CNIL Logo

La CNIL accusée de ne pas remplir « sa mission de veiller au respect du RGPD »

CnilGPT ?

Avatar de l'auteur
Sébastien Gavois

Publié dans

DroitInternet

06/02/2024
33

CNIL Logo

Aeris est un internaute bien connu sur X pour son combat en faveur du respect du RGPD. Son « arme » de prédilection : des plaintes auprès de la CNIL. Est-ce efficace ? Au cours d’une requête en annulation au Conseil d’État, il soulève plusieurs points sensibles sur la gestion des plaintes par la CNIL.

L’histoire remonte à mai 2019. Aeris dépose alors une plainte à la CNIL (Commission nationale de l'informatique et des libertés) contre Cdiscount, Cartégie et Bouygues Telecom : « la société Bouygues Telecom venait de m'envoyer un courriel de prospection commerciale sans consentement préalable » explique-t-il dans son « mémoire en requête » adressé au Conseil d’État. En octobre 2020, rebelote contre AlloVoisin, EuroCRM et Bouygues Telecom pour les mêmes motifs.

La CNIL lui répond le 23 octobre 2020 et l’informe qu’un rappel à la loi a été envoyé à Bouygues Telecom et EuroCRM dans le cadre de la seconde plainte. Aeris apprend en décembre 2022 par le Délégué à la Protection des Données d’Allo Voisin « l’existence d’une mise-en-demeure non publique rendue par la CNIL en novembre 2021 », toujours dans le cadre de la seconde plainte. Il précise aussi que la CNIL et la CADA lui « ont refusé la communication du contenu » de cette mise en demeure.

Ces deux affaires « avaient été doublées d’une demande d’effacement au titre de l’article 17 du RGPD » de ses données personnelles, ce qui « constitue aussi implicitement une demande d’opposition au titre de l’article 21 du RGPD. À tout le moins, le traitement étant illicite, il n’aurait plus jamais dû être mis en œuvre par la suite ».

L’histoire n’en reste pas là et, trois ans plus tard, Bouygues Telecom récidive : « le 13 décembre 2023, j'ai déposé la plainte n° 44-45588 à la CNIL, car la société Bouygues Telecom venait de m'envoyer à nouveau un courriel de prospection commerciale sans consentement préalable ». Le principal intéressé précise ne jamais avoir été client et n’avoir de « relation d’aucune sorte » avec l’opérateur. Pour en ajouter une couche, il précise que « l'analyse du courriel reçu montre aussi la présence d’un pixel traçant son ouverture ».

Le même jour, Aeris formule une « demande d’accès au titre de l’article 15 du RGPD auprès de la société Bouygues Telecom ». Faute de réponse pour le moment de l‘opérateur, l'origine des données reste « à ce jour encore inconnue ».

Un simple rappel à la loi qui ne passe pas

La suite est réservée à nos abonnés.

Déjà abonné ? Se connecter

Abonnez-vous
33

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un simple rappel à la loi qui ne passe pas

La longue liste des griefs

En 10 jours ouvrés, l’instruction « n’a pas pu être conduite correctement »

Réponse à côté de la plaque, copié-collé…

« Du foutage de gueule »

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (33)


WeKeys Abonné
Le 06/02/2024 à 17h 47
Aeris est aussi très bien connu sur Mastodon où il est actif. Merci de plutôt promouvoir son compte Mastodon que X

EDIT : Fédiverse et non pas Mastodon pardon.
Modifié le 07/02/2024 à 09h09
Le 06/02/2024 à 18h 56
(J’ai BlueSky aussi à la limite hein… Quitte à utiliser un truc pas conforme RGPD, autant que ça soit celui qui assume clairement ne pas l’être ? 🤣)
Mihashi Abonné
Le 06/02/2024 à 22h 30

aeris22

(J’ai BlueSky aussi à la limite hein… Quitte à utiliser un truc pas conforme RGPD, autant que ça soit celui qui assume clairement ne pas l’être ? 🤣)
Ahah, j'ai pensé à toi en lisant le pseudo 😆
Le 07/02/2024 à 07h 18

aeris22

(J’ai BlueSky aussi à la limite hein… Quitte à utiliser un truc pas conforme RGPD, autant que ça soit celui qui assume clairement ne pas l’être ? 🤣)
Bon, du coup, tu préfères que je mette quel RS en avant, ça sera plus simple :francais:
SebGF Abonné
Le 06/02/2024 à 18h 16
A chaud, pour moi ça démontre un gros manque de moyens par rapport à la quantité de dossiers à traiter.

En regardant sur GDPR Hub, pour ce que ça vaut puisque alimenté de manière communautaire, la section Germany est à 284 entrées contre 100 pour la France.

Le 06/02/2024 à 18h 50
En vrai ? Non.
AEPD, la CNIL espagnole, c’est 20% de budget (15 millions contre 20 millions de mémoire) et d’effectifs (180 contre 220) en moins pour le même volume de plaintes (~14 000/an). Par contre AEPD c’est déjà 573 condamnations, contre 40 pour la CNIL… 😑
Ce n’est pas un manque de moyen, c’est un grave manque d’organisation… et des ordres politiques de ne pas toucher au business… 😡
Le 06/02/2024 à 18h 53

aeris22

En vrai ? Non.
AEPD, la CNIL espagnole, c’est 20% de budget (15 millions contre 20 millions de mémoire) et d’effectifs (180 contre 220) en moins pour le même volume de plaintes (~14 000/an). Par contre AEPD c’est déjà 573 condamnations, contre 40 pour la CNIL… 😑
Ce n’est pas un manque de moyen, c’est un grave manque d’organisation… et des ordres politiques de ne pas toucher au business… 😡
Pardon, pas 573. Ça c’était le mois dernier. 799 maintenant. Pfiou, faut la suivre celle-là… 🤣
Modifié le 06/02/2024 à 18h53
SebGF Abonné
Le 06/02/2024 à 18h 54

aeris22

En vrai ? Non.
AEPD, la CNIL espagnole, c’est 20% de budget (15 millions contre 20 millions de mémoire) et d’effectifs (180 contre 220) en moins pour le même volume de plaintes (~14 000/an). Par contre AEPD c’est déjà 573 condamnations, contre 40 pour la CNIL… 😑
Ce n’est pas un manque de moyen, c’est un grave manque d’organisation… et des ordres politiques de ne pas toucher au business… 😡
En fait j'ai souvent pour habitude d'englober l'organisation dans les "moyens". Le financement ne fait pas tout, et justement comme tu l'indiques, un plus gros budget n'aide pas forcément à accomplir au mieux sa mission.
Jarodd Abonné
Le 06/02/2024 à 18h 26
> Morgan Schmiedt d’eWatchers ne mâche pas ses mots : « Ce n’est pas que des soupçons. La CNIL envoie des messages types sans instruction réelle. Parfois, sans lien avec le manquement relevé. Parfois, avec le nom d’organismes différents, suite à des copiés-collés foireux. Parfois, elle ment ouvertement. Du foutage de gueule ». Ambiance…

J'ai vraiment le même sentiment.
J'ai suis à 36 plaintes (la 37e est prête et sera envoyée samedi). Un grand nombre de plaintes n'a pas eu de retour. Le reste c'est "nous avons informé l'organisme et clôturons le dossier", ce qui reste étonnant vu que ces organismes continuent leur bizness as usual... Impossible d'en savoir plus, la seule solution est de rouvrir une plainte quelques semaines plus tard, qui finira avec la même réponse que les précédentes...
zempa Abonné
Le 07/02/2024 à 09h 50
C'est assez consternant de lire ce genre de témoignage.

Voir des organismes qui sont essentiels pour assurer un minimum de Justice en rééquilibrant la balance entre David et Goliath, se conforter dans une certaine médiocrité, me désole profondément.

Et c'est malheureusement assez symptomatique de ce qu'il se passe de manière globale.

J'ai du mal à être optimiste pour l'avenir...
Berbe Abonné
Le 06/02/2024 à 18h 46
On dirait le système de tickets d'une entreprises lambda :
* "M'en fous pas lu" -> Jamais traité
* "On verra le mois prochain" -> Ouvert depuis 2 ans
* "Problème toujours d'actualité ?" -> La fausse relance permet la fermeture en absence de réponse quelques jours après
* "Ça marche chez moi" -> Clôture pour les statistiques de réponse

Par ailleurs :
> Nous avons évidemment contacté la CNIL sur ce sujet et nous lui avons au passage demandé combien de plaintes elle recevait par semaine, mois ou année.

Métriques, niveau de service… ils en sont très loin vu qu'il ne semblent pas faire le boulot sur le fond, déjà, mais boudiou que ça les motiverait eux-mêmes ! S'ils aimaient leur fonction.
Modifié le 06/02/2024 à 18h51
Eldeberen Abonné
Le 06/02/2024 à 20h 07
Pour ma part j’ai déjà envoyé deux plaintes strictement identiques (à l’exception du nom des société visées) concernant l’inefficacité du formulaire d’opposition aux newsletters.

La première a été traitée (avec un simple rappel à la loi), la seconde ignorée au motif qu’il faut envoyer un mail au DPO.

L’article confirme malheureusement mon ressenti…
aware2 Abonné
Le 06/02/2024 à 20h 16
Toujours un plaisir de lire Aeris sur les réseaux ^^
Et en même temps ça rend dingue de voir la gestion des plaintes de la Cnil...
Concernant une plainte que j'ai déposé contre l'Unadev, elle a été cloturée "rapidement", au motif qu'un rappel a été envoyé à la société... j'ai dû rouvrir une plainte après x semaines car pas de réponse. Et là L'Unadev s'est réveillé. Je ne suis plus harcelé, mais bon, ses méthodes douteuses et agressives continuent, suffit de voir les avis :cartonrouge:
zempa Abonné
Le 07/02/2024 à 09h 52
Encore un très grand merci Sébastien, pour cet article et son suivi !

Car malheureusement, c'est un sujet qui devrait fait débat public car le rôle de la CNIL est juste fondamental pour la Justice dans ce pays.
Modifié le 07/02/2024 à 09h53
fred42 Abonné
Le 07/02/2024 à 12h 44
Pour la justice (la majuscule est inutile), il y a les tribunaux. Le RGPD n'empêche pas de porter plainte après d'un tribunal.
zempa Abonné
Le 07/02/2024 à 14h 44

fred42

Pour la justice (la majuscule est inutile), il y a les tribunaux. Le RGPD n'empêche pas de porter plainte après d'un tribunal.
Dès lors que la CNIL permet de résoudre un conflit, je considère sa mission comme faisant partie de la Justice.

Et c'est précisément parce qu'elle évite le passage aux tribunaux qu'elle joue un rôle primordial.

Car on ne souligne pas assez qu'une Justice qui réclame de longues et fastidieuses procédures s'éloigne d'un de ses principes fondemantaux: elle doit être accessible à tous.
Le 07/02/2024 à 17h 12

zempa

Dès lors que la CNIL permet de résoudre un conflit, je considère sa mission comme faisant partie de la Justice.

Et c'est précisément parce qu'elle évite le passage aux tribunaux qu'elle joue un rôle primordial.

Car on ne souligne pas assez qu'une Justice qui réclame de longues et fastidieuses procédures s'éloigne d'un de ses principes fondemantaux: elle doit être accessible à tous.
Alors pour le coup, la saisie de la CNIL n’est pas exclusif de la saisie des juridictions civiles et pénales. La triple saisie est même ce qui devrait être fait à chaque fois…

Et la procédure à la CNIL est au final aussi longue et pénible que le civil et le pénal…
zempa Abonné
Le 08/02/2024 à 11h 02

aeris22

Alors pour le coup, la saisie de la CNIL n’est pas exclusif de la saisie des juridictions civiles et pénales. La triple saisie est même ce qui devrait être fait à chaque fois…

Et la procédure à la CNIL est au final aussi longue et pénible que le civil et le pénal…
Son (in?)efficacité, toute relative qu'elle soit, n'en réduit pas moins l'importance de son rôle.

Mais effectivement, la CNIL n'a pas vocation à supplanter les tribunaux.
Modifié le 08/02/2024 à 11h04
fred42 Abonné
Le 07/02/2024 à 17h 34

zempa

Dès lors que la CNIL permet de résoudre un conflit, je considère sa mission comme faisant partie de la Justice.

Et c'est précisément parce qu'elle évite le passage aux tribunaux qu'elle joue un rôle primordial.

Car on ne souligne pas assez qu'une Justice qui réclame de longues et fastidieuses procédures s'éloigne d'un de ses principes fondemantaux: elle doit être accessible à tous.
Tu devrais relire le RGPD.

Ce que tu décris de ton attente de la CNIL est plus le travail d'un médiateur.
zempa Abonné
Le 08/02/2024 à 11h 03

fred42

Tu devrais relire le RGPD.

Ce que tu décris de ton attente de la CNIL est plus le travail d'un médiateur.
Je vois la CNIL davantage comme un gendarme qu'un médiateur, car elle dispose du pouvoir de sanction.
fred42 Abonné
Le 08/02/2024 à 11h 06

zempa

Je vois la CNIL davantage comme un gendarme qu'un médiateur, car elle dispose du pouvoir de sanction.
Je n'ai pas compris ce que tu voulais dire par résoudre un conflit dans ce cas. Résoudre un conflit entre 2 parties, ce n'est pas sanctionner.
zempa Abonné
Le 08/02/2024 à 11h 52

fred42

Je n'ai pas compris ce que tu voulais dire par résoudre un conflit dans ce cas. Résoudre un conflit entre 2 parties, ce n'est pas sanctionner.
On peut résoudre un conflit sans nécessairement sanctionner.

Le pouvoir de sanction peut jouer un rôle incitatif à sa résolution, comme le souligne Mihashi.

EDIT: pour être plus explicite.
Une personne morale ou physique aura a priori plus tendance à se soumettre aux demandes de la CNIL qu'à un individu qui aurait fait les mêmes demandes.
C'est là où son rôle est important ou du moins non négligeable.
C'est dans ce sens que la CNIL participe à la résolution de conflit... bien que je me rende compte de mes a priori sur son efficacité ^^
Modifié le 08/02/2024 à 14h06
Mihashi Abonné
Le 08/02/2024 à 11h 15

zempa

Je vois la CNIL davantage comme un gendarme qu'un médiateur, car elle dispose du pouvoir de sanction.
Un gendarme n'a pas de pouvoir de sanction, c'est uniquement la justice justement…

Fred42 : Je n'ai pas compris ce que tu voulais dire par résoudre un conflit dans ce cas. Résoudre un conflit entre 2 parties, ce n'est pas sanctionner.

La sanction est un des moyens pour inciter à la résolution d'un conflit.
Modifié le 08/02/2024 à 11h18
zempa Abonné
Le 08/02/2024 à 11h 57

Mihashi

Un gendarme n'a pas de pouvoir de sanction, c'est uniquement la justice justement…

Fred42 : Je n'ai pas compris ce que tu voulais dire par résoudre un conflit dans ce cas. Résoudre un conflit entre 2 parties, ce n'est pas sanctionner.

La sanction est un des moyens pour inciter à la résolution d'un conflit.
Un gendarme ne rend effectivement pas Justice, mais il n'est pas totalement "désarmé" :transpi:.

Il dispose tout de même de quelques moyens comme l'arrestation.

L'analogie n'est cependant pas aussi judicieuse que je le pensais.

L'idée était de souligner que la CNIL, par son pouvoir de sanction, avait nécessairement un poids important et par conséquent, un rôle non négligeable dans la résolution d'un confit.
Modifié le 08/02/2024 à 12h10
Le 07/02/2024 à 10h 50
Je ne suis pas du tout surpris.

J'ai signalé il y a quelques années le site Kikourou.net, qui diffuse les informations personnelles de centaines de milliers de personnes, sans avoir demandé et obtenu leur consentement au préalable..
Je l'ai signalé à la CNIL, rien n'a été fait; le site et les données concernées sont toujours en ligne.

Le site bafoue ouvertement la loi.. mais par contre y fait référence quand ça l'arrange : quand j'ai contacté le webmaster pour qu'il supprime mes données personnelles, il me demande une pièce d'identité, en faisant références au RGPD !
Je suis donc censé envoyer une copie de ma carte d'identité (document personnel très sensible) à un particulier dont on sait qu'il viole la loi (en abusant des informations personnelles des gens justement). C'est magnifique.
Là dessus non plus, la CNIL n'a rien fait (je leur avait demandé d'agir en tant que tiers de confiance).
Modifié le 07/02/2024 à 11h11
Le 07/02/2024 à 17h 08
La demande de communication d’une pièce d’identité est une non conformité RGPD généralement.
C’est la CNIL qui le dit.
https://twitter.com/CNIL/status/1039175426571231232
fdorin Abonné
Le 07/02/2024 à 21h 04

aeris22

La demande de communication d’une pièce d’identité est une non conformité RGPD généralement.
C’est la CNIL qui le dit.
https://twitter.com/CNIL/status/1039175426571231232
La CNIL ne dit pas que c'est une non-conformité. Elle dit que c'est souvent non nécessaire, ce qui est quand même différent ;)

Elle résume d'ailleurs ce principe ainsi : "pas de pièce d’identité, sauf en cas de doute raisonnable."

On peut fournir un numéro de client, se connecter à son compte, utiliser l'adresse e-mail qui reçoit les communications, etc. pour prouver son identité et faire sa demande sans avoir besoin de fournir une pièce d'identité.

Maintenant, si un site qu'on ne connait ni d'Adam ni d'Eve dispose d'information nous concernant et qu'on souhaite procéder à l'exécution de ses droits, cela va dépendre de la demande :
- pour une demande de suppression, j'ai presque envie de dire, pas de souci, pas besoin de carte d'identité (surtout quand il s'agit de publicité).
- pour une demande d'accès, ça me parait légitime. Sinon, n'importe qui peut demander les informations de n'importe qui sans justification.
Le 07/02/2024 à 23h 21

fdorin

La CNIL ne dit pas que c'est une non-conformité. Elle dit que c'est souvent non nécessaire, ce qui est quand même différent ;)

Elle résume d'ailleurs ce principe ainsi : "pas de pièce d’identité, sauf en cas de doute raisonnable."

On peut fournir un numéro de client, se connecter à son compte, utiliser l'adresse e-mail qui reçoit les communications, etc. pour prouver son identité et faire sa demande sans avoir besoin de fournir une pièce d'identité.

Maintenant, si un site qu'on ne connait ni d'Adam ni d'Eve dispose d'information nous concernant et qu'on souhaite procéder à l'exécution de ses droits, cela va dépendre de la demande :
- pour une demande de suppression, j'ai presque envie de dire, pas de souci, pas besoin de carte d'identité (surtout quand il s'agit de publicité).
- pour une demande d'accès, ça me parait légitime. Sinon, n'importe qui peut demander les informations de n'importe qui sans justification.
Tu remarqueras la présence du « généralement » à la fin de ma phrase 🤣
Dans 99.9999% des cas le DPO ne pourra de toute façon comparer avec rien du tout donc pièce inutile…
fdorin Abonné
Le 08/02/2024 à 09h 04

aeris22

Tu remarqueras la présence du « généralement » à la fin de ma phrase 🤣
Dans 99.9999% des cas le DPO ne pourra de toute façon comparer avec rien du tout donc pièce inutile…
Je répondais sur l'aspect non-confirmité ;) La CNIL ne dit pas que la pièce d'identité n'est pas conforme. Elle dit que ce n'est pas une nécessite absolue et rappelle d'autres moyens à mettre en oeuvre avant d'en arriver là ;)
Le 07/02/2024 à 11h 34
Étant DPO la CNIL ne me fait plus peur depuis un moment... déjà car mes entreprises sont en conformité, ensuite pour avoir suivi les plaintes d'Aeris sur les RS qui n'aboutissaient à rien + l'absence de sanctions au regard de celles des homologues européens.

Bref c'est une usine à gaz et je pèse mes mots.
Le 07/02/2024 à 17h 10
Alors la dernière boîte qui m’a dit être conforme RGPD s’est fait un poil pilorisée pour violation du RGPD en long en large et en travers 🤣.
Il y a aussi « le meilleur logiciel RGPD du marché » qui a une petite plainte de ma parte pas piquée des hannetons sur le bureau de la CNIL.
Le 07/02/2024 à 17h 24

aeris22

Alors la dernière boîte qui m’a dit être conforme RGPD s’est fait un poil pilorisée pour violation du RGPD en long en large et en travers 🤣.
Il y a aussi « le meilleur logiciel RGPD du marché » qui a une petite plainte de ma parte pas piquée des hannetons sur le bureau de la CNIL.
J'avoue que j'exagère un peu en disant que mes boîtes sont en conformité, mais je fais de mon mieux promis !
jeff.110 Abonné
Le 10/02/2024 à 23h 27
Les agents de la Cnil aurait-ils été remplacés par TchatGPT?