Rapport de la Cour des comptes sur la CNIL à l’initiative de PURR

En septembre 2024, PURR proposait à la Cour des comptes d’auditer le budget de la CNIL.

En ce début juin 2026, la Cour a publié son rapport. Pour certains indicateurs, celui-ci se réfère au Projet annuel de performance.

Nous rejoignons les constats de la Cour sur le traitement des réclamations, ce qui est d’ailleurs notre grief principal contre notre Autorité de Contrôle :

• L’âge moyen (376 jours au 01/09/2025) et le stock des réclamations (> 10 000 au 01/09/2025) sont en hausse. Exposer que la CNIL peine à y faire face est un doux euphémisme. Les réductions ponctuelles sont artificielles : une clôture arbitraire et silencieuse de 3 750 plaintes en 2021, et des clôtures de séries de plaintes (réforme des retraites fin 2023 ; Free en 2026). Pourtant, en 2022, en nombre de plaintes par habitant, la CNIL se classait 20^ème sur 29 États européens.

• La durée de traitement des réclamations recevables, 309 jours en moyenne en 2024, est excessive dès lors que la réaction la plus commune du Service de l’exercice des droits et des plaintes est le rappel aux obligations, c’est-à-dire un courriel-type informel n’appelant aucune réponse. Dans ce contexte, comment expliquer la productivité de ce service (grosso-modo 475 courriels-type/agent/an en 2024…) et sa relative stabilité depuis 2019 ? Comment expliquer qu’ils émettent de tels rappels banaux alors qu’il s’agit de l’une des missions du prestataire ?

• Le délai avant la première réponse sur une plainte recevable, au-delà de 100 jours, n’est pas conforme à la législation qui prévoit une réponse sous 90 jours.

• Au demeurant, les points précédents illustrent que les indicateurs prévus par la loi de finances ne sont pas pertinents en ce qu’ils confondent les réclamations recevables et irrecevables, ce qui a pour effet, comme le note la Cour, de réduire artificiellement les durées de réponse et de traitement.

• Nous n’acceptons pas la révision à la baisse de la cible de l’indicateur relatif à l’effectivité des mises en demeure. Ce faisant, rien n’incite la CNIL à calibrer son action répressive en fonction des résultats réels obtenus.

• Comme nous l’avons toujours constaté, les outils de la CNIL sont déficients. Le rapport de la Cour confirme l’intégralité de notre analyse de la situation depuis plusieurs années. Ces outils ne permettent pas de distinguer les réclamations du stock de celles en cours de contrôle ou de sanction, et donc de calculer le délai de traitement des plaintes ayant donné lieu à une mesure correctrice. La CNIL ne comptabilise pas le nombre de rappels aux obligations légales (nous l’avons su via une « demande CADA »), ni ne documente les raisons de la clôture d’une réclamation. « Il n’est donc pas possible d’analyser de manière fiable le traitement de la grande majorité des plaintes recevables, en termes d’objet, de suites données et de délais de traitement. ». La Présidente de la CNIL reconnaît des carences dans le pilotage des réclamations.

• La CNIL ne dispose pas d’une doctrine pour traiter les plaintes et les prioriser. D’après nos constats, la CNIL ne recherche pas les antécédents d’un mis en cause, ni ne regroupe les réclamations visant une même entité (hors séries exceptionnelles comme Free), ni ne recherche la cohérence globale de son action répressive. En réponse à une « demande CADA », la CNIL nous a informés ne pas être en capacité de détecter les récidives, c’est-à-dire les plaintes déposées suite à une action restée vaine déclenchée par une réclamation antérieure.

• Il est regrettable que la CNIL ne prévoit pas de modifier le volume des contrôles annuels, alors que, comme l’expose à demi-mots la Cour des comptes, les rappels aux obligations ont pour finalité d’adapter le flux de plaintes à la capacité de traitement de la Direction des contrôles et des sanctions et de la Formation Restreinte, au lieu de dimensionner les contrôles et sanctions aux manquements commis.

• La Cour des comptes met en lumière une clôture arbitraire de 3 750 plaintes en 2021. Plusieurs plaignants n’ont pas été notifiés de la clôture et ne l’ont appris qu’après une « demande CADA », la CNIL n’ayant pas, en 2022, répondu à leur demande d’avancement. La CNIL se prévaut de l’ancienneté des dossiers. Or, certains dataient de seulement fin 2020. La CNIL se prévaut aussi de la faiblesse des enjeux abordés. Les plaintes en question concernaient pourtant des problématiques de conservation abusives de données (par exemple durant plus de 5 ans après un devis sans suite), du non-respect de l’exercice d’un droit d’opposition à la prospection commerciale, l’absence de réponse dans le délai légal à un exercice de droits d’accès. C’est-à-dire l’essence-même du RGPD, les articles fondamentaux de la réglementation. Un tel dénigrement des plaintes en question par la CNIL en dit très long sur le peu de considération de la CNIL pour les Personnes Concernées et le respect des droits individuels fondamentaux prévus par la réglementation.

• Constater que deux personnes (le greffe de la CNIL et une personne mise à disposition par un prestataire) ont traité, par scénarios prédéfinis et rappels aux obligations, 35 % des réclamations clôturées en 2024 pour seulement environ 200 k€, laisse songeur sur le budget total et la productivité. Nos membres peuvent de plus témoigner de scénarios inadaptés ou portant sur un sous-ensemble des griefs d’une plainte, manquement que malheureusement la Cour ne pouvait pas identifier. Exemples : rappel aux obligations en matière de prospection commerciale pour des communications qui n’en relèvent pas ; rappel en matière d’utilisation d’images de traçage dans un courriel quand la plainte fait également grief d’une insuffisante sécurité des données ayant conduit à leur piratage ou d’une revente illicite massive de données à des data brokers.

La Cour reconnaît une bonne gestion globale des moyens mis à disposition de la CNIL.

Le rapport ne s’étend cependant pas dans le détail sur cette bonne gestion, alors que les missions de la CNIL sont justement très vastes et ont vocation à l’être de plus en plus (IA Act, gouvernance des données, loi SREN…), comme pointé par ce rapport.

En particulier concernant la section plainte et contrôle, nous pensons que la CNIL n’a pas les moyens adéquats pour diligenter des contrôles ni adopter un nombre significatif de mesures correctrices et de sanctions à même de produire une véritable protection de la vie privée. Cette section est au contraire présentée comme peu dotée dans le rapport (seulement 60 agents), alors qu’il s’agit d’une mission critique de notre Autorité de Contrôle.

À ce titre, nous soutiendrions la proposition d’un temps plein pour certains commissaires, à la condition qu’ils soient affectés à la formation restreinte, ou plus largement, aux mesures correctrices (dont les sanctions), ce que la CNIL refuse, envisageant des temps pleins uniquement pour le Règlement européen sur l’IA…

De manière générale, nous pensons que la CNIL n’a pas les moyens pour faire face à la diversification incessante de ses missions et qu’il existe un réel décalage entre les moyens engagés et les résultats obtenus, notamment sur le versant répressif.

Concernant les autres sujets :

• Nous partageons le constat d’une nécessaire cartographie actualisée, par la CNIL, des fichiers mis en œuvre par l’État et des Délégués à la protection des données (DPO). Les DPO membres ou proches de notre association ont déjà signalé à la CNIL, à plusieurs reprises, un manque de qualité des données relatives aux DPO, et un processus défectueux de mise à jour (notamment, un DPO peut s’enregistrer pour des entités dont il n’a pas ou plus la charge).

• Ces mêmes DPO nous remontent un constat similaire à celui dressé par la Cour : les circuits de diffusion de l’information par la CNIL ne sont pas clairs ; difficulté pour obtenir une position éclairante et qualitative de la CNIL sur des demandes précises (au-delà de réponse-type, de rappels de législation sans adaptation au contexte), notamment dans un délai compatible avec celui qui leur incombe pour répondre à un exercice des droits. La Cour se contente de relever que la CNIL manque des appels téléphoniques et ne conserve ni les questions posées, ni les réponses apportées, sans aborder, là-encore, l’aspect qualitatif.

• Il nous paraît hautement crédible que les citoyens aient une mauvaise opinion de la CNIL. L’enquête de notoriété de 2021 fait ressortir un score (6,1/10) en-deça de celui correspondant à une opinion satisfaisante (>= 7/10). Sur les trois dernières années, postérieurement à cette enquête, le nombre de fuites massives de données est en hausse, sans action répressive forte et continue de la CNIL, ce qui a très probablement encore égratigné l’image de la CNIL auprès du public. De manière générale, les personnes concernées qui nous contactent sont désabusées et blasées par l’absence de traitement effectif de leurs réclamations (irrecevabilité de facilité, rappel aux obligations de facilité, …). Les DPO le sont tout autant par l’absence de soutien et de qualité des réponses de la CNIL. Les réseaux sociaux témoignent également de cette insatisfaction.

• Nous invitons la Cour des comptes à modérer son appréciation sur la rareté des profils dont devrait pouvoir bénéficier la CNIL pour mener à bien ses missions, notamment la double compétence en droit et en informatique. Ces profils, dont la CNIL devrait se doter en plus grand nombre, justifient une politique de CDI systématique (voire de fonctionnariat) et une rémunération attrayante par dérogation au reste de l’administration centrale.

• Nous ne partageons pas l’avis non-étayé de la Cour selon lequel « le niveau de protection des données personnelles historiquement élevé en France » ni le fait que la numérisation de la société française serait modérée ou en cours (la CNIL a été créée en 1978 pour, entre autres, faire face à cette numérisation).