Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

La CNIL accusée de ne pas remplir « sa mission de veiller au respect du RGPD »

CnilGPT ?

La CNIL accusée de ne pas remplir « sa mission de veiller au respect du RGPD »

Aeris est un internaute bien connu sur X pour son combat en faveur du respect du RGPD. Son « arme » de prédilection : des plaintes auprès de la CNIL. Est-ce efficace ? Au cours d’une requête en annulation au Conseil d’État, il soulève plusieurs points sensibles sur la gestion des plaintes par la CNIL.

Le 06 février à 17h35

L’histoire remonte à mai 2019. Aeris dépose alors une plainte à la CNIL (Commission nationale de l'informatique et des libertés) contre Cdiscount, Cartégie et Bouygues Telecom : « la société Bouygues Telecom venait de m'envoyer un courriel de prospection commerciale sans consentement préalable » explique-t-il dans son « mémoire en requête » adressé au Conseil d’État. En octobre 2020, rebelote contre AlloVoisin, EuroCRM et Bouygues Telecom pour les mêmes motifs.

La CNIL lui répond le 23 octobre 2020 et l’informe qu’un rappel à la loi a été envoyé à Bouygues Telecom et EuroCRM dans le cadre de la seconde plainte. Aeris apprend en décembre 2022 par le Délégué à la Protection des Données d’Allo Voisin « l’existence d’une mise-en-demeure non publique rendue par la CNIL en novembre 2021 », toujours dans le cadre de la seconde plainte. Il précise aussi que la CNIL et la CADA lui « ont refusé la communication du contenu » de cette mise en demeure.

Ces deux affaires « avaient été doublées d’une demande d’effacement au titre de l’article 17 du RGPD » de ses données personnelles, ce qui « constitue aussi implicitement une demande d’opposition au titre de l’article 21 du RGPD. À tout le moins, le traitement étant illicite, il n’aurait plus jamais dû être mis en œuvre par la suite ».

L’histoire n’en reste pas là et, trois ans plus tard, Bouygues Telecom récidive : « le 13 décembre 2023, j'ai déposé la plainte n° 44 - 45588 à la CNIL, car la société Bouygues Telecom venait de m'envoyer à nouveau un courriel de prospection commerciale sans consentement préalable ». Le principal intéressé précise ne jamais avoir été client et n’avoir de « relation d’aucune sorte » avec l’opérateur. Pour en ajouter une couche, il précise que « l'analyse du courriel reçu montre aussi la présence d’un pixel traçant son ouverture ».

Le même jour, Aeris formule une « demande d’accès au titre de l’article 15 du RGPD auprès de la société Bouygues Telecom ». Faute de réponse pour le moment de l‘opérateur, l'origine des données reste « à ce jour encore inconnue ».

Un simple rappel à la loi qui ne passe pas

16 jours plus tard (le 29 décembre 2023 donc), avec une vitesse qui ne la caractérise pas dans ce genre de situation, la Commission répond : « la CNIL m'informe avoir procédé, dans le cadre de la plainte n° 44 - 45588, à un rappel à la loi à la société Bouygues Telecom concernant la présence de pixel traçant ».

C’est cette décision de clôture qui est contestée devant le Conseil d’État. En effet, elle est selon Aeris « manifestement pas compatible avec une défense convenable de mes droits en tant que personne concernée au sens du RGPD et contrevient à plusieurs obligations légales incombant pourtant à la CNIL ».

La longue liste des griefs

Plusieurs point sont soulevés concernant l’instruction de la plainte par la CNIL. Pêle-mêle, Aeris parle de « délais aussi brefs […] concernant une société multi-récidiviste […] déjà concernée par deux plaintes en trois ans […] ayant conduit à deux rappels à la loi et une mise-en-demeure […] pour des faits identiques […] concernant des pratiques interdites depuis vingt ans et ayant conduit à une sanction […] insignifiante pour l’entreprise visée […] d'autant plus dans un contexte de multi-récidive […] en ignorant la quasi-totalité des manquements constatés […] en ignorant la majorité des circonstances aggravantes prévues par la loi ».

En plus de la demande d’annulation de la décision de clôture de la CNIL, Aeris demande au Conseil d’État d’enjoindre la CNIL « de se mettre en conformité avec le RGPD ». Trois vœux : « instruire correctement la plainte associée […] informer le plaignant de l’évolution de l’instruction [et] entrer en condamnation de manière dissuasive ».

Pour Aeris en effet, l’instruction de sa troisième plainte contre Bouygues Telecom, « aurait dû conduire à un contrôle en profondeur des pratiques de cette société, afin de la contraindre à s'expliquer quant à son absence de mise-en-conformité malgré déjà plusieurs rappels à l’ordre ». Les trois fois, il s’agit pour rappel de « prospection commerciale sans consentement préalable ».

« En n’émettant qu’un simple rappel à la loi après déjà un de portée générale en 2009 suivi de deux spécifiquement à destination de Bouygues Telecom, la CNIL ne remplit pas sa mission de veiller au respect du RGPD », ajoute Aeris dans son argumentaire.

Concernant le second point (informer le plaignant), Aeris précise que « la CNIL est de plus malheureusement connue pour ne pas d’elle-même informer le plaignant (qui n’est même pas considéré comme partie au dossier) des différents échanges avec les responsables de traitement ».

Quant à la condamnation dissuasive, Aeris explique dans sa plainte qu’un « simple rappel à la loi n’en constitue ici manifestement plus une ».

En 10 jours ouvrés, l'instruction « n’a pas pu être conduite correctement »

Pour Aeris, arriver à une clôture de la plainte « en seulement 10 jours ouvrés (probablement plutôt 7 effectifs en tenant compte des fêtes de fin d’année) » indique que l'instruction « n’a pas pu être conduite correctement ». Il détaille son propos :

« Dans la plainte n° 44 - 45588, à la date de clôture de la réclamation par la CNIL, le revendeur à origine des données et le courtier utilisé par Bouygues Telecom ne sont par exemple toujours pas connus du plaignant. Soit la CNIL a instruit correctement cette réclamation, les a identifiés et n’en a donc pas informé le plaignant, l’empêchant de fait de défendre ses droits à l’encontre de ceux-ci, soit la CNIL ne les a pas identifiés et n’a donc pas procédé à une instruction correcte. Dans tous les cas, faute d’information, le plaignant doit nécessairement contester la clôture devant votre Conseil pour espérer des éclaircissements et estimer à sa juste valeur la décision de la CNIL ».

Réponse à côté de la plaque, copié-collé…

La CNIL en prend ensuite pour son grade concernant le traitement des plaintes : « Il est malheureusement aussi régulier pour la CNIL de ne même pas tenir compte de l’ensemble des éléments constituant une violation du RGPD présent dans la réclamation initiale et de la fermer au seul motif d’une violation non représentative de l’ampleur du problème, ou encore de manifestement faire des erreurs grossières d'appréciation de la situation (pièce 32), nécessitant une réouverture du dossier par le plaignant lui-même, et ce malgré les détails apportés dès l’ouverture de la réclamation par le plaignant, qui se retrouve à devoir réaliser l'instruction du dossier en aveugle et à la place de la CNIL ».

Il en remet une couche : « D’autres exemples flagrants (pièce 33) de clôture de plaintes pour des motifs complètement étrangers à la demande initiale (deux plaintes pour défaut de minimisation article 5(1)c et une pour défaut de réponse à demande d’accès article 15 clôturées en invoquant un transfert international article 50 sans aucun rapport) laissent même à penser que la CNIL traite ses dossiers par simples mots clefs, la présence de terme comme « Google Analytics » ou « Google Fonts » déclenchant aussitôt une clôture avec des textes pré-rédigés copiés-collés d’une plainte à l’autre concernant des thèmes totalement extérieurs aux cas d’espèce à considérer. »

« Du foutage de gueule »

Sur X, Guillaume Champeau (ancien directeur juridique et affaires publiques de Clever Cloud, désormais directeur juridique de Olympe.legal) résume la situation : « Aeris soupçonne la CNIL d'utiliser des réponses type pour se débarrasser au plus vite de plaintes qu'elle juge probablement non prioritaires, tout en prétendant les instruire, limitant la possibilité réelle pour les justiciables de faire valoir leurs droits ».

Morgan Schmiedt d’eWatchers ne mâche pas ses mots : « Ce n'est pas que des soupçons. La CNIL envoie des messages types sans instruction réelle. Parfois, sans lien avec le manquement relevé. Parfois, avec le nom d'organismes différents, suite à des copiés-collés foireux. Parfois, elle ment ouvertement. Du foutage de gueule ». Ambiance…

Nous avons évidemment contacté la CNIL sur ce sujet et nous lui avons au passage demandé combien de plaintes elle recevait par semaine, mois ou année. Nous mettrons à jour cette actualité lorsque nous aurons une réponse de la Commission.

Commentaires (33)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Aeris est aussi très bien connu sur Mastodon où il est actif. Merci de plutôt promouvoir son compte Mastodon que X

EDIT : Fédiverse et non pas Mastodon pardon.
votre avatar
(J’ai BlueSky aussi à la limite hein… Quitte à utiliser un truc pas conforme RGPD, autant que ça soit celui qui assume clairement ne pas l’être ? 🤣)
votre avatar
Ahah, j'ai pensé à toi en lisant le pseudo 😆
votre avatar
Bon, du coup, tu préfères que je mette quel RS en avant, ça sera plus simple :francais:
votre avatar
A chaud, pour moi ça démontre un gros manque de moyens par rapport à la quantité de dossiers à traiter.

En regardant sur GDPR Hub, pour ce que ça vaut puisque alimenté de manière communautaire, la section Germany est à 284 entrées contre 100 pour la France.
votre avatar
En vrai ? Non.
AEPD, la CNIL espagnole, c’est 20% de budget (15 millions contre 20 millions de mémoire) et d’effectifs (180 contre 220) en moins pour le même volume de plaintes (~14 000/an). Par contre AEPD c’est déjà 573 condamnations, contre 40 pour la CNIL… 😑
Ce n’est pas un manque de moyen, c’est un grave manque d’organisation… et des ordres politiques de ne pas toucher au business… 😡
votre avatar
Pardon, pas 573. Ça c’était le mois dernier. 799 maintenant. Pfiou, faut la suivre celle-là… 🤣
votre avatar
En fait j'ai souvent pour habitude d'englober l'organisation dans les "moyens". Le financement ne fait pas tout, et justement comme tu l'indiques, un plus gros budget n'aide pas forcément à accomplir au mieux sa mission.
votre avatar
Morgan Schmiedt d’eWatchers ne mâche pas ses mots : « Ce n’est pas que des soupçons. La CNIL envoie des messages types sans instruction réelle. Parfois, sans lien avec le manquement relevé. Parfois, avec le nom d’organismes différents, suite à des copiés-collés foireux. Parfois, elle ment ouvertement. Du foutage de gueule ». Ambiance…
J'ai vraiment le même sentiment.
J'ai suis à 36 plaintes (la 37e est prête et sera envoyée samedi). Un grand nombre de plaintes n'a pas eu de retour. Le reste c'est "nous avons informé l'organisme et clôturons le dossier", ce qui reste étonnant vu que ces organismes continuent leur bizness as usual... Impossible d'en savoir plus, la seule solution est de rouvrir une plainte quelques semaines plus tard, qui finira avec la même réponse que les précédentes...
votre avatar
C'est assez consternant de lire ce genre de témoignage.

Voir des organismes qui sont essentiels pour assurer un minimum de Justice en rééquilibrant la balance entre David et Goliath, se conforter dans une certaine médiocrité, me désole profondément.

Et c'est malheureusement assez symptomatique de ce qu'il se passe de manière globale.

J'ai du mal à être optimiste pour l'avenir...
votre avatar
On dirait le système de tickets d'une entreprises lambda :
* "M'en fous pas lu" -> Jamais traité
* "On verra le mois prochain" -> Ouvert depuis 2 ans
* "Problème toujours d'actualité ?" -> La fausse relance permet la fermeture en absence de réponse quelques jours après
* "Ça marche chez moi" -> Clôture pour les statistiques de réponse

Par ailleurs :
Nous avons évidemment contacté la CNIL sur ce sujet et nous lui avons au passage demandé combien de plaintes elle recevait par semaine, mois ou année.
Métriques, niveau de service… ils en sont très loin vu qu'il ne semblent pas faire le boulot sur le fond, déjà, mais boudiou que ça les motiverait eux-mêmes ! S'ils aimaient leur fonction.
votre avatar
Pour ma part j’ai déjà envoyé deux plaintes strictement identiques (à l’exception du nom des société visées) concernant l’inefficacité du formulaire d’opposition aux newsletters.

La première a été traitée (avec un simple rappel à la loi), la seconde ignorée au motif qu’il faut envoyer un mail au DPO.

L’article confirme malheureusement mon ressenti…
votre avatar
Toujours un plaisir de lire Aeris sur les réseaux ^^
Et en même temps ça rend dingue de voir la gestion des plaintes de la Cnil...
Concernant une plainte que j'ai déposé contre l'Unadev, elle a été cloturée "rapidement", au motif qu'un rappel a été envoyé à la société... j'ai dû rouvrir une plainte après x semaines car pas de réponse. Et là L'Unadev s'est réveillé. Je ne suis plus harcelé, mais bon, ses méthodes douteuses et agressives continuent, suffit de voir les avis :cartonrouge:
votre avatar
Encore un très grand merci Sébastien, pour cet article et son suivi !

Car malheureusement, c'est un sujet qui devrait fait débat public car le rôle de la CNIL est juste fondamental pour la Justice dans ce pays.
votre avatar
Pour la justice (la majuscule est inutile), il y a les tribunaux. Le RGPD n'empêche pas de porter plainte après d'un tribunal.
votre avatar
Dès lors que la CNIL permet de résoudre un conflit, je considère sa mission comme faisant partie de la Justice.

Et c'est précisément parce qu'elle évite le passage aux tribunaux qu'elle joue un rôle primordial.

Car on ne souligne pas assez qu'une Justice qui réclame de longues et fastidieuses procédures s'éloigne d'un de ses principes fondemantaux: elle doit être accessible à tous.
votre avatar
Alors pour le coup, la saisie de la CNIL n’est pas exclusif de la saisie des juridictions civiles et pénales. La triple saisie est même ce qui devrait être fait à chaque fois…

Et la procédure à la CNIL est au final aussi longue et pénible que le civil et le pénal…
votre avatar
Son (in?)efficacité, toute relative qu'elle soit, n'en réduit pas moins l'importance de son rôle.

Mais effectivement, la CNIL n'a pas vocation à supplanter les tribunaux.
votre avatar
Tu devrais relire le RGPD.

Ce que tu décris de ton attente de la CNIL est plus le travail d'un médiateur.
votre avatar
Je vois la CNIL davantage comme un gendarme qu'un médiateur, car elle dispose du pouvoir de sanction.
votre avatar
Je n'ai pas compris ce que tu voulais dire par résoudre un conflit dans ce cas. Résoudre un conflit entre 2 parties, ce n'est pas sanctionner.
votre avatar
On peut résoudre un conflit sans nécessairement sanctionner.

Le pouvoir de sanction peut jouer un rôle incitatif à sa résolution, comme le souligne Mihashi.

EDIT: pour être plus explicite.
Une personne morale ou physique aura a priori plus tendance à se soumettre aux demandes de la CNIL qu'à un individu qui aurait fait les mêmes demandes.
C'est là où son rôle est important ou du moins non négligeable.
C'est dans ce sens que la CNIL participe à la résolution de conflit... bien que je me rende compte de mes a priori sur son efficacité ^^
votre avatar
Un gendarme n'a pas de pouvoir de sanction, c'est uniquement la justice justement…

Fred42 : Je n'ai pas compris ce que tu voulais dire par résoudre un conflit dans ce cas. Résoudre un conflit entre 2 parties, ce n'est pas sanctionner.
La sanction est un des moyens pour inciter à la résolution d'un conflit.
votre avatar
Un gendarme ne rend effectivement pas Justice, mais il n'est pas totalement "désarmé" :transpi:.

Il dispose tout de même de quelques moyens comme l'arrestation.

L'analogie n'est cependant pas aussi judicieuse que je le pensais.

L'idée était de souligner que la CNIL, par son pouvoir de sanction, avait nécessairement un poids important et par conséquent, un rôle non négligeable dans la résolution d'un confit.
votre avatar
Je ne suis pas du tout surpris.

J'ai signalé il y a quelques années le site Kikourou.net, qui diffuse les informations personnelles de centaines de milliers de personnes, sans avoir demandé et obtenu leur consentement au préalable..
Je l'ai signalé à la CNIL, rien n'a été fait; le site et les données concernées sont toujours en ligne.

Le site bafoue ouvertement la loi.. mais par contre y fait référence quand ça l'arrange : quand j'ai contacté le webmaster pour qu'il supprime mes données personnelles, il me demande une pièce d'identité, en faisant références au RGPD !
Je suis donc censé envoyer une copie de ma carte d'identité (document personnel très sensible) à un particulier dont on sait qu'il viole la loi (en abusant des informations personnelles des gens justement). C'est magnifique.
Là dessus non plus, la CNIL n'a rien fait (je leur avait demandé d'agir en tant que tiers de confiance).
votre avatar
La demande de communication d’une pièce d’identité est une non conformité RGPD généralement.
C’est la CNIL qui le dit.
twitter.com Twitter
votre avatar
La CNIL ne dit pas que c'est une non-conformité. Elle dit que c'est souvent non nécessaire, ce qui est quand même différent ;)

Elle résume d'ailleurs ce principe ainsi : "pas de pièce d’identité, sauf en cas de doute raisonnable."

On peut fournir un numéro de client, se connecter à son compte, utiliser l'adresse e-mail qui reçoit les communications, etc. pour prouver son identité et faire sa demande sans avoir besoin de fournir une pièce d'identité.

Maintenant, si un site qu'on ne connait ni d'Adam ni d'Eve dispose d'information nous concernant et qu'on souhaite procéder à l'exécution de ses droits, cela va dépendre de la demande :
- pour une demande de suppression, j'ai presque envie de dire, pas de souci, pas besoin de carte d'identité (surtout quand il s'agit de publicité).
- pour une demande d'accès, ça me parait légitime. Sinon, n'importe qui peut demander les informations de n'importe qui sans justification.
votre avatar
Tu remarqueras la présence du « généralement » à la fin de ma phrase 🤣
Dans 99.9999% des cas le DPO ne pourra de toute façon comparer avec rien du tout donc pièce inutile…
votre avatar
Je répondais sur l'aspect non-confirmité ;) La CNIL ne dit pas que la pièce d'identité n'est pas conforme. Elle dit que ce n'est pas une nécessite absolue et rappelle d'autres moyens à mettre en oeuvre avant d'en arriver là ;)
votre avatar
Étant DPO la CNIL ne me fait plus peur depuis un moment... déjà car mes entreprises sont en conformité, ensuite pour avoir suivi les plaintes d'Aeris sur les RS qui n'aboutissaient à rien + l'absence de sanctions au regard de celles des homologues européens.

Bref c'est une usine à gaz et je pèse mes mots.
votre avatar
Alors la dernière boîte qui m’a dit être conforme RGPD s’est fait un poil pilorisée pour violation du RGPD en long en large et en travers 🤣.
Il y a aussi « le meilleur logiciel RGPD du marché » qui a une petite plainte de ma parte pas piquée des hannetons sur le bureau de la CNIL.
votre avatar
J'avoue que j'exagère un peu en disant que mes boîtes sont en conformité, mais je fais de mon mieux promis !
votre avatar
Les agents de la Cnil aurait-ils été remplacés par TchatGPT?

La CNIL accusée de ne pas remplir « sa mission de veiller au respect du RGPD »

  • Un simple rappel à la loi qui ne passe pas

  • La longue liste des griefs

  • En 10 jours ouvrés, l’instruction « n’a pas pu être conduite correctement »

  • Réponse à côté de la plaque, copié-collé…

  • « Du foutage de gueule »

Fermer