Pour fêter la sixième bougie du RGPD, la Commission européenne a lancé un « appel à contributions » afin d’obtenir les avis des citoyens et des organismes européens sur la manière dont les règles sont appliquées.

En tant que membre actif dans le domaine de la protection des données, aussi bien comme commentateur, pour avoir expliqué et analysé les principales décisions des autorités européennes de protection des données, qu’en tant qu’acteur, pour avoir activement milité pour une meilleure protection des internautes, il est probablement mon devoir de participer à cette initiative et de tenter d’influencer la Commission vers une application des textes plus protectrice des européens.

Cette contribution, composée d’un bilan et de 14 recommendations, tente modestement de contrebalancer les contributions d’entreprises et de lobbyistes peu scrupuleux des droits et des intérêts des citoyens.

Résumé de la consultation

Le Règlement général sur la protection des données (RGPD) est entré en application 2018, c’est-à-dire il y a six ans. Si ce texte a eu pour conséquence de mettre sur le devant de la scène les traitements de données à caractère personnel et d’insister sur la nécessité d’une utilisation raisonnée et maitrisée des données, le texte n’a pas limité les traitements de données les plus intrusifs.

Malgré un texte relativement simple et compréhensible, même pour les personnes avec pas ou peu de qualifications juridiques, des dysfonctionnements majeurs empêchent les citoyens de bénéficier des bienfaits de ce texte.

Le principal dysfonctionnement provient des autorités nationales de contrôle – la CNIL en France. La CNIL n’a pas réussi à créer un environnement incitant les entreprises et collectivités à se mettre en conformité. L’absence de contrôles et de sanctions, l’absence de traitement réel des plaintes des citoyens, un travail pédagogique d’une qualité médiocre, une passivité trop importante, particulièrement sur les sujets les plus essentiels, et une trop grande opacité de l’autorité nationale ne permettent pas aux responsables de traitement de justifier des travaux, coûteux mais nécessaires, pour maîtriser leurs traitements de données.

Le second dysfonctionnement est la politisation, voire la corruption, des instances, aussi bien des autorités nationales que de la Commission européenne. Les décisions d’adéquation de la Commission européenne avec les États-Unis, finalement annulées par la Cour de justice de l’Union européenne (CJUE), en sont un parfait exemple. Les travaux très douteux de l’autorité nationale d’Irlande (DPC), en charge du contrôle des GAFAM, est un second exemple. La clémence de la CNIL envers les entreprises françaises est un dernier exemple.

Enfin, le troisième dysfonctionnement concerne l’absence de décisions fermes des autorités nationales concernant les principales dérives, notamment les cookie-walls et les bannières de consentement aux cookies des sites Web et applications mobiles.

Concernant les défaillances des autorités de contrôle

En France, la CNIL est l’autorité en charge du respect du RGPD. Elle est également en charge, de manière plus générale, de l’information des personnes et des responsables de traitement, ainsi que de la bonne application des textes, européens et français, relatifs à la protection des données.

Concernant la mission d’information, l’absence d’une information claire et concise empêche les responsables de traitement, particulièrement les entreprises qui ne sont pas dotées d’un service juridique dédié, d’obtenir une réponse claire et rapide à leurs questions, même les plus courantes.

Les informations de la CNIL sont communiquées dans des articles postés sur le site Web – pendant un temps limité –, dans des lignes directives et dans des recommandations. La subjectivité excessive des informations empêche toutefois de comprendre simplement ce qui est autorisé et ce qui est interdit.

La CNIL propose également aux responsables de traitement de la contacter par message électronique ou par téléphone. En réponse à un message électronique, la CNIL informe toutefois l’émetteur qu’« une réponse sera apportée dans un délai moyen de 60 jours » et la réponse est bien souvent peu explicite. Suite à un appel téléphonique, les réponses apportées sont bien souvent approximatives et invitent rapidement l’interlocuteur à faire une demande écrite.

RECOMMANDATION N° 1 : Les autorités nationales devraient proposer des réponses simples aux questions et aux besoins courants des entreprises, particulièrement les plus petites ou les entreprises de taille intermédiaire.

Concernant la bonne application des lois, l’absence de contrôles fréquents et de sanctions réelles de la CNIL ne permet pas aux responsables de traitement de justifier de coûteux travaux de transformation du système d’information et de protection des données.

Le choix des organismes contrôlés est également incompréhensible et injuste. Les entreprises dont le cœur de métier est le traitement d’un grand volume de données ou le traitement de données sensibles ne sont pas ou peu contrôlés. Certaines entreprises très mineures l’ont toutefois été, comme un éditeur d’un site de voyance et une entreprise traitant les données de quelques ressortissants chinois.

De manière générale, les quelques sanctions prononcées concernent essentiellement des gros acteurs américains. Seules quelques sociétés françaises ont été sanctionnées. Les sanctions ont toutefois été bien inférieures aux gains engrangés par ces sociétés en violant la règlementation, et n’ont parfois pas été suivies d’une mise en conformité.

RECOMMANDATION N° 2 : Les autorités nationales devraient contrôler en priorité les entreprises traitant un grand volume de données ou des données sensibles.

RECOMMANDATION N° 3 : Les autorités nationales devraient émettre des sanctions proportionnées, au moins équivalentes aux gains illégalement acquis.

RECOMMANDATION N° 4 : Les autorités nationales devraient exiger systématiquement la mise en confirmité des responsables de traitements.

Concernant le traitement des plaintes, la CNIL est destinataire d’environ 15 000 plaintes par an. Le traitement de ces plaintes n’est toutefois pas réellement effectué. La très grande majorité des plaintes est clôturée, sans réelle instruction et malgré la persistance des manquements rapportés. Une autre partie des plaintes n’est simplement pas traitée et restent ouvertes, sans information, pendant des années.

Le système judiciaire français ne permet pas aisément de faire appel de ces décisions, car l’accès aux tribunaux est coûteux, en termes de temps et de ressources, et car le plaignant n’a pas accès aux éléments du dossier.

RECOMMANDATION N° 5 : Les autorités nationales devraient clôturer les plaintes uniquement lorsque le manquement rapporté cesse.

RECOMMANDATION N° 6 : Les autorités nationales devraient communiquer les éléments relatifs à la plainte au plaignant pour lui permettre de juger la pertinence de la réponse apportée et la nécessité de faire appel.

RECOMMANDATION N° 7 : Une voie de recours aisée et peu coûteuse devrait être proposée aux plaignants.

RECOMMANDATION N° 8 : Les autorités nationales devraient traiter les plaintes dans un temps prédéfini.

Concernant l’opacité de la CNIL, l’« accompagnement » de certaines entreprises, privilégiées, est réalisé dans l’ombre. Ces travaux d’accompagnement permettent pourtant aux entreprises sélectionnées de bénéficier d’une immunité. Ce favoritisme est injuste et injustifié.

Les sanctions prises contre certains organismes sont, également, très rarement, rendues publiques, ce qui ne permet pas aux citoyens de privilégier les organismes respecteux de leurs données et ne permet pas de construire une jurisprudence.

RECOMMANDATION N° 9 : Les autorités nationales devraient expliquer, de manière détaillée, les travaux effectués auprès des entreprises accompagnées, et rendre public le contenu des travaux.

RECOMMANDATION N° 10 : Les autorités nationales devrait rendre publiques les sanctions prononcées.

Concernant la politisation des instances

Le RGPD a introduit un niveau de protection important des données à caractère personnel des européens. Cette protection a toutefois été sabotée par la Commission européenne en autorisant, de manière injustifiée et à deux reprises, les transferts de données avec les États-Unis.

Les décisions incohérentes de l’autorité nationale d’Irlande, où se situent les sièges des grandes entreprises technologiques américaines, sabotent également la protection des européens.

En France, la CNIL s’est également montrée particulièrement clémente vis-à-vis des grandes entreprises françaises, par exemple envers la société Accor.

RECOMMANDATION N° 11 : L’introduction d’une décision d’adéquation, particulièrement avec les États-Unis, devrait être plus transparente, devrait tenir compte des avis des instances consultatives, et devrait être évaluée par une instance extérieure et neutre (comme la CJUE).

RECOMMANDATION N° 12 : Le contrôle des entreprises traitant le plus de données à caractère personnel ne devrait pas être réalisé par une instance nationale, mais par une instance composée de représentants de chaque nation, à l’image de l’EDPB.

Concernant les principales dérives

Les cookie-walls sont contraires à l’esprit du RGPD, car ils considèrent les données à caractère personnel comme une monnaie d’échange. Leur utilisation et leur multiplication démontrent l’incapacité des autorités nationales d’appliquer la règlementation.

De même, les bannières de pseudo-consentement qui polluent le Web montrent que les responsables de traitement sont incapables de comprendre les traitements de données réellement effectués, et qu’ils sont prêts à recourir à des pratiques très douteuses, avec le soutien d’organismes lobbyistes, pour tenter de tromper les européens.

RECOMMANDATION N° 13 : Les cookie-walls devraient être interdits.

RECOMMANDATION N° 14 : Les éditeurs devraient obligatoirement prendre en compte le signal (DoNotTrack par exemple) envoyé par les navigateurs comme une opposition à l’utilisation de cookies non essentiels.

Sigles et acronymes
  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • RGPD : Règlement Général sur la Protection des Données