Aeris est un internaute bien connu sur X pour son combat en faveur du respect du RGPD. Son « arme » de prédilection : des plaintes auprès de la CNIL. Est-ce efficace ? Au cours d’une requête en annulation au Conseil d’État, il soulève plusieurs points sensibles sur la gestion des plaintes par la CNIL.
L’histoire remonte à mai 2019. Aeris dépose alors une plainte à la CNIL (Commission nationale de l'informatique et des libertés) contre Cdiscount, Cartégie et Bouygues Telecom : « la société Bouygues Telecom venait de m'envoyer un courriel de prospection commerciale sans consentement préalable » explique-t-il dans son « mémoire en requête » adressé au Conseil d’État. En octobre 2020, rebelote contre AlloVoisin, EuroCRM et Bouygues Telecom pour les mêmes motifs.
La CNIL lui répond le 23 octobre 2020 et l’informe qu’un rappel à la loi a été envoyé à Bouygues Telecom et EuroCRM dans le cadre de la seconde plainte. Aeris apprend en décembre 2022 par le Délégué à la Protection des Données d’Allo Voisin « l’existence d’une mise-en-demeure non publique rendue par la CNIL en novembre 2021 », toujours dans le cadre de la seconde plainte. Il précise aussi que la CNIL et la CADA lui « ont refusé la communication du contenu » de cette mise en demeure.
Ces deux affaires « avaient été doublées d’une demande d’effacement au titre de l’article 17 du RGPD » de ses données personnelles, ce qui « constitue aussi implicitement une demande d’opposition au titre de l’article 21 du RGPD. À tout le moins, le traitement étant illicite, il n’aurait plus jamais dû être mis en œuvre par la suite ».
L’histoire n’en reste pas là et, trois ans plus tard, Bouygues Telecom récidive : « le 13 décembre 2023, j'ai déposé la plainte n° 44-45588 à la CNIL, car la société Bouygues Telecom venait de m'envoyer à nouveau un courriel de prospection commerciale sans consentement préalable ». Le principal intéressé précise ne jamais avoir été client et n’avoir de « relation d’aucune sorte » avec l’opérateur. Pour en ajouter une couche, il précise que « l'analyse du courriel reçu montre aussi la présence d’un pixel traçant son ouverture ».
Le même jour, Aeris formule une « demande d’accès au titre de l’article 15 du RGPD auprès de la société Bouygues Telecom ». Faute de réponse pour le moment de l‘opérateur, l'origine des données reste « à ce jour encore inconnue ».
Un simple rappel à la loi qui ne passe pas
16 jours plus tard (le 29 décembre 2023 donc), avec une vitesse qui ne la caractérise pas dans ce genre de situation, la Commission répond : « la CNIL m'informe avoir procédé, dans le cadre de la plainte n° 44-45588, à un rappel à la loi à la société Bouygues Telecom concernant la présence de pixel traçant ».
C’est cette décision de clôture qui est contestée devant le Conseil d’État. En effet, elle est selon Aeris « manifestement pas compatible avec une défense convenable de mes droits en tant que personne concernée au sens du RGPD et contrevient à plusieurs obligations légales incombant pourtant à la CNIL ».
La longue liste des griefs
Plusieurs point sont soulevés concernant l’instruction de la plainte par la CNIL. Pêle-mêle, Aeris parle de « délais aussi brefs […] concernant une société multi-récidiviste […] déjà concernée par deux plaintes en trois ans […] ayant conduit à deux rappels à la loi et une mise-en-demeure […] pour des faits identiques […] concernant des pratiques interdites depuis vingt ans et ayant conduit à une sanction […] insignifiante pour l’entreprise visée […] d'autant plus dans un contexte de multi-récidive […] en ignorant la quasi-totalité des manquements constatés […] en ignorant la majorité des circonstances aggravantes prévues par la loi ».
En plus de la demande d’annulation de la décision de clôture de la CNIL, Aeris demande au Conseil d’État d’enjoindre la CNIL « de se mettre en conformité avec le RGPD ». Trois vœux : « instruire correctement la plainte associée […] informer le plaignant de l’évolution de l’instruction [et] entrer en condamnation de manière dissuasive ».
Pour Aeris en effet, l’instruction de sa troisième plainte contre Bouygues Telecom, « aurait dû conduire à un contrôle en profondeur des pratiques de cette société, afin de la contraindre à s'expliquer quant à son absence de mise-en-conformité malgré déjà plusieurs rappels à l’ordre ». Les trois fois, il s’agit pour rappel de « prospection commerciale sans consentement préalable ».
« En n’émettant qu’un simple rappel à la loi après déjà un de portée générale en 2009 suivi de deux spécifiquement à destination de Bouygues Telecom, la CNIL ne remplit pas sa mission de veiller au respect du RGPD », ajoute Aeris dans son argumentaire.
Concernant le second point (informer le plaignant), Aeris précise que « la CNIL est de plus malheureusement connue pour ne pas d’elle-même informer le plaignant (qui n’est même pas considéré comme partie au dossier) des différents échanges avec les responsables de traitement ».
Quant à la condamnation dissuasive, Aeris explique dans sa plainte qu’un « simple rappel à la loi n’en constitue ici manifestement plus une ».
En 10 jours ouvrés, l'instruction « n’a pas pu être conduite correctement »
Pour Aeris, arriver à une clôture de la plainte « en seulement 10 jours ouvrés (probablement plutôt 7 effectifs en tenant compte des fêtes de fin d’année) » indique que l'instruction « n’a pas pu être conduite correctement ». Il détaille son propos :
« Dans la plainte n° 44-45588, à la date de clôture de la réclamation par la CNIL, le revendeur à origine des données et le courtier utilisé par Bouygues Telecom ne sont par exemple toujours pas connus du plaignant. Soit la CNIL a instruit correctement cette réclamation, les a identifiés et n’en a donc pas informé le plaignant, l’empêchant de fait de défendre ses droits à l’encontre de ceux-ci, soit la CNIL ne les a pas identifiés et n’a donc pas procédé à une instruction correcte. Dans tous les cas, faute d’information, le plaignant doit nécessairement contester la clôture devant votre Conseil pour espérer des éclaircissements et estimer à sa juste valeur la décision de la CNIL ».
Réponse à côté de la plaque, copié-collé…
La CNIL en prend ensuite pour son grade concernant le traitement des plaintes : « Il est malheureusement aussi régulier pour la CNIL de ne même pas tenir compte de l’ensemble des éléments constituant une violation du RGPD présent dans la réclamation initiale et de la fermer au seul motif d’une violation non représentative de l’ampleur du problème, ou encore de manifestement faire des erreurs grossières d'appréciation de la situation (pièce 32), nécessitant une réouverture du dossier par le plaignant lui-même, et ce malgré les détails apportés dès l’ouverture de la réclamation par le plaignant, qui se retrouve à devoir réaliser l'instruction du dossier en aveugle et à la place de la CNIL ».
Il en remet une couche : « D’autres exemples flagrants (pièce 33) de clôture de plaintes pour des motifs complètement étrangers à la demande initiale (deux plaintes pour défaut de minimisation article 5(1)c et une pour défaut de réponse à demande d’accès article 15 clôturées en invoquant un transfert international article 50 sans aucun rapport) laissent même à penser que la CNIL traite ses dossiers par simples mots clefs, la présence de terme comme « Google Analytics » ou « Google Fonts » déclenchant aussitôt une clôture avec des textes pré-rédigés copiés-collés d’une plainte à l’autre concernant des thèmes totalement extérieurs aux cas d’espèce à considérer. »
« Du foutage de gueule »
Sur X, Guillaume Champeau (ancien directeur juridique et affaires publiques de Clever Cloud, désormais directeur juridique de Olympe.legal) résume la situation : « Aeris soupçonne la CNIL d'utiliser des réponses type pour se débarrasser au plus vite de plaintes qu'elle juge probablement non prioritaires, tout en prétendant les instruire, limitant la possibilité réelle pour les justiciables de faire valoir leurs droits ».
Morgan Schmiedt d’eWatchers ne mâche pas ses mots : « Ce n'est pas que des soupçons. La CNIL envoie des messages types sans instruction réelle. Parfois, sans lien avec le manquement relevé. Parfois, avec le nom d'organismes différents, suite à des copiés-collés foireux. Parfois, elle ment ouvertement. Du foutage de gueule ». Ambiance…
Nous avons évidemment contacté la CNIL sur ce sujet et nous lui avons au passage demandé combien de plaintes elle recevait par semaine, mois ou année. Nous mettrons à jour cette actualité lorsque nous aurons une réponse de la Commission.
Commentaires (33)
#1
EDIT : Fédiverse et non pas Mastodon pardon.
#1.1
#1.2
#1.3
#2
En regardant sur GDPR Hub, pour ce que ça vaut puisque alimenté de manière communautaire, la section Germany est à 284 entrées contre 100 pour la France.
#2.1
AEPD, la CNIL espagnole, c’est 20% de budget (15 millions contre 20 millions de mémoire) et d’effectifs (180 contre 220) en moins pour le même volume de plaintes (~14 000/an). Par contre AEPD c’est déjà 573 condamnations, contre 40 pour la CNIL… 😑
Ce n’est pas un manque de moyen, c’est un grave manque d’organisation… et des ordres politiques de ne pas toucher au business… 😡
#2.2
#2.3
#3
J'ai vraiment le même sentiment.
J'ai suis à 36 plaintes (la 37e est prête et sera envoyée samedi). Un grand nombre de plaintes n'a pas eu de retour. Le reste c'est "nous avons informé l'organisme et clôturons le dossier", ce qui reste étonnant vu que ces organismes continuent leur bizness as usual... Impossible d'en savoir plus, la seule solution est de rouvrir une plainte quelques semaines plus tard, qui finira avec la même réponse que les précédentes...
#3.1
Voir des organismes qui sont essentiels pour assurer un minimum de Justice en rééquilibrant la balance entre David et Goliath, se conforter dans une certaine médiocrité, me désole profondément.
Et c'est malheureusement assez symptomatique de ce qu'il se passe de manière globale.
J'ai du mal à être optimiste pour l'avenir...
#4
* "M'en fous pas lu" -> Jamais traité
* "On verra le mois prochain" -> Ouvert depuis 2 ans
* "Problème toujours d'actualité ?" -> La fausse relance permet la fermeture en absence de réponse quelques jours après
* "Ça marche chez moi" -> Clôture pour les statistiques de réponse
Par ailleurs :
Métriques, niveau de service… ils en sont très loin vu qu'il ne semblent pas faire le boulot sur le fond, déjà, mais boudiou que ça les motiverait eux-mêmes ! S'ils aimaient leur fonction.
#5
La première a été traitée (avec un simple rappel à la loi), la seconde ignorée au motif qu’il faut envoyer un mail au DPO.
L’article confirme malheureusement mon ressenti…
#6
Et en même temps ça rend dingue de voir la gestion des plaintes de la Cnil...
Concernant une plainte que j'ai déposé contre l'Unadev, elle a été cloturée "rapidement", au motif qu'un rappel a été envoyé à la société... j'ai dû rouvrir une plainte après x semaines car pas de réponse. Et là L'Unadev s'est réveillé. Je ne suis plus harcelé, mais bon, ses méthodes douteuses et agressives continuent, suffit de voir les avis
#7
Car malheureusement, c'est un sujet qui devrait fait débat public car le rôle de la CNIL est juste fondamental pour la Justice dans ce pays.
#7.1
#7.2
Et c'est précisément parce qu'elle évite le passage aux tribunaux qu'elle joue un rôle primordial.
Car on ne souligne pas assez qu'une Justice qui réclame de longues et fastidieuses procédures s'éloigne d'un de ses principes fondemantaux: elle doit être accessible à tous.
#7.3
Et la procédure à la CNIL est au final aussi longue et pénible que le civil et le pénal…
#7.5
Mais effectivement, la CNIL n'a pas vocation à supplanter les tribunaux.
#7.4
Ce que tu décris de ton attente de la CNIL est plus le travail d'un médiateur.
#7.6
#7.7
#7.9
Le pouvoir de sanction peut jouer un rôle incitatif à sa résolution, comme le souligne Mihashi.
EDIT: pour être plus explicite.
Une personne morale ou physique aura a priori plus tendance à se soumettre aux demandes de la CNIL qu'à un individu qui aurait fait les mêmes demandes.
C'est là où son rôle est important ou du moins non négligeable.
C'est dans ce sens que la CNIL participe à la résolution de conflit... bien que je me rende compte de mes a priori sur son efficacité ^^
#7.8
La sanction est un des moyens pour inciter à la résolution d'un conflit.
#7.10
Il dispose tout de même de quelques moyens comme l'arrestation.
L'analogie n'est cependant pas aussi judicieuse que je le pensais.
L'idée était de souligner que la CNIL, par son pouvoir de sanction, avait nécessairement un poids important et par conséquent, un rôle non négligeable dans la résolution d'un confit.
#8
J'ai signalé il y a quelques années le site Kikourou.net, qui diffuse les informations personnelles de centaines de milliers de personnes, sans avoir demandé et obtenu leur consentement au préalable..
Je l'ai signalé à la CNIL, rien n'a été fait; le site et les données concernées sont toujours en ligne.
Le site bafoue ouvertement la loi.. mais par contre y fait référence quand ça l'arrange : quand j'ai contacté le webmaster pour qu'il supprime mes données personnelles, il me demande une pièce d'identité, en faisant références au RGPD !
Je suis donc censé envoyer une copie de ma carte d'identité (document personnel très sensible) à un particulier dont on sait qu'il viole la loi (en abusant des informations personnelles des gens justement). C'est magnifique.
Là dessus non plus, la CNIL n'a rien fait (je leur avait demandé d'agir en tant que tiers de confiance).
#8.1
C’est la CNIL qui le dit.
https://twitter.com/CNIL/status/1039175426571231232
#8.2
Elle résume d'ailleurs ce principe ainsi : "pas de pièce d’identité, sauf en cas de doute raisonnable."
On peut fournir un numéro de client, se connecter à son compte, utiliser l'adresse e-mail qui reçoit les communications, etc. pour prouver son identité et faire sa demande sans avoir besoin de fournir une pièce d'identité.
Maintenant, si un site qu'on ne connait ni d'Adam ni d'Eve dispose d'information nous concernant et qu'on souhaite procéder à l'exécution de ses droits, cela va dépendre de la demande :
- pour une demande de suppression, j'ai presque envie de dire, pas de souci, pas besoin de carte d'identité (surtout quand il s'agit de publicité).
- pour une demande d'accès, ça me parait légitime. Sinon, n'importe qui peut demander les informations de n'importe qui sans justification.
#8.3
Dans 99.9999% des cas le DPO ne pourra de toute façon comparer avec rien du tout donc pièce inutile…
#8.4
#9
Bref c'est une usine à gaz et je pèse mes mots.
#9.1
Il y a aussi « le meilleur logiciel RGPD du marché » qui a une petite plainte de ma parte pas piquée des hannetons sur le bureau de la CNIL.
#9.2
#10