La loi « Simplification de la vie économique » pourrait réduire l’obligation de la CNIL de rendre publics les documents relatifs à ses accompagnements d’entreprises. Créateur d’eWatchers, Morgan Schmiedt bataille pour maintenir cet accès à l’information… et mieux comprendre comment la CNIL aide la régie publicitaire Valiuz.

Mise à jour 13 juin : ajout des réponses de la CNIL et modifications relatives à la dissolution de l'Assemblée Nationale.

Depuis le 3 juin, le Sénat débat du projet de loi de « Simplification de la vie économique » en séance publique. Parmi les sujets abordés, un amendement vient modifier les obligations de la CNIL en matière de communication des documents administratifs avec le public.

Parmi ses attributions, la CNIL peut en effet aider les entreprises qui en font la demande à se mettre en conformité avec le RGPD. En tant qu’institution publique, elle est néanmoins soumise au droit d’accès aux documents administratifs. En janvier, l’Alliance Digitale critiquait cette « absence de confidentialité ». Selon la filiale française de l'organisation professionnelle de la publicité IAB, cela « dissuade beaucoup d’entreprises » de demander de l’aide.

Bataille d’amendements

Or, dans un amendement déposé le 24 mai par la corapporteure du projet de loi Catherine Di Folco (LR) et adopté en commission, le texte ajoute une dérogation au droit d’accès aux documents administratifs du code des relations entre le public et l’administration. En pratique, il vient mettre fin à l’obligation, pour la CNIL, de communiquer sur ses travaux d’accompagnement d’entités privées « lorsque ces documents ne sont pas relatifs à une mission de service public confiée au responsable de traitement concerné ».

Un projet qui a outré l’ingénieur Morgan Schmiedt, animateur du site eWatchers spécialisé dans les questions de protection des données. À Next, ce dernier explique à avoir « contacté différents sénateurs » pour les « sensibiliser » au fait qu’une organisation comme la CNIL, « en tant qu’autorité indépendante, doit rendre des comptes ». Et d’insister : il en va « de l’intérêt général ».

Le 31 mai, le sénateur Pierre Barros (CRCE-Kanaky) a justement déposé un amendement appelant à retourner le texte à son état initial, au motif que « la CNIL dispose déjà de tous les outils nécessaires pour s’opposer à la communication des informations réellement susceptibles de porter atteinte aux entreprises bénéficiaires (…) de ses services d’accompagnement et de conseil ».

Les accompagnements de la CNIL

Précisons donc : parmi ses missions, la CNIL a un rôle de conseil et d’accompagnement à la conformité. En pratique, elle peut fournir un accompagnement général et sectoriel, qui « se traduit le plus souvent par la publication d’instruments dits « de droit souple » (…) et par la mise en ligne d’informations » sur son site web, selon sa Charte d’accompagnement des professionnels (.pdf). D’après le document, ces accompagnements s’appuient prioritairement « sur les fédérations professionnelles ou les groupes d’intérêt ».

En cas de besoin, la CNIL propose aussi des accompagnements dits « renforcés ». Dédiés aux « entreprises innovantes présentant un fort potentiel de développement économique », ce type de prestation se traduit par « un appui juridique et technique » ; « une revue de conformité des traitements mis en œuvre » et des « actions de sensibilisation ». La CNIL garantit par ailleurs que ses agents « sont soumis au secret professionnel » et que « les échanges intervenant dans le cadre de l’accompagnement renforcé sont confidentiels à l’égard des tiers (ex : concurrents, clients ou salariés) ».

Cette promesse de confidentialité entre-t-elle en contradiction avec celle de publication d’information citée plus haut ? Interrogé par Next, le directeur de la conformité juridique de la CNIL explique recevoir des retours d'entreprises hésitant à solliciter l'aide de la CNIL à cause de sa potentielle obligation de communication si un particulier la sollicite.

La Commission propose, enfin, un accompagnement individuel des professionnels, pour les juristes « généralistes », les délégués à la protection des données, et ceux qui rencontrent des problématiques plus spécifiques liées à la santé ou aux transferts internationaux de données.

Le cas de Valiuz

Découvrant, en 2022, que ses données cédées sur le site de l’enseigne Boulanger étaient traitées par une entité nommée Valiuz, eWatchers a demandé des précisions. N’obtenant guère de réponse concluante, M. Schmiedt a déposé une plainte auprès de la CNIL, qui l’a clôturée au bout de trois mois — délai relativement court pour l’autorité. La justification apportée : Boulanger avait « initié une démarche d’accompagnement dans la mise en place de ce traitement » de données, démarche « toujours en cours » à l’heure de la plainte.

• • La CNIL accusée de ne pas remplir « sa mission de veiller au respect du RGPD »

Le créateur d’eWatchers s’est alors lancé dans une bataille pour obtenir plus d’informations sur les liens entre Valiuz, qui traite les données récupérées par Boulanger, et la CNIL. Faute de publication relative à ce cas précis, Morgan Schmiedt a formulé une demande d’accès aux documents administratifs, puis demandé un avis à la Commission d’Accès aux Documents Administratifs (CADA) et obtenu un premier jeu de documents.

Consultés par Next, on y trouve la première demande d’accompagnement de Valiuz, où la société indique représenter « l’alliance formée (…) par les entreprises détenues par la famille Mulliez ». En pratique, il s’agit d’une vingtaine (21 selon les documents communiqués à la CNIL en 2021, 19 selon son site web) d’enseignes dont certaines relèvent de la grande distribution (Auchan, Boulanger, Decathlon), d’autres de la banque (Oney), d’autres encore, de la restauration (Flunch).

Estimant ces informations incomplètes, M. Schmiedt a maintenu sa demande auprès de la CADA et obtenu le 29 décembre un avis favorable. Un mois plus tard, la CNIL lui envoyait une nouvelle liasse de documents partiellement occultés.

Parmi ces derniers, une demande d’accompagnement renforcé, dans laquelle Valiuz explique développer un service « basé sur de l’intelligence collective des données » qui lui permet « de rapprocher les données collectées par les entreprises dans le cadre de leur relation client, et de les agréger autour d’un identifiant unique propre à chaque client ». Valiuz déclare s’appuyer aussi sur des données collectées par les fournisseurs.

Créée en 2019, Valiuz a levé en mars 2023 50 millions d’euros pour développer son projet d’« alliance data », c’est-à-dire de partage des données récoltées d’une enseigne à l’autre pour optimiser les décisions marketing et de relations client. En septembre, elle officialisait le lancement de Valiuz Adz, structure qui peut, selon LSA, compter sur les données « de 55 millions de clients uniques, dont 8,5 millions avec l’enseigne Auchan ». Elle s’appuie a priori sur une technologie externe développée par l'un des géants publicitaires parmi Criteo, Promote IQ, Veasybil ou Citrus Ad, selon Minted.

Du côté de la CNIL, Thomas Daudieu déclare que Valiuz n'a pas été retenu pour un accompagnement renforcé.

Procédure accélérée

« Peu d’entités en France peuvent se vanter d’avoir autant accès à la population française » que la galaxie Mulliez, estime M. Schmiedt. S’interrogeant sur l’opportunité, pour la CNIL, d’accompagner une entreprise à traiter les données d’une grande partie de la population française, l’animateur d’eWatchers a déposé au Tribunal administratif une requête de communication de l’intégralité des documents relatifs aux travaux d’accompagnements de la Commission. Trois mois plus tard, il s’étonne de voir apparaître un amendement susceptible d'éviter à la CNIL de communiquer les documents relatifs à ses accompagnements d’acteurs privés.

Contactée par Next, la sénatrice Di Folco nous a simplement transmis l’extrait de son rapport consacré à « intégrer l’innovation dans le mandat de la CNIL ». L’amendement aménageant l’obligation de communication de la CNIL dans le cadre de ses missions d’accompagnements d’entreprises y est présenté comme une manière de « renforcer la portée opérationnelle » du dispositif.

Il apparaît dans un contexte de complexité croissante d'accès à l'information. Les discussions auraient dû se poursuivre au Sénat avant un vote solennel prévu le 11 juin, mais la dissolution de l'Assemblée Nationale a mis fin au travail en cours.