Chaque année, la CNIL participe à l’action coordonnée (CEF) du Comité européen à la protection des données (CEPD, qui rassemble l’ensemble des autorités de protection des données de l’UE, dont la CNIL) qui vise essentiellement, en pratique, à une étude et à de collecte d’information dans l’ensemble des États Membres autour d’un thème prédéfini.
PURR a déjà critiqué l’étude réalisée par la CNIL dans le CEF 2024 et les conclusions qu’elle en tirait. Cette étude 2024 portait sur le droit d’accès. La CNIL n’avait alors contrôlé que onze organismes, ce qui est très peu et ne permet aucunement de tirer de conclusions. Cela peut expliquer des conclusions à l’opposé du constat quotidiennement réalisé par notre association.
Nous avions ainsi invité la CNIL à être plus énergique durant le CEF 2026 portant sur le droit d’information, et nous lui avions fourni une liste d’une soixantaine de plaintes ouvertes chez elle sur le sujet.
Depuis, la CNIL a publié son bilan du CEF 2025 consacré au droit d’effacement.
La CNIL a donc questionné six organismes lors de contrôles, soit deux fois moins qu’en 2024 ! D’après le rapport du CEPD, c’est autant que le Danemark (qui compte pourtant 10 fois moins d’habitants que la France) ou le Luxembourg (100 fois moins), et bien derrière les grands pays d’Europe de l’Ouest (Portugal : 15 ; Espagne : 17 ; Italie : 42 ; Pays-Bas : 286 ; Suède : 20 ; Finlande : 61 ; Irlande : 40). Nous espérons que la CNIL n’est pas trop fatiguée ! La CNIL a remonté au CEPD qu’un semestre lui a été insuffisant, notamment pour interroger également des organismes publics. Forcément, quand on est accoutumée à la sieste depuis 1978…
Dès lors, avec un échantillon aussi faible, comment la CNIL pourrait-elle tirer la moindre conclusion sur la situation française et adapter sa régulation ?
Si l’essentiel de l’article de la CNIL est une traduction du résumé du rapport du CEPD, elle évoque un droit « globalement respecté » alors que le CEPD fait état d’un niveau de conformité moyen, et que les refus d’y satisfaire seraient appuyés sur les exceptions prévues par la RGPD, ce qui constitue une tautologie (un refus franc serait illicite).
Nos membres ne partagent pas du tout le même constat, la CNIL étant saisie de vingtaines de réclamations à ce sujet, d’ailleurs toujours en instruction depuis des mois voire des années. Le niveau de conformité en pratique est très faible sinon nul :
- absence totale de réponse : il est toujours nécessaire de relancer encore et encore, alors que la législation prévoit un délai maximal de seulement 30 jours ;
- flou sur ce qui sera conservé, pourquoi et combien de temps : certains DPO connaissent même parfois moins leur système d’information ou la législation que les Personnes Concernées dont ils traitent les données ;
- absence d’outils, de documentation interne , et de procédure (notamment d’une définition des durées de conservation et d’effacement automatique à terme) : les DPO invoquent toujours des délais supplémentaires nécessaires au motif que la demande serait « complexe » alors qu’en réalité ils n’ont juste jamais réfléchi à comment répondre à une demande de suppression avant de mettre en œuvre le traitement ;
- effacement ineffectif, avec un traitement ultérieur et une réapparition sauvage des données (que les organismes justifient toujours par l’« erreur ponctuelle » ou le « dysfonctionnement temporaire », alors que ces manquements sont chroniques et permanents, ce que la CNIL, saisie de dizaines de plaintes durant des années contredisant manifestement les responsables de traitement, ne relève jamais)
- effacement au contraire trop rapide, à réception d’une demande d’accès : le DPO n’a alors plus la possibilité de répondre correctement à la demande, puisque les données n’existent plus, et il est même suspecté que certaines suppressions sont en réalité sciemment commises pour empêcher la découverte d’autres violations ;
- même les organismes de grande taille ou ceux œuvrant dans l’informatique, voire dans la conformité RGPD, s’assoient sur le droit d’effacement.
Ce n’est pas de la sensibilisation dont les personnes concernées ont besoin, mais de mesures correctrices fortes, notamment des amendes, afin de contraindre les Responsables de Traitement à investir pour garantir le plein exercice de nos droits fondamentaux.
Néanmoins, puisque la CNIL raffole de la sensibilisation (cela permet des siestes plus amples), le CEPD relève que les responsables de traitement éprouveraient des difficultés à déterminer les durées de conservation (ce qui constitue un manquement au principe de responsabilité, mais passons). En janvier 2025, PURR a informé la CNIL qu’il en allait de même pour les personnes concernées, et que la documentation de la CNIL à ce sujet est imprécise, incomplète, inexistante (selon le secteur d’activité), voire qu’elle régresse (le référentiel 2022 à destination des pharmacies, par exemple). Malgré nos relances, y compris fin décembre 2025, nous n’avons pas obtenu de réponse.
En résumé, ni sanction, ni véritable sensibilisation, ni véritable étude, voilà les pratiques, malheureusement habituelles, de la CNIL.