provocatrice, mais nous aurions tendance à la juger plutôt fondée. Nous allons ici décrire deux exemples à méditer.



Il est préalablement important de préciser que parmi les missions que la CNIL s'attribue figure l' "accompagnement". D'aucuns pourraient considérer ceci comme une bonne mesure, notamment pour des TPE / PME qui ne sont pas forcément spécialistes du RGPD et qui, de bonne foi, ont besoin d'être guidées et conseillées.



En revanche, quand l'entité qui requiert un accompagnement est une société de premier plan, collectant les données de la quasi totalité des personnes sur le territoire français (ladite société revendique même connaître "100% des foyers français"), c'est une tout autre histoire. Les connaisseurs auront compris que nous évoquons ici la société Valiuz, dont nous avons déjà largement parlé dans l'un de nos articles.



Nous invition très fortement le lecteur à se plonger dans cet excellent article de Morgan Schmiedt qui précise tous les détails de ce feuilleton, parmi lesquels sont notamment évoqués :


- La volonté farouche de la CNIL de refuser de communiquer sur le sujet, ce qu'elle a été contrainte de faire, forcée par la Commission d'accès aux documents administratifs (CADA)
- L'influence d'Alliance Digitale, pendant français de l'IAB, pour éviter que la CNIL ne soit forcée de communiquer à l'avenir au sujet de ses accompagnements,
- La tentative d'action politique visant à avaliser le mutisme de la CNIL, évoqué dans dans cet autre excellent article du site ewatchers.org .



Ce n'est pas tout : il y a aussi ce qu'on se permet de qualifier de défiance vis-à-vis des institutions européennes. Autre exemple en time line sur laquelle il est très instructif de se pencher.



Cela commence avec une attitude amibiguë : le 27 octobre 2023, la CNIL lance, de façon plutôt discrète précisons-le, une concertation au sujet des pixels de tracking avec l'alliance du commerce.



Le 27 octobre 2023 ?



Bien étrange date : à peine trois semaines plus tard, le Comité Européen adopte les directives 2/2023 que nous évoquons en détail dans l'un de nos articles. La CNIL était-elle, ce 27 octobre, totalement ignorante du contenu de ces directives à paraître alors qu'elle coopère en permanence avec le CEPD ? il serait extrêmement naïf de le croire.



Puis, courant mars 2024, notre APD clôture des plaintes contre l'utilisation de pixels de tracking au motif qu'elle "a ouvert une concertation pour élaborer des lignes directrices " sur ce sujet, et que le CEPD "travaille actuellement sur des lignes directrices relatives au périmètres des technologies couvertes par l'article 5(3) de la directive ePrivacy"



Ceci est faux : ces directives ont été adoptées plus de trois mois plus tôt. L'un des plaignants, aussi opiniâtre qu'éclairé, en a voulu avoir le coeur net : il a demandé au CEPD si des travaux étaient en cours ou prévus cette année 2024 au sujet des pixels de tracking.



La réponse du CEPD est sans appel. Primo : aucun travail n'est planifié à ce jour ni ne le sera cette année, et surtout, secundo : le CEPD rapelle que la consultation qu'il a lancée au sujet de ces directives n'exonère en rien son caractère immédiatement applicable. Ces directives sont en effet adoptées.



Enfin, tout récemment encore, quelle n'est pas notre surprise de constater qu'Alliance Digitale (pendant français d'IAB), réalise des échanges semestriels avec notre APD. Nous émettons de forts doutes sur le fait qu'il en aille de même avec des ONG défendant la vie privée des usagers : nous n'avons encore pas vu de cliché représentant Benjamin Bayart et Marie-Laure Denis afficher le même sourire dans le bureau de la présidence de la CNIL...



La pression monte



Ainsi, après des années de plaintes et réclamations, fondées, documentées, et... balayées d'un revers de main par la CNIL, confortant les entreprises peu scrupuleuses dans leur impunité, l'exaspération des Internautes atteint un niveau suffisamment élevé pour avoir recours, à titre individuel, au Conseil d'Etat, ainsi que le relate l'article de Sébastien Gavois dans Next qu'on laisse à l'appréciation du lecteur.



On partage le point de vue exprimé dans cet article. A notre niveau, nous avons adressé il y a un an une lettre ouverte relative au déploiement de solutions de mesure d'audiences exemptées de consentement. Alors que des PDG d'Adtech nous ont proposé un échange (que nous avons du reste accepté volontiers), silence de la CNIL.



Idem pour ce qui concerne notre lettre ouverte concernant la problématique du modèle "Pay or OK". Pourtant, il nous a été confirmé que la destinataire (i.e. la présidente de notre autorité de contrôle) a bien reçu notre missive.



Cette exaspération finit même par gagner les professionnels du secteur. C'est ainsi que Guillaume Champeau, juriste dont on peut raisonnablement affirmer qu'il est connaisseur du sujet, a lancé une pétition visant à "réarmer les citoyens et les DPO face aux violations du RGPD", que nous avons signée, et que nous invitons à lire et signer par ailleurs.



Notre message est donc clair : certes, il est bon et important que notre APD anticipe et mène une réflexion en profondeur sur les difficultés fondamentales qui se présentent à notre société ; certes, le travail du LINC, entité de la CNIL, est à saluer, est également remrquable, et est à notre sens à suivre avec un intérêt non feint, mais il n'empêche : la CNIL est en profond sous régime pour ce qui concerne la défense des droits des usagers. Et nous l'assurons ici : nous n'avons exposé qu'un panorama très parcellaire des manquements observés.



En tout état de cause cause, le Conseil d'Etat tranchera, mais il est à notre sens plus que temps que notre APD sorte de son apathie et revienne à ses fondamentaux, in extenso à ce pour quoi elle a été fondée.



Dignilog.