Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

CNIL : lettre ouverte contre ses sanctions « désespérément faibles sinon inexistantes »

Le 04 septembre à 15h15

La lettre ouverte a été mise en ligne par l'association P·U·R·R (Pour un RGPD respecté), une association de loi 1901 créée en octobre 2023 et hébergée par Aeris, bien connu pour ses nombreuses plaintes déposées auprès de la CNIL.

Elle rappelle que le RGPD a été promulgué en mai 2016 et affirme que, « six ans après, nous ne pouvons que constater la défaillance de votre Commission quant à l’exécution des pouvoirs qui lui sont conférés. Les manquements au RGPD, constants et massifs, continuent de prospérer ».

« Malgré des plaintes toujours plus nombreuses, en hausse de plus de 30% chaque année, les sanctions rendues par votre Commission restent désespérément faibles sinon inexistantes, avec moins de 50 sanctions pour 12 000 plaintes, et dépassant à peine le seuil d’un rappel à loi pour au moins la moitié d’entre elles », ajoute la lettre ouverte.

La conclusion est la suivante : « Sans action rapide de la part de votre Commission, nous ne constaterons aucune amélioration de la protection de la vie privée en France, déjà fort mal en point avec plusieurs décennies d’inaction de notre Autorité de Contrôle pourtant supposée la garantir ». Lancé lundi, elle a récolté pour l’instant 359 signatures.

Cette lettre ouverte est la suite d’une première pétition lancée il y a quelques mois qui demandait à la CNIL de « réarmer les citoyens et les DPO face aux violations du RGPD ». Elle dénonçait « la politique délibérée d’inaction mise en œuvre en France par la CNIL », parlait aussi de « politique laxiste » et d’« inaction répressive ». Elle avait réuni près de 5 000 signatures.

Sur X, Aeris explique que « la CNIL l'avait tout simplement rejetée au motif que son auteur travaillait… dans une société de conformité RGPD ». Il s’agit de Guillaume Champeau, qui est pour rappel directeur juridique et DPO chez Olympe.legal. Il était auparavant chez Clever Cloud, Qwant et Numerama.

Puisque la CNIL ferme la porte, Aeris tente de passer par la fenêtre : « On relance donc cette pétition, portée cette fois par une association, PURR, représentant toute personne lésée par le RGPD, essentiellement les Personnes Concernées, mais aussi les DPO et les Responsables de Traitement ».

Ce n’est pas la première passe d’arme entre la CNIL et Aeris. Lors d’une contestation devant le Conseil d’État d’une décision de la Commission, il accusait cette dernière de ne pas remplir « sa mission de veiller au respect du RGPD ».

Il avait alors été rejoint par Morgan Schmiedt d’eWatchers, qui ne mâchait pas ses mots contre l’institution : « Ce n'est pas que des soupçons. La CNIL envoie des messages types sans instruction réelle. Parfois, sans lien avec le manquement relevé. Parfois, avec le nom d'organismes différents, suite à des copiés-collés foireux. Parfois, elle ment ouvertement. Du foutage de gueule ».

Le 04 septembre à 15h15

Commentaires (44)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Résumé:

Aeris est une société qui vend de la "conformité RGPD".
Aeris veut gagner davantage d'argent.
Aeris demande à la CNIL d'être plus ferme sur la conformité RGPD.
La CNIL rejette la demande au motif que ca se voit trop que Aegis prêche pour sa paroisse.
Mais le méchant dans l'histoire c'est la CNIL car davantage de conformité RGPD c'est forcément bien.

Jai bon ?
votre avatar
L’intéressé répondra peut être mais à part pour "Aeris demande à la CNIL d'être plus ferme sur la conformité RGPD." je pense que tu es dans l'erreur sur toutes les autres affirmation.
votre avatar
Vu que je ne sais rien sur celui qui se présente comme "Aeris", mon interprétation en vaut une autre. Est-ce vraiment une seule personne ? De quoi vit-il ? Mystère.
votre avatar
Oui Aeris est une seule personne, et non cette personne ne bosse pas dans le milieu du RGPD.

C'est juste un particulier qui essaye de faire respecter ses (nos) droits
votre avatar
Du coup, quand il y a marqué "Herbergeur: Aeris" dans la mentions légales de l'asso, ca veut dire que l'asso vit chez Aeris ?
votre avatar
Oui
votre avatar
La CNIL aura du mal à argumenter ainsi je pense !
votre avatar
? Aeris n'est pas Guillaume Champeau
votre avatar
Je sais pas si t'as bon ou pas, mais ce qui est sure, c'est que la CNIL ne fait pas grand chose.

Après, quels sont les moyens de la CNIL face à des multinationales qui lâchent 100 fois le budget annuel de la CNIL pour se payer une armée d'avocat?

Si la CNIL attaque, il faut qu'elle ai les moyens financiers pour aller en appel, en cassation, bis repetita au niveau de l'Europe, ... face à des service juridique bien armée dans la perte de temps et l'instrumentalisation de la justice (qui ne fait presque rien contre au passage) qui font que la justice n'est jamais rendu.
votre avatar
La CNIL n'est pas un particulier mais une autorité administrative indépendante. Son volet sanction fait donc partie de son fonctionnement et de son financement. Elle ne peut pas dire "j'ai pas les moyens de me payer un avocat", elle n'en a pas besoin.

Elle peut exiger différentes actions lors du constat d'un manquement, et ses décisions ne font pas l'objet de recours en appel, cassation et compagnie. Les suspensions des décisions administratives se font devant le Conseil d'Etat en France.
votre avatar
Non. Relis la brève, tu vas finir par comprendre. Attention, il y a un pseudo et un nom/prénom qui représentent 2 personnes physiques différentes.
votre avatar
La lecture de l'article et des liens afférents n'apprend pas grand chose.

J'ai bien compris que Guillaume Champeau (d'une part) et Aeris (d'autre part) en ont gros auprès de la CNIL. Et que la CNIL fait mine de ne pas les entendre au motif que Guillaume Champeau aurait un intérêt financier lié à la conformité RGPD. Et qu'une association PURR (dont je ne sais rien a part son n° SIRET 92413214500013 dans les mentions légales) reprend le flambeau de la vindicte.

Mais
1. Je ne sais pas si Aeris a des intérêts financiers liés à la conformité RGPD.
2. Je ne sais pas si Guillaume Champeau a des intérêts financiers liés à la conformité RGPD.
3. Je ne sais pas qui gère l'asso PURR.

De ce que je comprend, la meute est du coté de AerIs/Champeau/PURR parce que le RGPD c'est une cause morale juste, que la CNIL c'est une autorité donc c'est mal, et que AerIs/Champeau c'est un peu comme des paladins dont c'est bien.
votre avatar
Aeris est ce qu'on pourrait appeler un activiste pro-RGPD. Je le suis sur Twitter depuis un bout de temps, ce n'est pas son business à ma connaissance. Il a un taf par ailleurs.
Il passe juste son temps libre à porter plainte auprès de la CNIL pour tous les manquements au RGPD dont il est victime (c'est à dire quasiment à chaque site visité et à chaque SPAM reçu).
votre avatar
Je comprend bien qu'il voudrait un monde meilleur.

Mais gueuler que les sanctions de la CNIL sont désespérément faibles sinon inexistantes, ca me parait exagéré.

Ca me fait l'effet des gens qui gueulent contre les services hospitaliers parce qu'ils ne sont pas soignés assez vite.
votre avatar
Je comprends l'idée mais quand on le lit, on comprends vite qu'il n'exagère hélas pas (ou pas trop en tout cas). D'autres APD européennes sont bien plus dures et n'hésitent pas à sanctionner ce qu'en France notre APD ignore ou laisse passer sans sanction.
votre avatar
Exagéré ? Je dirais plutôt une sale habitude des autorités en général, pas seulement de la CNIL. On vote des lois d'un côté et le j'm'enfoutisme fait le reste de l'autre. Du coup on vote des lois encore plus dures et ça ne sert toujours à rien. Et ainsi de suite.
votre avatar
C’est très réducteur. Oui, Guillaume Champeau et Aeris ont un intérêt à voir un renforcement de l’action répressive de la CNIL, cependant ça ne vide pas de substance le propos.

La CNIL sanctionne très peu et se montre particulièrement clémente avec le secteur public en comparaison avec d’autres autorités ayant la même compétence qu’elle dans d’autres pays de l’UE.

Les autorités de protection des données nationales ont toutes des politiques différentes et cela change selon le mandat. En l’occurence la volonté de plus accompagner que de réprimer est assumée, du moins dans les grandes lignes par la présidente de la CNIL.

Mais derrière les déclarations on peut légitimement douter de la sincérité de ses décideurs, comme tel fut le cas durant le mandat d’Alex Türk entre 2004 et 2011 qui a pris un nombre de décisions fortement discutables pour la protection de la vie privée tout en prétendant le contraire. Ce n’est pas non plus propre à la France, l’autorité irlandaise est connue pour être une succursale des GAFAM et s’est illustrée par de nombreuses manoeuvres d’obstruction visant à décourager les personnes déposant des plaintes contre les géants du numérique américains.

Ce parti pris de la présidente actuelle même s’il s’avérait être transparent et de bonne foi resterait aussi critiquable : l’accompagnement tel que proposé par la CNIL fonctionne-il vraiment ? Ont-ils vraiment les moyens d’accompagner toutes les associations et entreprises de France en ayant besoin ? Honnêtement probablement pas au vu des violations de données massives de Pôle Emploi ou des complémentaires de santé qui sont arrivées ces derniers mois .
votre avatar
Pôle Emploi est un vrai faux problème. Les fuites de données, en soit c'est « normal » (j'en ai même moi-même déclaré à la CNIL).
Le problème est surtout le pourquoi et l'absence de sanction quand ça commence à se reproduire un peu trop souvent et sans mesure de correction…
votre avatar
Aeriss (avec 2s) est une société bretonne de conformité RGPD sans aucun lien avec moi
votre avatar
Du coup...
- Tu as le statut d'hébergeur pour l'asso PURR (d'après leur mention légale) ?
- Tu as des intérêts financiers dans la conformité RGPD (aide, conseil...) ?
- Le "crypto-terrorisme individuel auto-radicalisé" ca rapporte combien ? :p
votre avatar
Je suis bien hébergeur au sens LCEN de l'association, avec qui j'ai un DPA de sous-traitance, les machines étant hébergées chez moi. Qui se trouve aussi être le siège social de l'asso.
Je n'ai strictement aucun intérêt financier quelconque à la conformité RGPD, je ne fais pas de conseil payant, je n'opère aucun service d'aucune sorte, je suis salarié standard d'une boîte standard sans rapport avec le RGPD.
Et du coup, ça gagne rien. Ça me coûte même beaucoup en temps et en frais d'avocat.
votre avatar
Merci pour les réponses. Ca clôt une partie de mes questions.

Reste donc les intérêts financiers de Guillaume Champeau liés à son activité chez "Olympe Legal", ce qui me semble assez indéniable.

Et les questions sur l'asso PURR qui de prime abord pourrait passer pour une incarnation anonyme de l'intéressé.
votre avatar
Je suis co-fondateur de PURR et Guillaume n'y a strictement jamais mis le moindre orteil.
votre avatar
En exclusivité sur Next, une interview d'Aeris, en commentaires.

Bon, le RGPD sera probablement quelque chose à garder en grande partie après le Frexit (une loi anti-business et pro-citoyen, normal que ce ne soit pas appliqué et que tout le monde s'en fiche) donc je vais regarder cette pétition.
votre avatar
Le RGPD étant issu directement de l’article 8 de la Convention Européenne des Droits de l’Homme, traité fondateur de l’Union Européenne et de l’EEE, je dirais que si tu envisages de conserver le RGPD malgré un Frexit, commence par remettre en cause ton Frexit tout court hein… 🤷
votre avatar
La Convention européenne des droits de l'Homme provient du Conseil de l'Europe (46 pays sans la Russie, exclue), indépendant, qui n'a rien avoir avec l'Union européenne (27 pays après Brexit).

Attention donc à ne pas confondre le Conseil de l'Europe et le Conseil de l'Union européenne (Conseil des ministres de l'Union européenne) et le Conseil européen (Conseil des chefs d'État ou chefs de gouvernement de l'Union européenne).

L'erreur est très courante, comme le fait d'utiliser le terme "l'Europe" (~50/56 États) pour désigner la seule Union européenne (27 pays), terme qui dépasse pourtant son cadre.

On peut donc être hors de l'Union européenne et être État partie à la CEDH comme l'est la Turquie ou la Russie, cette dernière ayant été exclue suite à la guerre en Ukraine.

Par exemple, bien que le Brexit ait eu lieu, le Royaume-Uni est toujours État-partie à la Convention européenne des droits de l'Homme.

Concernant le RGPD, lui relève bien du droit communautaire. Sortir de l'UE, c'est donc aussi s'en affranchir, sauf à le transposer dans le droit interne français.
votre avatar
"Sortir de l'UE, c'est donc aussi s'en affranchir, sauf à le transposer dans le droit interne français."
Exactement, c'est ce que je voulais dire. D'ailleurs, comme pour le Brexit, sortir de l'UE ne change rien automatiquement, je ne suis pas juriste mais on gagne seulement la liberté de faire différemment et de dire : ça on abroge, ça on garde (si on ne fait rien, on garde tout, et eux n'ont pas fait grand-chose, d'où les problèmes). En France le RGPD a été ratifié et est devenu la "LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles" https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000037085952 et il devrait suffire de ne pas y toucher même si nous n'y sommes plus contraints.
votre avatar
Il n'existe pas de notion de ratification pour un règlement européen dans un État membre. Un règlement s'applique immédiatement dès qu'il entre en vigueur.
La loi que tu cites est l'adaptation du droit national pour être compatible avec le règlement.

Ce sont les directives qui sont transposées en droit national.

Pour la petite histoire, le RGPD hérite en partie de la loi informatique et libertés de 1978.
votre avatar
si on ne fait rien, on garde tout
C'est faux.

Être dans l'UE, c'est avoir ratifié un traité international : le traité de Lisbonne. Sortir de l'UE, c'est dénoncer ce traité et donc il n'est plus applicable.

À partir de là, en vertu de la hiérarchie des normes, les lois françaises (si elles existent) s'appliquent là où les lois de l'UE s'appliquaient parce que découlant d'un traité.

Pour reprendre le cas du RGPD, il a remplacé pour l'essentiel la loi du 6 janvier 1978 qui a été fortement allégée (pleins d'articles supprimés ou réécrits) afin de ne laisser que ce qui est du ressort national. Ça a été fait justement par la loi que tu cites, mais que tu n'as probablement pas parcouru.
Si l'on sort de l'UE, le RGPD n'existe plus pour nous.

Pour garder applicable des textes de l'UE si l'on sort de cette UE, il faut donc reconstruire la loi française et revoter des lois remettant dans le droit français ce qui avant était dans le droit de l'UE. C'est un gros travail qui prend du temps (et pendant ce temps, on ne fait pas d'autres lois).

Donc, avant de penser que le Frexit serait une bonne chose et facile à faire, il faut se renseigner sérieusement et pas affirmer des choses fausses comme tu viens de le faire.
votre avatar
J’ajouterai qu’on n’aurait pas vraiment d’autre choix que de remettre le RGPD chez nous même en cas de Frexit. Ben oui, le RGPD interdit le traitement de données dans un pays non adéquat au niveau de sa législation 🤣 C’est exactement le problème qu’il y a actuellement avec Schrems I et Schrems II et les États-Unis.
Du coup sauf à vraiment envisager de ne plus pouvoir faire de commerce avec l’intégralité des pays restants dans l’UE, ça restera difficile de ne pas remettre cette législation chez nous…
votre avatar
"Donc, avant de penser que le Frexit serait une bonne chose et facile à faire, il faut se renseigner sérieusement et pas affirmer des choses fausses comme tu viens de le faire."
La dernière phrase de propagande européiste à la sauce "fact-checking" est de trop et à réécrire en mettant "l'UE" à la place de "le Frexit". C'est vrai que la décolonisation n'était pas facile non plus, le colon s'occupait de tout donc...

Autrement merci à vous deux pour les précisions, donc il faudra réécrire une RGPD française, pas de souci.
votre avatar
il faudra réécrire une RGPD française, pas de souci.
Et que s’appelerio « Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ». La mère du RGPD en fait… 🤷
LIL 1978 -> Directive 95 -> RGPD 2016. C’est du copié-collé ou presque entre les 3.
votre avatar
La brève, version TLDR;, telle que je la comprend suite aux commentaires de Aeris.

---------------------------------------------
L'asso PURR publie une lettre ouverte pour inciter la CNIL à davantage sanctioner les non-conformités RGPD.

L'asso PURR a été co-fondée et est hébergée par Aeris (@aeris22).

Pour rappel, Guillaume Champeau avait lancé une pétition sur le meme sujet.
Mais la CNIL avait ignoré la pétition au motif que G.C avait des intérets financiers dans la conformité RGPD.
---------------------------------------------
votre avatar
J'ai porté plainte auprès de la CNIL contre Qwant en 2019.

Guillaume Champeau était le directeur juridique et disait explicitement qu'il y avait un "débat" sur :

l'envoi de données pseudo anonymisées (et donc pas anonymisées) après un traitement automatisé sur l'IP (donnée personnelle), traitement opéré dès 2016 sans le consentement éclairé des utilisateurs.

J'ai juste envie de vomir de lire que la CNIL n'a rien fait au prétexte qu'il s'agit de Champeau.
Quelle honte.

Pour plus d'explications, j'ai fait un site notion ici avec ma discussion avec Champeau, entre autre :

https://www.notion.so/Qwant-petit-pr-cis-d-une-escroquerie-en-bande-organis-e-98300251bfeb44c49720025a15206e90?pvs=4#cbe275b97e4e41b882abbabd5eb7fa35
votre avatar
J'ai eu l'opportunité d'interviewer Aeris, ainsi que d'autres "militants" connus et reconnus de la vie privée et du RGPD dans le cadre de ma thèse, ainsi qu'un panel représentatif de la population de 1500 personnes (au sens INSEE, Hanouna, et BFM ne peuvent pas toujours en dire autant) qui m'a coûté 2 mois et demi de salaire. Je suis en période de rendu, donc je ne peux en pas en parler. La sincérité du personnage, et le combat juridique sont fondés. J'ai d'ailleurs écrit un mail à ce sujet à Next.ink, sans réponse (certes lunaire, pour cause de NDA sur ma thèse, mon mail était pourri, je ne vous en veux pas Next). Une fois rendue, ma thèse sur le sujet sera open source, mais délivrée en priorité à Next auquel je suis fidèle depuis 15 ans. J'espère amener quelques gouttes d'eau au moulin qui tourne dans le vide depuis trop d'années sur la protection des données personnelles. Merci à Aeris, Manach, Gavois, Saliou, et ex-next Rees, -entre autres- pour vos apports.
votre avatar
Cool, j'espère que la rédac fera un article intéressant à ce sujet alors 👍
votre avatar
on sera ravi de la lire le moment venu !
votre avatar
Effectivement ce mail me dit quelque chose et je suis désolé si on ne t’a répondu… Hésite pas à me renvoyer un message sur mon mail (sebastien at nom du site), j’y répondrais avec plaisir :)
votre avatar
Bonjour, Oui, je vous renverrai un email le moment venu. Je suis dans les derniers jours avant le rendu final et l'appui sur le bouton. Globalement la thèse dit beaucoup beaucoup de choses dont vous avez déjà parlé. :) Et encore une fois, mon mail était bien pourri, j'étais dans l'euphorie des premiers résultats, j'avais l'impression d'avoir découvert le graal :)
votre avatar
Bonjour,
Tu soutiens ta thèse quand??
votre avatar
Je n'aurais qu'une chose à dire : chapeau et félicitation (à non, ça fait deux, zut ^^).

Je serais très intéressé aussi. Ce sera une fois que la thèse sera rendue ou soutenue que tu la publieras ?

Et sans vouloir mettre de pression, quand et où (ville) soutiendras-tu ? Si c'est pas trop loin et que je suis dispo, je pourrais peut être venir y assister
votre avatar
Merci! La soutenance est prévue début décembre. La date est sûre à 90%, mais reste à valider définitivement. Je suis dans les DOM, il y aura un lien en visio normalement. Si tout est ok, elle sera publique le jour même, si les rapporteurs et les membres du jury me demandent d'apporter des corrections, il faudra 1 mois de plus.
votre avatar
Ah oui, non, dans les DOM, c'est un peu loin pour moi ^^ Mais pourquoi pas en visio, si c'est possible oui :)

En théorie, les membres du jury hors rapporteur ne te demanderons pas de correction (si ça peut te rassurer ;) ).

Les rapporteurs peuvent le faire par contre. Après, s'ils t'autorisent à soutenir ta thèse, en général, si corrections il y a, ce sont des corrections mineures (ou alors les choses ont changé depuis 14 ans que j'ai soutenu la mienne !).
votre avatar
Ah ben pile le jour où j'ai reçu une réponse totalement lunaire de la cnil pour une plainte.
La société a clairement fait n'importe quoi, mais la cnil se contente de me rapporter ses réponses sans queue ni tête.

CNIL : lettre ouverte contre ses sanctions « désespérément faibles sinon inexistantes »

Fermer