Marie-Laure Denis, Présidente de la CNIL, a donné ce 28 mars une interview dans le podcast Quid Juris, que vous pouvez retrouver ici.
Notre Association souhaite réagir aux très nombreuses contrevérités tenues lors de cet interview, d’autant plus qu’elles correspondent justement aux griefs que nous portons à l’encontre de la CNIL et qui conduit à son inefficacité chronique.
À 5:07, Marie-Laure Denis soutient ainsi que « la CNIL peut naturellement et doit même s’auto-saisir indépendamment des plaintes qu’elle instruit en fonction des problématiques qui lui sont remontées ou qui lui paraissent importantes ».
Or notre Association ou des Personnes Concernées ont déjà signalé à la CNIL des manquements graves à la législation en vigueur, sans que la CNIL n’accepte jamais de s’emparer du problème.
Au contraire, les services de la CNIL rejettent régulièrement des saisines au motif qu’il n’est pas démontré que le plaignant serait directement Personne Concernée, sans pour autant en profiter pour s’auto-saisir du sujet.
Tous motifs confondus, PURR ou des Personnes Concernées n’ont pas obtenu de suite sur, par exemple, les lunettes Meta Ray-Ban, les bandeaux cookies Gimii, les caisses enregistreuses embarquant des caméras et de l’intelligence artificielle, ou encore les médecins et les pharmacies persistant à recourir à des adresses emails de GAFAM pour recevoir des données de santé.
Notre Association a, à de nombreuses reprises, interrogé la CNIL sur sa capacité d’auto-saisie, mais nous n’avons jamais vu la moindre action en ce sens de notre Autorité de Contrôle.
À 5:41, Marie-Laure Denis déclare que « La philosophie de la CNIL, en ce qui concerne les sanctions, […] c’est la mise en conformité. On ne cherche pas à sanctionner pour sanctionner. ».
À 9:38, elle poursuit en soutenant que « On prononce des sanctions toujours en veillant à la proportionnalité de celles-ci. […] on cherche donc la proportionnalité, mais aussi la dissuasion. »
Enfin à 11:01, elle indique que « La seule chose qui compte pour nous, c’est de protéger la vie privée numérique des Français et d’augmenter le niveau de conformité. »
Notre Association ne peut ici aussi que s’opposer à de tels propos puisque les sanctions de la CNIL, à déjà supposer qu’elle en rende (moins de 170 mesures correctrices adoptées chaque année pour 20 000 plaintes), conduisent, dans l’écrasante majorité des cas, à la poursuite des manquements.
Les sanctions rendues sont en effet tellement insignifiantes qu’en pratique les Responsables de Traitement conservent tout intérêt à maintenir les manquements et à attendre une nouvelle (non-)sanction qu’à investir pour se mettre en conformité ou à abolir les traitements qui ne peuvent pas être conformes par nature.
Notre Association ne compte plus les cas de récidives : Bouygues Telecom, Décathlon, le groupe BPCE, la commune de Kourou, M. le Député Julien Bayou, France Travail…
Ce problème de la non-dissuasion, voire de l’incitation à maintenir les violations, des sanctions de la CNIL est le grief principal porté par notre Association à l’encontre des pratiques de la CNIL.
À 9:44, Marie-Laure Denis déclare à nouveau « Pour les très grands acteurs il faut veiller à ce qu’ils n’achètent pas, en quelque sorte, leur non-conformité. Il faut que la sanction soit dissuasive par rapport aux gains qu’ils ont attirés. »
Une fois encore, notre Association démontre en permanence que les (non-)sanctions prononcées par la CNIL permettent justement aux Responsables de Traitement d’acheter leur non-conformité.
CDiscount par exemple n’a, à aucun moment, été réellement sanctionné par la CNIL, bien que notre Autorité de Contrôle ait été notifiée par un lanceur d’alerte que cette entreprise revendait en toute connaissance de cause et en toute illégalité l’intégralité de sa base cliente.
(Non-)sanctionnée d’une simple mise en demeure de revoir ses formulaires d’inscription, CDiscount n’a subit aucune sanction réelle, encore moins pécuniaire, et a ainsi pu conserver l’intégralité du bénéfice retiré.
Quel message la CNIL peut-elle espérer d’une telle absence de sanction que celui de pouvoir poursuivre des activités illicites très lucratives en attendant une éventuelle (non-)sanction au bout de presque une décennie de traitement illicite ?
Aujourd’hui, et ceci nous est remonté par de très nombreux DPO, la peur de la CNIL est totalement inexistante chez les Responsables de Traitement et il reste toujours extrêmement plus rentable d’ignorer la législation en vigueur, de ne pas investir en termes de conformité tout en générant des bénéfices conséquents de traitements illicites. Voir également le rapport de NOYB, page 16, sur la nécessité d’amendes importantes.
À 17:20, Marie-Laure Denis déclare que « On sensibilise également les personnes et donc un petit truc très facile, vous allez en haut à droite, en un clic, le continuer sans accepter, ça veut dire je refuse, ça prend très peu de temps. »
À 18:08, elle poursuit par « ça permet très rapidement […] d’aboutir, d’avoir fixé un cadre juridique et de s’assurer qu’il est respecté ».
De tels propos sont une fois encore sidérants.
D’une part, notre Association porte un recours devant le Conseil d’État pour tenter de faire reconnaître en France la position de la plupart des autres Autorités de Contrôle (autre source) qu’une telle option « continuer sans accepter » en haut à droite est manifestement visuellement moins attrayante que celle d’acceptation et donc constitue une infraction à la réglementation.
D’autre part, alors que notre Association a lancé une vaste campagne de plaintes à notre Autorité de Contrôle en ce qui concerne la légalité des bandeaux cookies, la CNIL a dû se résigner à sanctionner l’intégralité des Responsables de Traitement au travers d’une vingtaine de mises en demeure, autant de réclamations étant encore en cours de traitement et devraient, par suite logique, conduire au même résultat.
La Présidente de la CNIL se félicite donc d’avoir ses services qui ont participé à concevoir et à maintenir des pratiques massivement illicites de par sa propre recommandation préconisant des solutions non conformes, recommandation qu’elle refuse toujours d’abroger.
Elle ne trouve rien à redire non plus concernant l’action de l’Autorité de Contrôle dont elle a la charge qui n’a jamais sanctionné pendant une décennie des bannières cookies illégales, exposant des millions de Personnes Concernées à des consentements extorqués et illicites…
Pour rappel, en juin 2025, le Secrétaire général adjoint de la CNIL nous écrivait que les très nombreuses fuites massives de données personnelles de ces dernières années sont dues à des attaques « de plus en plus sophistiquées »… Avant d’être contredit, tout d’abord le lendemain par la fuite massive de l’UNSS, causée par un mot de passe archaïque, puis début 2026, par sa propre Présidente lors d’une audition à l’Assemblée nationale, qui y a déclaré que 80 % des fuites auraient pu être évitées par une mesure de sécurité pourtant élémentaire qu’est l’authentification multifacteur.
Cet épisode permet d’apprécier le niveau de déni des principaux responsables de la CNIL.
Notre Association demande à nouveau à la CNIL de sortir du déni total dans lequel elle se trouve et de constater la triste réalité de la non-conformité ambiante des Responsables de Traitement, non conformité permise et maintenue par l’inaction de notre Autorité de Contrôle.
Notre Association n’existerait tout simplement pas si les propos de la Présidente de la CNIL correspondaient à la réalité que nous constatons au quotidien.