En octobre 2024, vous aviez été plus d’un millier à signer une lettre ouverte à destination de la CNIL lui demandant une profonde restructuration de ses services, ceci afin de veiller à la protection de vos droits, qui est pourtant la mission principale de la CNIL qu’elle refuse en pratique de mettre en œuvre.
La CNIL était restée dans son déni habituel, refusant notre demande en nous soutenant que tout allait pour le mieux.
Un an plus tard, le bilan est catastrophique. Faute d’action de la part de la CNIL, aucun Responsable de Traitement n’envisage sérieusement le moindre investissement en particulier en termes de sécurisation des données, ce qui conduit actuellement à un déluge de fuites de données.
La CNIL identifie pourtant parfaitement le problème : l’auto-régulation des entreprises ne fonctionne pas (page 2). Notre Autorité de Contrôle se refuse cependant toujours à agir et n’émet toujours pas de sanctions réellement dissuasives, laissant plus intéressant pour les entreprises de violer la législation en sachant ne risquer aucune sanction en pratique que de réaliser les investissements nécessaires à assurer la protection de nos données (20 à 66% d’investissement manquant pour assurer une sécurité ne serait-ce que correcte).
Les arguments avancés par la CNIL pour ne pas agir sont de plus totalement lunaires.
Contacté par notre Association le 16 juin dernier au sujet des cyber-attaques récurrentes, le Secrétaire Général Adjoint de la CNIL nous répondait que ces attaques étaient « de plus en plus sophistiquées ». Le lendemain, c’était 8 millions de mineurs touchés par la fuite de l’UNSS, causé par l’usage d’un mot de passe « france-98 » par un administrateur, soit des défauts de sécurité qui ne devraient plus exister depuis plus de 20 ans (mot de passe faible, absence de 2FA, interface administrateur accessible depuis l’extérieur…).
De même, dans le rapport cyber-attaque cité précédemment, la CNIL indique que le RGPD serait « économiquement bénéfique », en comptant comme « gain »… ce que les pirates n’ont pas pu gagner « grâce » aux notifications de violations de données transmises aux Personnes Concernées… qui ont ainsi pu prendre des mesures pour se protéger des usages abusifs ultérieurs de leurs données. Toujours absolument aucun effort demandé donc aux Responsables de Traitement maltraitant sans cesse nos données.
La solution de la CNIL à nos problèmes ? « Souscrivez une assurance ». Littéralement payer pour atténuer la défaillance de ses services à assurer sa mission de protéger nos données donc.
À nouveau, nous appelons donc la CNIL à refondre ses procédures de manière à assurer la sécurité de nos données, et ici en particulier à faire en sorte, par l’émission de sanctions dissuasives, d’imposer aux entreprises le respect des obligations de sécurité imposées par le RGPD.
Nous lançons donc une nouvelle lettre ouverte, que vous pouvez signer ici jusqu’au 1er janvier, et que nous transmettrons en votre nom à la CNIL.
PS : si vous vous demandez pourquoi il y a le 🇺🇸 sur les liens vers la CNIL, ce n’est pas une erreur, le site est hébergé par Cloudflare.