Mathias Moulin, le Secrétaire Général Adjoint de la CNIL, a été interviewé le 30 septembre dans le magazine Acteurs Publics.
Il nous semble nécessaire d’éclairer certains points abordés dans cette interview, à nos yeux assez problématiques et symptomatiques du fonctionnement déficient de notre Autorité de Contrôle.
Dans le chapeau, M. Moulin indique que la CNIL serait critiquée « depuis quelques mois ». En pratique, l’inaction de la CNIL est soulevée depuis bien plus longtemps que cela, et même avant l’entrée en vigueur du RGPD (2016). Même si à sa décharge elle n’avait que peu de moyens de sanctions avant le RGPD, elle n’a pour autant pas beaucoup poursuivi les manquements à notre loi Informatique et Libertés de 1978, par exemple concernant la prospection commerciale sans consentement, interdite dès 2004 et comme rappelé par la CNIL elle-même en 2009.
L’entrevue entretient aussi la confusion entre sanction et sanction pécuniaire. En effet, nous n’avons jamais demandé, et le rappelons d’ailleurs dans nos mémoires devant le Conseil d’État, des sanctions pécuniaires dans tous les cas, mais uniquement dans ceux qui le justifient.
En pratique, la CNIL n’entre jamais en condamnation, ou de manière extrêmement limitée. Sur les milliers de plaintes dont nous sommes auteurs ou avont pu avoir connaissance, les sanctions sont inexistantes dans quasiment tous les cas.
Nous demandons exclusivement l’application des décisions de la CJUE sur le sujet et en particulier de l’article 83(2), listant les conditions pour appliquer une amende administrative ainsi que son montant. Il se trouve qu’en pratique, les manquements auquels nous faisons face au quotidien cochent au moins 3 sinon 6 des 11 critères. En effet les violations constatées sont des manquements volontairement commis pour des raisons mercantiles, souvent en état de récidive et malgré des rappels à la loi multiples pendant parfois 20 ans par la CNIL, dans le cadre de contrôle ou de plaintes et non de correction volontaire par le Responsable de Traitement. Il est donc difficilement envisageable que ces manquements ne soient pas sanctionnés par une amende administrative, et bien souvent d’un montant qui ne devrait pas être négligeable.
Même dans les dossiers conduisant à la mention d’une sanction dans la décision de clôture à destination du plaignant, notre Autorité de Contrôle ne la présente plus comme une sanction dans ses rapports au CEPD, jouant sur la confusion entre « rappels aux obligations » (au sens de l’article 58(1)d du RGPD), n’étant donc pas un acte de sanction mais d’enquête, et le « rappel à l’ordre » (au sens de l’article 58(2)b du RGPD), qui lui correspond bien à une sanction.
Nous sommes aussi parfaitement d’accord avec M. Moulin : les sanctions doivent être cohérentes et dissuasives. Ce n’est malheureusement pas le constat pratique que nous faisons avec celles rendues par la CNIL.
D’après l’interview, La CNIL aurait prononcé 200 sanctions.
Or elle n’en déclare au CEPD que 178 pour 2022, la très grosse majorité (152) n’étant de plus qu’une injonction à répondre au plaignant suite à une demande d’exercice des droits. Les sanctions véritables se résument à 29 rappels à l’ordre et seulement 17 amendes rendues, pour 12 193 plaintes reçues… À titre de comparaison, son homologue espagnole, l’AEPD, a déjà rendu 1 596 amendes en 6 ans, contre 79 pour la CNIL, pour le même volume de plaintes reçues sur cette période (80 714 en Espagne pour 78 535 en France)…
Le système répressif de la CNIL est donc totalement à l’arrêt, et il est encore une fois inconcevable de voir si peu de condamnations, et d’aussi faible importance, au regard des violations constatées. Celles rendues n’ont aucun caractère dissuasif, les manquements se poursuivant dans quasiment tous les cas, sans remise en question ni du responsable de traitement visé directement (Bouygues Telecom, Decathlon, Leroy Merlin, tous déjà multi-récidivistes…), ni du secteur dans son ensemble (prospection commerciale sans consentement, recours à des courtiers de données, bandeaux cookies déceptifs, non réponse à demande d’accès…).
Sur la comparaison des sanctions entre CNIL et AEPD (Autorité de Contrôle espagnole), le rapport du CEPD cité précédemment indique 131 millions d’amende au total pour la France contre 100 millions pour l’Espagne. L’écart n’est donc pas aussi important que le Secrétaire Général de la CNIL le prétend.
La différence principale réside surtout sur le nombre de sanctions, 4 349 pour l’AEPD pour seulement 576 pour la CNIL, illustrant en fait que la CNIL sanctionne essentiellement de grosses multinationales et pour des montants de plusieurs millions d’euro, quand l’AEPD sanctionne plutôt des entreprises nationales et pour des montants de plusieurs centaines de milliers d’euro.
L’AEPD utilise aussi toute la gamme de sanction à sa disposition (934 réprimandes, 1 824 rappels à l’ordre, 348 mises en demeure, 1 596 amendes) quand la CNIL ne dépasse quasiment jamais le simple rappel à l’ordre (155 réprimandes, 405 rappels à l’ordre, aucune mise en demeure, 79 amendes).
M. Moulin indique qu’il n’est évidemment pas envisageable de toujours commencer par punir : nous sommes tout-à-fait d’accord sur ce point. Le problème est que la CNIL ne finit jamais par punir, tout court…
L’entretien indique que l’objectif de la CNIL, au travers de sanctions importantes sur de grosses multinationales, serait d’orienter le marché, en indiquant aux autres responsables de traitement les risques encourus et les solutions pour se mettre en conformité. Nous nous interrogeons beaucoup sur cette stratégie. Quels effets, qui plus est notables, ont été constatés suite aux sanctions rendues contre Google (150 millions d’euro), Amazon (32 millions), Yahoo! (10 millions), Facebook (60 millions), ou Uber (290 millions) ? Absolument aucun.
Sur les sanctions à l’encontre de Yahoo! et Facebook concernant la dépose illicite de cookie, nous constatons chaque jour que le marché continue à se comporter comme auparavant, avec des bannières illicites, des cookies présents sans consentement, nous conduisant en pratique à ouvrir des dizaines sinon des centaines de plaintes sur ces thèmes, sans aucune réaction de la part de la CNIL, et ce plus de 6 ans après les premières sanctions…
Idem sur les défauts de base légale sanctionnés chez Google, toujours massivement présents chez la plupart des responsables de traitement, se réfugiant derrière de l’intérêt légitime là où le seul et strict consentement serait légalement obligatoire, chose pour laquelle nous ouvrons aussi un nombre incalculable de plaintes encore aujourd’hui.
Nous cotoyons au quotidien des DPO ou des responsables de traitement qui sont très clairs sur le sujet : les sanctions de la CNIL ne les concernent juste pas. Ils ne ressentent aucun risque de sanction, ou dans des proportions tellement minimes qu’ils peuvent comptablement provisionner le risque et faire avec sans se mettre en conformité. Nous avons de nombreux témoignages en ce sens, par exemple ici ou là. Un DPO de collectivités locales nous confiait encore récemment que les municipalités qu’il accompagne ne font même plus du tout d’efforts de mise-en-conformité, les autres villes n’étant pas sanctionnées malgré les mêmes manquements existants depuis des années. Mise-en-conformité trop coûteuse par rapport au risque, négligeable à nul, encouru en pratique.
M. Moulin indique que la CNIL aurait des difficultés d’organisation de par notre réglementation nationale, que l’AEPD n’aurait pas de son côté.
La CNIL n’a pourtant eu aucune difficulté pour trouver des députés et des sénateurs et faire modifier en urgence la législation pour ne plus avoir à rendre de comptes aux citoyens qu’elle est supposée défendre et protéger.
Elle sait aussi profiter de sa « large marge de manœuvre et pouvoir d’appréciation », à de nombreuses reprises confirmés par le Conseil d’État, choses qu’elle détourne très fréquemment pour clôturer abusivement et sans sanction des plaintes qui lui sont soumises. Elle a aussi toute latitude pour modifier son règlement intérieur si celui-ci empêche une bonne protection des droits des personnes concernées.
Enfin, sur l’accompagnement juridique réalisé par la CNIL, nous sommes aussi très dubitatif sur le sens qu’il prend en pratique.
En effet, nous avons déjà constaté ce qu’il en était lors de l’accompagnement de la société Valiuz, où la CNIL participe à maintenir un système extrêmement traçant et intrusif et fondamentalement illicite. Ou encore la CNIL en incapacité de répondre correctement et dans des délais décents à des questions basiques posées par un DPO.
Nous avons déjà fait condamner par la CNIL plusieurs sociétés précédemment « accompagnées » par elle-même et dont elle n’avait apparemment pas réussi à mettre réellement en conformité les traitements.
Nous avons enfin connaissance de concertations ou consultations restreintes avec des entités du secteur du commerce ou de la presse, dont la teneur va littéralement à l’encontre des lignes directrices du CEPD et servent actuellement plus à maintenir opérationnels des traitements illicites qu’à les rendre conformes (c’est-à-dire les interdire pour certains sinon une majorité).
Cet accompagnement ressemble au final plus à ce que nous qualifierions de blanchiment de traitements illicites et de comment contourner au mieux la loi pour maintenir à flot des entreprises violant manifestement la réglementation en vigeur, le tout financé par nos impôts et dans le seul intérêt des entreprises commerciales recourant gracieusement aux services de la CNIL, et non celui de la protection des droits des personnes concernées.
Cette entrevue illustre bien l’état d’esprit actuel de la CNIL, que nous dénonçons effectivement depuis plusieurs mois et qui a d’ailleurs conduit à la création de notre association. Et d’après les dires de son Secrétaire Général Adjoint, la situation n’est a priori pas prête de changer… PURR a de beaux jours devant elle…