7 ans plus tard, force est de constater que l’application de ce texte est loin d’être ce qu’elle est supposée
être, en particulier sur des sujets pourtant essentiels :
Réception régulière de spam publicitaire dans nos boîtes mail,
Présence de publicités traçantes sur la quasi-totalité des sites Internet,
Tracking à but de mesure d’audience,
Difficultés sinon impossibilité de faire valoir ses droits,
Fuites régulières de données, renforcées par l’absence de sécurité.
La France a été pourtant un des précurseurs mondiaux avec sa loi « Informatique et
Liberté » de 1978 qui n’a quasiment pas été modifiée avec l’entrée en vigueur du RGPD et la totalité des
entreprises françaises auraient dû en être conformes depuis plus de 45 ans.
Les responsables de traitement ne prennent pas ou trop peu en considération cette législation sur les données
personnelles et continuent à procéder à des traitements en dehors de tout cadre légal, sans réflexion en amont
de la mise en place de ceux-ci et sur des bases légales désuètes et dangereuses.
Notre autorité de protection des données
La CNIL est l’autorité française en charge de faire respecter
l’application du RGPD.
Malgré plus de 15 000 plaintes reçues chaque année, qui démontrent les problèmes chroniques de conformité
énoncés auparavant, les sanctions rendues sont rares (moins d’une cinquantaine), très en dessous des attentes
minimales sur ce type de non-conformités réglementaires, mais surtout ne couvrent absolument pas les bénéfices
générés par ces manquements.
Fondamentalement, aucun responsable de traitement n’a d’intérêt à se mettre en conformité, les avantages retirés
du non-respect de la législation étant très largement supérieurs aux sanctions potentielles.
Les plaignants ne sont pas considérés comme des partis du dossier,
ne sont donc pas informés de l’avancement de leur dossier (article
78(2)),
et sont mis au pied du mur une fois la sanction rendue, sans consultation;
Les sanctions rendues sont pour la plupart non publiques,
et sont rendus dans des délais beaucoup trop importants.
Pour une personne concernée, l’exercice de la défense de ses droits relève du parcours du combattant, dans des
procédures chronophages juridiquement complexes et où une CNIL en théorie accompagnatrice des citoyens se
retrouve à jouer le jeu des entreprises ne respectant pas la loi.
P·U·R·R, nos demandes
Pour la CNIL / Autorité de Contrôle
Faciliter le dépôt de plainte en simplifiant le parcours actuellement labyrinthique et trompeur
Réaliser de véritables instructions des plaintes, en particulier dans le délai de 3 mois prévu à l’article 78(2)
Prendre en considération l’ensemble des éléments portés à sa connaissance et non réduire le dossier à un unique point de détail
Traiter les plaintes dans un délai raisonnable de 12 mois, conformément à l’article 57(1)f
Transmettre toutes les informations nécessaires à une compréhension claire et non ambiguë de la décision rendue, afin d’éviter des procédures administratives supplémentaires (demande article 15 ou CADA) à la Personne Concernée, conformément au considérant 129
Sanctionner de manière dissuasive, en particulier via des amendes administratives, afin qu’une violation du RGPD ne puisse jamais être rentable pour un Responsable de Traitement, conformément à l’article 83(1)
Sanctionner systématiquement les violations notoirement reconnues, d’autant plus celles faisant l’objet de lignes directrices claires du CEPD ou de la CNIL
Prospection commerciale ou politique sans consentement
Bannière cookie trompeuse
Dépôt de cookie sans consentement
Recours à des courtiers de données sans qualification des données, à la collecte ou à l’usage
Usage de technologies déjà sanctionnées (Google Analytics, reCaptcha…)
Non-respect des délais et contenus légaux des réponses à demande d’accès
Mettre fin à l’accompagnement de Responsables de Traitement essentiellement fondés sur finalités manifestement incompatibles avec le RGPD
Ne pas défendre exclusivement les intérêts économiques des Responsables de Traitement, au détriment des droits des Personnes Concernées
S’auto-saisir des problématiques soulevées autour du Data Privacy Framework, comme imposé par les considérants 157 et 158 de l’arrêt Schrems II de la CJUE
Pour les Responsables de Traitement
Respecter réellement la législation en vigueur
Garantir l’indépendance des DPO et leur fournir les moyens nécessaires, conformément à l’article 38(2-3-6)
Mettre fin aux abus de base légale « intérêt légitime » ou « nécessaire à l’exécution d’un contrat » pour enfin utiliser la seule légalement recevable : le strict consentement (article 6)
Mettre fin à la prospection commerciale sans consentement
Mettre fin aux recours à des courtiers en données sans qualification avérée des données autant à la collecte initiale et qu’à la réutilisation des données
Mettre fin aux abus de contenu tiers engendrant des risques avérés pour la sécurité des données des Personnes Concernées et conduisant en pratique à du défaut de contrôle de la sous-traitance et bien souvent à de la perte de souveraineté (solutions US)
Mettre fin aux traitements traçants ayant pour finalité exclusivement les intérêts économiques de l’entreprise (stats d’audience, KPI marketing…) alors que la seule base légale recevable est le strict consentement (article 5 et article 6)
Répondre dans les délais et avec l’ensemble des informations légales attendues en cas d’exercice des droits d’une Personne Concernée, conformément à article 15
Pour les Personnes Concernées
Vous n’avez rien à faire, la CJUE vous garantit un haut niveau de protection de vos droits.
Si vos droits sont bafoués, c’est donc qu’une des entités citées précédemment n’a pas fait ce qu’elle devait légalement faire.
Si vous souhaitez aider dans la défense de vos droits, vous pouvez toujours :
Porter plainte en cas de violations constatées de vos droits.
(Lien direct pour éviter le labyrinthe de la CNIL ici)
Contester auprès du Conseil d’État les décisions de la CNIL qui vous semblent insuffisantes, incorrectes voire abusives.
L’association peut vous aider dans la rédaction des documents nécessaires à la saisie du Conseil d’État !
Il n’y a pas d’obligation d’adhérer pour pouvoir participer à l’association ou pour en obtenir de l’aide 😊
Si vous souhaitez tout de même adhérer, vous pouvez simplement envoyer un courriel au bureau avec un nom ou
pseudonyme.
Vous trouverez l’adresse ainsi que la clef GPG à utiliser ici.
L’entrée du registre de traitement associée est ici.
Si vous souhaitez nous aider, toute aide est la bienvenue :
pour améliorer ce site Internet, en particulier pour améliorer son accessibilité
pour assister les personnes souhaitant un accompagnement de l’association sur des sujets juridiques