Pour sa défense, Pavel Durov avait affirmé avoir ouvert un canal de communication officiel avec la DGSI dans le cadre de la lutte antiterroriste, « avec hot-line et adresse mail dédiée en cas de risque de mort imminente », ce qui lui aurait permis de « déjouer plusieurs attentats ».

• Pavel Durov affirme avoir aidé le renseignement français à déjouer des attentats

Or, relève Le Canard Enchaîné dans son édition du 4 septembre, « d'après les infos du Palmipède, si nos contre-espions ont bel et bien pris contact avec le boss de Telegram dans le cadre de la lutte antiterroriste, ils n'ont jamais réussi à obtenir une quelconque coopération avec lui ».

Un contre-espion qui avait « eu à traiter le dossier » raconte au Canard que « vu que la messagerie nous avait envoyé balader », alors qu'elle était devenue le canal de communication privilégié des djihadistes, « on avait demandé aux services russes de récupérer le contenu de certains échanges chiffrés », avant de préciser :

« Mais ils nous avaient répondu qu'eux-mêmes n'y arrivaient pas car Dourov n'en faisait qu'à sa tête ».

Durov ayant par ailleurs laissé une partie de ses serveurs en Russie, « offrant ainsi au FSB et consorts la possibilité d'y fourrer le nez », la DGSI aurait par ailleurs réussi, « à force de tirer la sonnette d'alarme », à obtenir que l'usage de Telegram, « comme celui de WhatsApp et Signal, soit interdit aux membres du gouvernement et de la haute administration », en novembre 2023.

Or, c'est précisément en novembre 2023 que le bureau de la Première ministre avait publié une circulaire à destination des ministres, secrétaires d'État, ainsi que les membres et directeurs de cabinets ministériels, les enjoignant à désinstaller en urgence toutes les solutions de messageries instantanées courantes au profit d’une seule, Olvid.

À l'époque, Matignon avait précisé au Canard que « ces consignes ne concernent que les téléphones des cabinets fournis par l'État, et lorsqu'il s'agit d'une communication entre ministres et cabinets ». « Ce qui n'empêche pas Macron de continuer à blablater sur le canal russe », conclut Le Palmipède dans son édition du jour.

• Propulsée par Matignon, la messagerie Olvid soulève des questions

La lettre ouverte a été mise en ligne par l'association P·U·R·R (Pour un RGPD respecté), une association de loi 1901 créée en octobre 2023 et hébergée par Aeris, bien connu pour ses nombreuses plaintes déposées auprès de la CNIL.

Elle rappelle que le RGPD a été promulgué en mai 2016 et affirme que, « six ans après, nous ne pouvons que constater la défaillance de votre Commission quant à l’exécution des pouvoirs qui lui sont conférés. Les manquements au RGPD, constants et massifs, continuent de prospérer ».

« Malgré des plaintes toujours plus nombreuses, en hausse de plus de 30% chaque année, les sanctions rendues par votre Commission restent désespérément faibles sinon inexistantes, avec moins de 50 sanctions pour 12 000 plaintes, et dépassant à peine le seuil d’un rappel à loi pour au moins la moitié d’entre elles », ajoute la lettre ouverte.

La conclusion est la suivante : « Sans action rapide de la part de votre Commission, nous ne constaterons aucune amélioration de la protection de la vie privée en France, déjà fort mal en point avec plusieurs décennies d’inaction de notre Autorité de Contrôle pourtant supposée la garantir ». Lancé lundi, elle a récolté pour l’instant 359 signatures.

Cette lettre ouverte est la suite d’une première pétition lancée il y a quelques mois qui demandait à la CNIL de « réarmer les citoyens et les DPO face aux violations du RGPD ». Elle dénonçait « la politique délibérée d’inaction mise en œuvre en France par la CNIL », parlait aussi de « politique laxiste » et d’« inaction répressive ». Elle avait réuni près de 5 000 signatures.

Sur X, Aeris explique que « la CNIL l'avait tout simplement rejetée au motif que son auteur travaillait… dans une société de conformité RGPD ». Il s’agit de Guillaume Champeau, qui est pour rappel directeur juridique et DPO chez Olympe.legal. Il était auparavant chez Clever Cloud, Qwant et Numerama.

Puisque la CNIL ferme la porte, Aeris tente de passer par la fenêtre : « On relance donc cette pétition, portée cette fois par une association, PURR, représentant toute personne lésée par le RGPD, essentiellement les Personnes Concernées, mais aussi les DPO et les Responsables de Traitement ».

Ce n’est pas la première passe d’arme entre la CNIL et Aeris. Lors d’une contestation devant le Conseil d’État d’une décision de la Commission, il accusait cette dernière de ne pas remplir « sa mission de veiller au respect du RGPD ».

• La CNIL accusée de ne pas remplir « sa mission de veiller au respect du RGPD »

Il avait alors été rejoint par Morgan Schmiedt d’eWatchers, qui ne mâchait pas ses mots contre l’institution : « Ce n'est pas que des soupçons. La CNIL envoie des messages types sans instruction réelle. Parfois, sans lien avec le manquement relevé. Parfois, avec le nom d'organismes différents, suite à des copiés-collés foireux. Parfois, elle ment ouvertement. Du foutage de gueule ».

L’Autoriteit Persoonsgegevens (AP), l'agence hollandaise de la protection des données, a été très occupée cet été.

Outre l’amende de 30,5 millions d’euros tout juste prononcée contre Clearview AI, l’autorité en a infligé une de 290 millions d’euros à Uber pour avoir transféré les données personnelles des conducteurs européens vers des serveurs installées aux États-Unis, une « violation sérieuse » du règlement général pour la protection des données (RGPD).

Parmi les documents concernés, des papiers d’identités, des licences de taxis et des données de géolocalisation.

L’AP a indiqué avoir entamé son enquête après que 170 conducteurs français se sont plaints auprès de la Ligue des Droits de l’Homme, qui a ensuite porté plainte auprès de la CNIL.

Cette dernière a ensuite partagé le dossier avec l’AP, dans la mesure où le siège européen d’Uber est situé aux Pays-Bas.

Uber a qualifié l’amende de « complètement injustifiée », rapporte la BBC. Il s'agit de la troisième amende infligée par l'AP à Uber, après une amende de 600 000 euros en 2018, et une seconde de 10 millions d'euros en 2023.

L’Autoriteit Persoonsgegevens (AP), l'agence hollandaise de la protection des données, a infligé une amende de 30,5 millions d’euros à la sulfureuse Clearview AI pour violation du règlement général sur la protection des données (RGPD).

Dans un communiqué, l’agence explique que l’entreprise a créé « une base de données illégale de milliards de photos de visages », parmi lesquelles certaines concernent des citoyens des Pays-Bas.

Clearview est par ailleurs accusée d’avoir construit son jeu de données – dont son CEO affirmait début 2023 qu’il contenait 30 milliards d’images – sans informer les citoyens concernés.

« La reconnaissance faciale est une technologie hautement intrusive, que l’on ne peut pas simplement lâcher sur n’importe qui dans le monde » a déclaré le président de l'AP, Aleid Wolfsen.

De fait, Clearview est dans le viseur de multiples autorités, dont la CNIL australienne, qui l’a sommée de supprimer les photos de ses ressortissants, ou la CNIL française, qui lui a infligé trois amendes – Clearview est sous le coup d'une dizaine d'actions des CNIL européennes, dont plusieurs s'accompagnent d'amende, selon le décompte de GDPRhub.

• RGPD : Clearview AI condamné à 20 millions d’euros d’amende, pour la 3e fois

Problème : dans le cas français, Clearview refuse de payer. Le futur dira si et comment son homologue néerlandaise obtient de meilleurs résultats.