Notre association a pris connaissance du poisson d’avril de la CNIL et a aussi reçu des signalements de personnes concernées interloquées par celui-ci.
Nous avons contacté la CNIL pour exprimer notre mécontentement et le sentiment de peu de considération qu’elle laisse paraître à travers ce type de communication.
Ci-après le mail envoyé ce jour à la CNIL par notre association.
Monsieur le Secrétaire Général Adjoint,
Notre association souhaite réagir au poisson d’avril de cette année publié par votre Commission (https://www.cnil.fr/fr/comment-faire-la-une-des-journaux-grace-au-rgpd-et-une-violation-de-donnees).
Tout comme <xxx>, membre du CA, vous l’avait déjà remonté à titre personnel suite à votre programme des journées RGPD du 04 décembre 2024, notre Association souhaite à nouveau faire remonter à votre Commission que ce type de communication est au mieux malaisante et maladroite, au pire laisse transparaître un profond mépris des Personnes Concernées alors qu’elle est supposée en être la protectrice de leurs droits. Plusieurs Personnes Concernées nous ont aussi fait remonter avoir été interloquées par cette communication et avoir ressenti une gêne ou un malaise.
Votre Commission, par son éternel et légendaire laxisme, ne contribue pas à juguler les fuites massives survenant quasiment chaque jour (déjà 34 publiées depuis le début d’année). Les violations commises par les Responsables de Traitement, que vous faites passer comme une blague de poisson d’avril, sont au contraire des réalités que nous constatons chaque jour.
Oui, les Responsables de Traitement ne donnent aucun moyen à leur DSI, DPO et RSSI. Les DPO vous le remontent chaque jour et ce constat avait été à l’origine, fin 2024, d’une première pétition contre votre Commission, qui avait récolté plus de 5 000 signatures.
Oui, les Responsables de Traitement ne déploient aucun IAM ou SIEM et ne surveillent pas leurs infrastructures. L’exfiltration de millions de données et la découverte de la fuite exclusivement à la publication des données, souvent plusieurs mois après la compromission, en sont la preuve.
Oui, les Responsables de Traitement n’auditent aucun de leurs sous-traitants. Oui, les Responsables de Traitement n’ont aucune politique de mots de passe, de compte dédié, de cloisonnement ou d’isolation. Oui, les Responsables de Traitement ne notifient pas la CNIL et les Personnes Concernées dans les délais. Oui, les Responsables de Traitement exposent toutes leurs interfaces d’administration sur Internet. En résumé, oui, les Responsables de Traitement n’adoptent pas une démarche de conformité au RGPD et ne la prenne pas en compte dans leurs décisions. Vous êtes saisis de centaines voire de milliers de plaintes à ces sujets.
La seule chose qui est véritablement faux dans votre poisson d’avril est que le Responsable de Traitement le fait pour des motifs de publicité facile. Effectivement, il le fait parce qu’il sait qu’il n’a strictement rien à craindre de votre Commission, donc qu’il ne sert à rien d’investir dans la conformité. Et tout le monde le sait (plusieurs de nos membres sont ingénieurs en informatique et exercent autant dans le privé que le public).
Une nouvelle fois, notre Association attend de votre Commission d’avoir beaucoup plus de considération à l’endroit des Personnes Concernées qu’elle est supposée défendre, mais surtout l’adoption de mesures correctrices adéquates et proportionnées concernant des violations dont vous avez parfaitement connaissance et que vous refusez éternellement de sanctionner. Idem pour les manquements aux principes clés du RGPD (minimisation, durée limitée de conservation, protection dès la conception et sécurité, etc), objets de réclamations récurrentes.
Ce poisson d’avril aurait dû en être réellement un. Il n’est malheureusement que le triste constat de l’inefficacité de votre Commission.