La lettre ouverte a été mise en ligne par l'association P·U·R·R (Pour un RGPD respecté), une association de loi 1901 créée en octobre 2023 et hébergée par Aeris, bien connu pour ses nombreuses plaintes déposées auprès de la CNIL.
Elle rappelle que le RGPD a été promulgué en mai 2016 et affirme que, « six ans après, nous ne pouvons que constater la défaillance de votre Commission quant à l’exécution des pouvoirs qui lui sont conférés. Les manquements au RGPD, constants et massifs, continuent de prospérer ».
« Malgré des plaintes toujours plus nombreuses, en hausse de plus de 30% chaque année, les sanctions rendues par votre Commission restent désespérément faibles sinon inexistantes, avec moins de 50 sanctions pour 12 000 plaintes, et dépassant à peine le seuil d’un rappel à loi pour au moins la moitié d’entre elles », ajoute la lettre ouverte.
La conclusion est la suivante : « Sans action rapide de la part de votre Commission, nous ne constaterons aucune amélioration de la protection de la vie privée en France, déjà fort mal en point avec plusieurs décennies d’inaction de notre Autorité de Contrôle pourtant supposée la garantir ». Lancé lundi, elle a récolté pour l’instant 359 signatures.
Cette lettre ouverte est la suite d’une première pétition lancée il y a quelques mois qui demandait à la CNIL de « réarmer les citoyens et les DPO face aux violations du RGPD ». Elle dénonçait « la politique délibérée d’inaction mise en œuvre en France par la CNIL », parlait aussi de « politique laxiste » et d’« inaction répressive ». Elle avait réuni près de 5 000 signatures.
Sur X, Aeris explique que « la CNIL l'avait tout simplement rejetée au motif que son auteur travaillait… dans une société de conformité RGPD ». Il s’agit de Guillaume Champeau, qui est pour rappel directeur juridique et DPO chez Olympe.legal. Il était auparavant chez Clever Cloud, Qwant et Numerama.
Puisque la CNIL ferme la porte, Aeris tente de passer par la fenêtre : « On relance donc cette pétition, portée cette fois par une association, PURR, représentant toute personne lésée par le RGPD, essentiellement les Personnes Concernées, mais aussi les DPO et les Responsables de Traitement ».
Ce n’est pas la première passe d’arme entre la CNIL et Aeris. Lors d’une contestation devant le Conseil d’État d’une décision de la Commission, il accusait cette dernière de ne pas remplir « sa mission de veiller au respect du RGPD ».
Il avait alors été rejoint par Morgan Schmiedt d’eWatchers, qui ne mâchait pas ses mots contre l’institution : « Ce n'est pas que des soupçons. La CNIL envoie des messages types sans instruction réelle. Parfois, sans lien avec le manquement relevé. Parfois, avec le nom d'organismes différents, suite à des copiés-collés foireux. Parfois, elle ment ouvertement. Du foutage de gueule ».
Commentaires (44)
#1
Aeris est une société qui vend de la "conformité RGPD".
Aeris veut gagner davantage d'argent.
Aeris demande à la CNIL d'être plus ferme sur la conformité RGPD.
La CNIL rejette la demande au motif que ca se voit trop que Aegis prêche pour sa paroisse.
Mais le méchant dans l'histoire c'est la CNIL car davantage de conformité RGPD c'est forcément bien.
Jai bon ?
#1.1
#1.4
Historique des modifications :
Posté le 04/09/2024 à 16h45
Vu qu'on ne sait rien sur celui qui se présente comme "Aeris", mon interprétation en vaut une autre. Est-ce vraiment une seule personne ? De quoi vit-il ? Mystère.
Posté le 04/09/2024 à 16h46
Vu que je ne sais rien sur celui qui se présente comme "Aeris", mon interprétation en vaut une autre. Est-ce vraiment une seule personne ? De quoi vit-il ? Mystère.
#1.9
C'est juste un particulier qui essaye de faire respecter ses (nos) droits
#1.11
#1.14
#1.2
Historique des modifications :
Posté le 04/09/2024 à 16h41
La CNIL aura du mal ainsi à argumenter je pense !
#1.3
#1.5
Après, quels sont les moyens de la CNIL face à des multinationales qui lâchent 100 fois le budget annuel de la CNIL pour se payer une armée d'avocat?
Si la CNIL attaque, il faut qu'elle ai les moyens financiers pour aller en appel, en cassation, bis repetita au niveau de l'Europe, ... face à des service juridique bien armée dans la perte de temps et l'instrumentalisation de la justice (qui ne fait presque rien contre au passage) qui font que la justice n'est jamais rendu.
#1.13
Elle peut exiger différentes actions lors du constat d'un manquement, et ses décisions ne font pas l'objet de recours en appel, cassation et compagnie. Les suspensions des décisions administratives se font devant le Conseil d'Etat en France.
#1.6
#1.8
J'ai bien compris que Guillaume Champeau (d'une part) et Aeris (d'autre part) en ont gros auprès de la CNIL. Et que la CNIL fait mine de ne pas les entendre au motif que Guillaume Champeau aurait un intérêt financier lié à la conformité RGPD. Et qu'une association PURR (dont je ne sais rien a part son n° SIRET 92413214500013 dans les mentions légales) reprend le flambeau de la vindicte.
Mais
1. Je ne sais pas si Aeris a des intérêts financiers liés à la conformité RGPD.
2. Je ne sais pas si Guillaume Champeau a des intérêts financiers liés à la conformité RGPD.
3. Je ne sais pas qui gère l'asso PURR.
De ce que je comprend, la meute est du coté de AerIs/Champeau/PURR parce que le RGPD c'est une cause morale juste, que la CNIL c'est une autorité donc c'est mal, et que AerIs/Champeau c'est un peu comme des paladins dont c'est bien.
#1.10
Il passe juste son temps libre à porter plainte auprès de la CNIL pour tous les manquements au RGPD dont il est victime (c'est à dire quasiment à chaque site visité et à chaque SPAM reçu).
#1.12
Mais gueuler que les sanctions de la CNIL sont désespérément faibles sinon inexistantes, ca me parait exagéré.
Ca me fait l'effet des gens qui gueulent contre les services hospitaliers parce qu'ils ne sont pas soignés assez vite.
Historique des modifications :
Posté le 04/09/2024 à 17h39
Je comprend bien qu'il voudrait un monde meilleur.
Gueuler que les sanctions de la CNIL sont désespérément faibles sinon inexistantes, ca me parait exagéré.
Ca me fait l'effet des gens qui gueulent contre les services hospitaliers parce qu'ils ne sont pas soignés assez vite.
#1.16
#1.22
#1.7
La CNIL sanctionne très peu et se montre particulièrement clémente avec le secteur public en comparaison avec d’autres autorités ayant la même compétence qu’elle dans d’autres pays de l’UE.
Les autorités de protection des données nationales ont toutes des politiques différentes et cela change selon le mandat. En l’occurence la volonté de plus accompagner que de réprimer est assumée, du moins dans les grandes lignes par la présidente de la CNIL.
Mais derrière les déclarations on peut légitimement douter de la sincérité de ses décideurs, comme tel fut le cas durant le mandat d’Alex Türk entre 2004 et 2011 qui a pris un nombre de décisions fortement discutables pour la protection de la vie privée tout en prétendant le contraire. Ce n’est pas non plus propre à la France, l’autorité irlandaise est connue pour être une succursale des GAFAM et s’est illustrée par de nombreuses manoeuvres d’obstruction visant à décourager les personnes déposant des plaintes contre les géants du numérique américains.
Ce parti pris de la présidente actuelle même s’il s’avérait être transparent et de bonne foi resterait aussi critiquable : l’accompagnement tel que proposé par la CNIL fonctionne-il vraiment ? Ont-ils vraiment les moyens d’accompagner toutes les associations et entreprises de France en ayant besoin ? Honnêtement probablement pas au vu des violations de données massives de Pôle Emploi ou des complémentaires de santé qui sont arrivées ces derniers mois .
Historique des modifications :
Posté le 04/09/2024 à 16h56
C’est très réducteur. Oui, Guillaume Champeau a un intérêt à voir un renforcement de l’action répressive de la CNIL, cependant ça ne vide pas de substance son propos.
La CNIL sanctionne très peu et se montre particulièrement clémente avec le secteur public en comparaison avec d’autres autorités ayant la même compétence qu’elle dans d’autres pays de l’UE.
Les autorités de protection des données nationales ont toutes des politiques différentes et cela change selon le mandat. En l’occurence la volonté de plus accompagner que de réprimer est assumée, du moins dans les grandes lignes par la présidente de la CNIL.
Mais derrière les déclarations on peut légitimement douter de la sincérité de ses décideurs, comme tel fut le cas durant le mandat d’Alex Türk entre 2004 et 2011 qui a pris un nombre de décisions fortement discutables pour la protection de la vie privée tout en prétendant le contraire. Ce n’est pas non plus propre à la France, l’autorité irlandaise est connue pour être une succursale des GAFAM et s’est illustrée par de nombreuses manoeuvres d’obstruction visant à décourager les personnes déposant des plaintes contre les géants du numérique américains.
Ce parti pris de la présidente actuelle même s’il s’avérait être transparent et de bonne foi resterait aussi critiquable : l’accompagnement tel que proposé par la CNIL fonctionne-il vraiment ? Ont-ils vraiment les moyens d’accompagner toutes les associations et entreprises de France en ayant besoin ?
Posté le 04/09/2024 à 16h57
C’est très réducteur. Oui, Guillaume Champeau et Aeris ont un intérêt à voir un renforcement de l’action répressive de la CNIL, cependant ça ne vide pas de substance le propos.
La CNIL sanctionne très peu et se montre particulièrement clémente avec le secteur public en comparaison avec d’autres autorités ayant la même compétence qu’elle dans d’autres pays de l’UE.
Les autorités de protection des données nationales ont toutes des politiques différentes et cela change selon le mandat. En l’occurence la volonté de plus accompagner que de réprimer est assumée, du moins dans les grandes lignes par la présidente de la CNIL.
Mais derrière les déclarations on peut légitimement douter de la sincérité de ses décideurs, comme tel fut le cas durant le mandat d’Alex Türk entre 2004 et 2011 qui a pris un nombre de décisions fortement discutables pour la protection de la vie privée tout en prétendant le contraire. Ce n’est pas non plus propre à la France, l’autorité irlandaise est connue pour être une succursale des GAFAM et s’est illustrée par de nombreuses manoeuvres d’obstruction visant à décourager les personnes déposant des plaintes contre les géants du numérique américains.
Ce parti pris de la présidente actuelle même s’il s’avérait être transparent et de bonne foi resterait aussi critiquable : l’accompagnement tel que proposé par la CNIL fonctionne-il vraiment ? Ont-ils vraiment les moyens d’accompagner toutes les associations et entreprises de France en ayant besoin ?
#1.19
Le problème est surtout le pourquoi et l'absence de sanction quand ça commence à se reproduire un peu trop souvent et sans mesure de correction…
#1.15
Historique des modifications :
Posté le 04/09/2024 à 17h53
Aeriss (avec 2s) est une société bretonne sans aucun lien avec moi
#1.17
- Tu as le statut d'hébergeur pour l'asso PURR (d'après leur mention légale) ?
- Tu as des intérêts financiers dans la conformité RGPD (aide, conseil...) ?
- Le "crypto-terrorisme individuel auto-radicalisé" ca rapporte combien ? :p
#1.18
Je n'ai strictement aucun intérêt financier quelconque à la conformité RGPD, je ne fais pas de conseil payant, je n'opère aucun service d'aucune sorte, je suis salarié standard d'une boîte standard sans rapport avec le RGPD.
Et du coup, ça gagne rien. Ça me coûte même beaucoup en temps et en frais d'avocat.
#1.20
Reste donc les intérêts financiers de Guillaume Champeau liés à son activité chez "Olympe Legal", ce qui me semble assez indéniable.
Et les questions sur l'asso PURR qui de prime abord pourrait passer pour une incarnation anonyme de l'intéressé.
#1.21
#1.23
Bon, le RGPD sera probablement quelque chose à garder en grande partie après le Frexit (une loi anti-business et pro-citoyen, normal que ce ne soit pas appliqué et que tout le monde s'en fiche) donc je vais regarder cette pétition.
Historique des modifications :
Posté le 05/09/2024 à 00h14
En exclusivité sur Next, une interview d'Aeris, en commentaires.
#1.24
#1.26
Attention donc à ne pas confondre le Conseil de l'Europe et le Conseil de l'Union européenne (Conseil des ministres de l'Union européenne) et le Conseil européen (Conseil des chefs d'État ou chefs de gouvernement de l'Union européenne).
L'erreur est très courante, comme le fait d'utiliser le terme "l'Europe" (~50/56 États) pour désigner la seule Union européenne (27 pays), terme qui dépasse pourtant son cadre.
On peut donc être hors de l'Union européenne et être État partie à la CEDH comme l'est la Turquie ou la Russie, cette dernière ayant été exclue suite à la guerre en Ukraine.
Par exemple, bien que le Brexit ait eu lieu, le Royaume-Uni est toujours État-partie à la Convention européenne des droits de l'Homme.
Concernant le RGPD, lui relève bien du droit communautaire. Sortir de l'UE, c'est donc aussi s'en affranchir, sauf à le transposer dans le droit interne français.
#1.27
Exactement, c'est ce que je voulais dire. D'ailleurs, comme pour le Brexit, sortir de l'UE ne change rien automatiquement, je ne suis pas juriste mais on gagne seulement la liberté de faire différemment et de dire : ça on abroge, ça on garde (si on ne fait rien, on garde tout, et eux n'ont pas fait grand-chose, d'où les problèmes). En France le RGPD a été ratifié et est devenu la "LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles" https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000037085952 et il devrait suffire de ne pas y toucher même si nous n'y sommes plus contraints.
Historique des modifications :
Posté le 09/09/2024 à 00h55
"Sortir de l'UE, c'est donc aussi s'en affranchir, sauf à le transposer dans le droit interne français."
Exactement. D'ailleurs, comme pour le Brexit, sortir de l'UE ne change rien automatiquement, je ne suis pas juriste mais on gagne seulement la liberté de faire différemment et de dire : ça on abroge, ça on garde (si on ne fait rien, on garde tout). En France le RGPD a été ratifié et est devenu la "LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles" https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000037085952 et il devrait suffire de ne pas y toucher même si nous n'y sommes plus contraints.
Posté le 09/09/2024 à 00h56
"Sortir de l'UE, c'est donc aussi s'en affranchir, sauf à le transposer dans le droit interne français."
Exactement, c'est ce que je voulais dire. D'ailleurs, comme pour le Brexit, sortir de l'UE ne change rien automatiquement, je ne suis pas juriste mais on gagne seulement la liberté de faire différemment et de dire : ça on abroge, ça on garde (si on ne fait rien, on garde tout, et eux n'ont pas fait grand-chose, d'où les problèmes). En France le RGPD a été ratifié et est devenu la "LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles" https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000037085952 et il devrait suffire de ne pas y toucher même si nous n'y sommes plus contraints.
#1.28
La loi que tu cites est l'adaptation du droit national pour être compatible avec le règlement.
Ce sont les directives qui sont transposées en droit national.
Pour la petite histoire, le RGPD hérite en partie de la loi informatique et libertés de 1978.
#1.29
C'est faux.
Être dans l'UE, c'est avoir ratifié un traité international : le traité de Lisbonne. Sortir de l'UE, c'est dénoncer ce traité et donc il n'est plus applicable.
À partir de là, en vertu de la hiérarchie des normes, les lois françaises (si elles existent) s'appliquent là où les lois de l'UE s'appliquaient parce que découlant d'un traité.
Pour reprendre le cas du RGPD, il a remplacé pour l'essentiel la loi du 6 janvier 1978 qui a été fortement allégée (pleins d'articles supprimés ou réécrits) afin de ne laisser que ce qui est du ressort national. Ça a été fait justement par la loi que tu cites, mais que tu n'as probablement pas parcouru.
Si l'on sort de l'UE, le RGPD n'existe plus pour nous.
Pour garder applicable des textes de l'UE si l'on sort de cette UE, il faut donc reconstruire la loi française et revoter des lois remettant dans le droit français ce qui avant était dans le droit de l'UE. C'est un gros travail qui prend du temps (et pendant ce temps, on ne fait pas d'autres lois).
Donc, avant de penser que le Frexit serait une bonne chose et facile à faire, il faut se renseigner sérieusement et pas affirmer des choses fausses comme tu viens de le faire.
#1.30
Du coup sauf à vraiment envisager de ne plus pouvoir faire de commerce avec l’intégralité des pays restants dans l’UE, ça restera difficile de ne pas remettre cette législation chez nous…
#1.31
La dernière phrase de propagande européiste à la sauce "fact-checking" est de trop et à réécrire en mettant "l'UE" à la place de "le Frexit". C'est vrai que la décolonisation n'était pas facile non plus, le colon s'occupait de tout donc...
Autrement merci à vous deux pour les précisions, donc il faudra réécrire une RGPD française, pas de souci.
#1.32
Et que s’appelerio « Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ». La mère du RGPD en fait… 🤷
LIL 1978 -> Directive 95 -> RGPD 2016. C’est du copié-collé ou presque entre les 3.
#1.25
---------------------------------------------
L'asso PURR publie une lettre ouverte pour inciter la CNIL à davantage sanctioner les non-conformités RGPD.
L'asso PURR a été co-fondée et est hébergée par Aeris (@aeris22).
Pour rappel, Guillaume Champeau avait lancé une pétition sur le meme sujet.
Mais la CNIL avait ignoré la pétition au motif que G.C avait des intérets financiers dans la conformité RGPD.
---------------------------------------------
#2
Guillaume Champeau était le directeur juridique et disait explicitement qu'il y avait un "débat" sur :
l'envoi de données pseudo anonymisées (et donc pas anonymisées) après un traitement automatisé sur l'IP (donnée personnelle), traitement opéré dès 2016 sans le consentement éclairé des utilisateurs.
J'ai juste envie de vomir de lire que la CNIL n'a rien fait au prétexte qu'il s'agit de Champeau.
Quelle honte.
Pour plus d'explications, j'ai fait un site notion ici avec ma discussion avec Champeau, entre autre :
https://www.notion.so/Qwant-petit-pr-cis-d-une-escroquerie-en-bande-organis-e-98300251bfeb44c49720025a15206e90?pvs=4#cbe275b97e4e41b882abbabd5eb7fa35
#3
Historique des modifications :
Posté le 04/09/2024 à 21h45
J'ai eu l'opportunité d'interviewer Aeris, ainsi que d'autres "militants" connus et reconnus de la vie privée et du RGPD dans le cadre de ma thèse, ainsi qu'un panel représentatif de la population de 1500 personnes (au sens INSEE, Hanouna, et BFM ne peuvent pas toujours en dire autant) qui m'a coûté 2 mois et demi de salaire. Je suis en période de rendu, donc je ne peux en pas en parler. La sincérité du personnage, et le combat juridique sont fondés. J'ai d'ailleurs écrit un mail à ce sujet à Next.ink, sans réponse (certes lunaire, pour cause de NDA sur ma thèse, mon mail était pourri, je ne vous en veux pas Next). Une fois rendue, ma thèse sur le sujet sera open source, mais délivrée en priorité à Next auquel je suis fidèle depuis 15 ans. J'espère amener quelques gouttes d'eau au moulin qui tourne dans le vide depuis trop d'années sur la protection des données personnelles.
#3.1
#3.2
#3.3
#3.6
Historique des modifications :
Posté le 09/09/2024 à 09h59
Bonjour, Oui, je vous renverrai un email le moment venu. Je suis dans les derniers jours avant le rendu final et l'appui sur le bouton. Globalement la thèse dis beaucoup beaucoup de choses dont vous avez déjà parlé. :) Et encore une fois, mon mail était bien pourri, j'étais dans l'euphorie des premiers résultats, j'avais l'impression d'avoir découvert le graal :)
Posté le 09/09/2024 à 10h01
Bonjour, Oui, je vous renverrai un email le moment venu. Je suis dans les derniers jours avant le rendu final et l'appui sur le bouton. Globalement la thèse dit beaucoup beaucoup de choses dont vous avez déjà parlé. :) Et encore une fois, mon mail était bien pourri, j'étais dans l'euphorie des premiers résultats, j'avais l'impression d'avoir découvert le graal :)
#3.4
Tu soutiens ta thèse quand??
#3.5
Je serais très intéressé aussi. Ce sera une fois que la thèse sera rendue ou soutenue que tu la publieras ?
Et sans vouloir mettre de pression, quand et où (ville) soutiendras-tu ? Si c'est pas trop loin et que je suis dispo, je pourrais peut être venir y assister
#3.7
Historique des modifications :
Posté le 09/09/2024 à 10h03
Merci! La soutenance est prévue début décembre. La date est sûre à 90%, mais reste à valider définitivement. Je suis dans les DOM, il y aura un lien en visio normalement. Si tout est ok, elle sera publique le jour même, si les rapporteurs et les membres du jury me demandent d'apporter des corrections, il faudra 1 mois de plus.
#3.8
En théorie, les membres du jury hors rapporteur ne te demanderons pas de correction (si ça peut te rassurer ;) ).
Les rapporteurs peuvent le faire par contre. Après, s'ils t'autorisent à soutenir ta thèse, en général, si corrections il y a, ce sont des corrections mineures (ou alors les choses ont changé depuis 14 ans que j'ai soutenu la mienne !).
Historique des modifications :
Posté le 09/09/2024 à 10h19
Ah oui, non, dans les DOM, c'est un peu loin pour moi ^^ Mais pourquoi pas en visio, si c'est possible oui :)
En théorie, les membres du jury hors rapporteur ne te demanderons pas de correction (si ça peut te rassurer ;) ).
Les rapporteurs peuvent le faire par contre. Après, s'ils t'autorisent à soutenir ta thèse, en général, si corrections il y a, ce sont des corrections mineures (ou alors les choses ont changés depuis 14 ans que j'ai soutenu la mienne !).
#4
La société a clairement fait n'importe quoi, mais la cnil se contente de me rapporter ses réponses sans queue ni tête.