La CNIL a aidé la société VALIUZ à réaliser un profilage de masse des Français, mais refuse de l’assumer

La CNIL a pour missions de s’assurer du bon respect des lois et réglementations relatives à la protection des données par les organismes et d’informer, ou conseiller, ces organismes. Si les mesures punitives et coercitives de la CNIL sont relativement connues, particulièrement grâce aux sanctions publiques à l’encontre des acteurs américains, ses travaux de conseil ou d’accompagnement le sont beaucoup moins. Ils sont pourtant très importants, car ils permettent à certains organismes privilégiés de bénéficier de ressources publiques et d’obtenir une certaine immunité.

La CNIL ne communique pas publiquement la liste des heureux élus, ni la nature des activités réalisées. Les travaux de votre serviteur ont toutefois permis de découvrir qu’une société dénommée Valiuz avait notamment bénéficié des ressources et des compétences pointues de la Commission. Cette société, inconnue du grand public, connaît très bien la population française et se vante même de « connaître probablement 100 % des foyers français » grâce à sa capacité d’agrégation des données de toutes les sociétés de son principal actionnaire, la famille Mulliez, une (très) riche famille française qui possède de nombreuses enseignes en France, notamment Auchan, Décathlon, Leroy Merlin, Boulanger, Kiabi, Electro Dépôt, Norauto, Saint Maclou, Alinea, Flunch, Pimkie, Jules, Bizzbee, Top Office et bien d’autres.

L’accompagnement d’une telle entreprise pendant des mois par la CNIL interroge. Pourquoi la CNIL a-t-elle jugé utile de consacrer une partie de son maigre budget – de 24 M€ annuel^[1] – pour aider la société Valiuz à profiler les français ? Quels travaux ont été réalisés ? Les prestations offertes par la CNIL à cette société Valiuz étaient-elles légitimes ? Si les réponses à ces questions ne sont pas encore très claires, l’enquête menée a permis de découvrir que la CNIL œuvre de manière douteuse, voire illégale, pour garder le secret sur ses activités et ne pas justifier ses choix, au détriment des Français qu’elle est censée protéger.

La découverte hasardeuse des travaux de la CNIL au bénéfice de la société Valiuz

L’histoire commence en janvier 2022, sur le site Web de l’enseigne Boulanger, plus précisément sur la page permettant de créer un compte personnel. Cette page contenait les champs habituels – nom, prénom, adresse, etc. –, mais aussi une case à cocher étrange en bas de page, après le bouton de création de compte. Cette case était associée au texte suivant : « Je m’oppose à l’utilisation de mes données dans le cadre des traitements tels que Valiuz, statistiques Oney, publicités ciblées en lien notamment avec les sociétés Facebook et Google, etc ».

Si le texte présenté ne permet pas de comprendre précisément les traitements réalisés, car la phrase contient des termes peu communs, comme « Valiuz » ou « statistiques Oney », et car les mots « tels que » et « en lien notamment » sont utilisés, certains mots clés peuvent être reconnus, notamment les noms des sociétés Facebook et Google, et les termes de « publicités ciblées », ce qui permet d’imaginer que des transferts de données vers des sociétés tierces sont réalisés à des fins de publicité ciblée. Ces traitements de données douteux sont, par ailleurs, réalisés en l’absence d’une action de la part de l’internaute, c’est-à-dire sans que l’internaute ne donne son consentement, et parfois sans qu’il ne le sache, lorsque l’internaute se contente de cliquer sur le bouton « Créer mon compte » sans avoir préalablement fait défiler la page jusqu’en bas par exemple.

Suite à la découverte de cette pratique condamnable, le délégué à la protection des données de la société Boulanger a été contacté pour obtenir des renseignements et obtenir la modification du dispositif. Les réponses de ce délégué n’ont toutefois pas permis de comprendre précisément les traitements réalisés, ni leur fondement légal, et n’ont pas, non plus, permis d’obtenir la modification du dispositif.

« Nous sommes attentifs à vos remarques pour améliorer la compréhension générale de nos clients et nous menons une réflexion sur l’évolution du dispositif d’information. »

Une plainte^[2] a alors été déposée à la CNIL pour que la société Boulanger fournisse une information claire et compréhensible, pour que la société obtienne le consentement préalable de ses clients avant de traiter leurs données à caractère personnel à des fins de publicité ciblée et pour que la société informe ses clients que leurs données ont été divulguées à des sociétés tierces sans leur consentement préalable.

Cette plainte a été clôturée par la CNIL trois mois plus tard, en avril 2022. Pour justifier sa clôture prématurée, sans statuer sur le fond et sans exiger une mise en conformité, la CNIL explique qu’« il est apparu que le traitement visé […] fait l’objet d’échanges et de travaux entre la société Boulanger et la Direction de l’accompagnement juridique de la CNIL », que « la société Boulanger a, avant la date de dépôt de la plainte, initié une démarche d’accompagnement dans la mise en place de ce traitement », et enfin que « ces travaux [d’accompagnement] sont toujours en cours au sein de la CNIL et ceux-ci peuvent conduire à des évolutions des caractéristiques fondamentales du traitement objet de votre plainte ».

On comprend de cette réponse que les traitements de données douteux effectués par la société Boulanger ont donc été implémentés avec l’aide de la CNIL, et que des « travaux » ont eu lieu entre la société et la CNIL, travaux qui ont débuté avant la place du dispositif et qui ont manifestement abouti à l’implémentation du dispositif litigeux. Plus surprenant encore, on peut conclure de cette réponse que « l’accompagnement juridique » de la CNIL auprès de la société Boulanger conduit le service des plaintes de la CNIL à ne pas instruire la plainte, et à faire bénéficier la société Boulanger d’une certaine immunité sous prétexte que les traitements « peuvent évoluer ».

Un message a alors été envoyé à la CNIL pour en savoir plus sur cet « accompagnement juridique » accordant un tel privilège. La réponse n’a pas été décevante, car elle indique que l’accompagnement de la CNIL ne concerne, en réalité, pas la société Boulanger, mais « directement » la société Valiuz. Les informations communiquées par le service des plaintes pour justifier la clôture de la plainte étaient donc fausses. En d’autres termes, la CNIL a menti.

L’accompagnement offert par la CNIL aux organismes

Dans sa réponse, la CNIL a également précisé que les modalités de cet « accompagnement » offert à la société Valiuz sont expliquées dans une « charte d’accompagnement des professionnels » disponible en ligne^[3].

Dans cette charte, la CNIL indique qu’elle est publiée « dans une logique de transparence, et dans la mesure où cette mission s’exerce dans un contexte où ses ressources sont limitées », et qu’elle permet « d’exposer les grands principes guidant l’action d’accompagnement de la CNIL, sa méthode, mais aussi ses limites ». La CNIL précise également que « l’accompagnement offert par la CNIL s’exerce à trois niveaux : l’accompagnement général, sectoriel et individuel ». En résumé, il y a trois types d’accompagnement : un accompagnement général, un accompagnement sectoriel et un accompagnement individuel.

Par ailleurs et plus important peut-être, on apprend dans cette charte d’une part, que « quelle que soit sa forme, le conseil délivré par la CNIL n’est pas un « rescrit » au sens où l’accompagnement ne le « protège » pas pour autant d’une plainte ou d’une sanction par la suite » et d’autre part que « comme tout document administratif, les réponses aux demandes de conseil sont en principe communicables au public », même si « la CNIL pourrait être amenée à occulter toutes les informations couvertes par un secret [industriel ou commercial] pour préserver la confidentialité de ces informations ». Ces deux points sont très intéressants.

Concernant l’absence d’immunité, la clôture prématurée de la plainte, sous prétexte que la société bénéficie d’un accompagnement, permet d’affirmer que, contrairement aux engagements pris par la CNIL, l’accompagnement offert par la Commission permet bien à l’organisme de bénéficier de certains privilèges.

Concernant la communication des réponses de conseil au public, les travaux d’accompagnement réalisés par la CNIL sont considérés comme des « documents administratifs » et peuvent manifestement être demandés et consultés, sous certaines conditions. Cela peut paraître étonnant, mais dans la mesure où les documents ont été produits par des ressources publiques, avec l’argent public, il semble normal que les citoyens puissent y avoir accès.

Une demande d’accès à ces documents a alors été envoyée à la CNIL pour connaître la nature et le contenu des travaux réalisés par la CNIL auprès de la société Valiuz.

L’accès (très compliqué) aux travaux de la CNIL

Pour obtenir un document administratif, une demande d’accès aux documents administratifs doit être envoyée à l’organisme public qui a réalisé le document. L’organisme a alors un mois pour communiquer les documents demandés. S’il ne le fait pas, la demande est considérée tacitement refusée.

Une telle demande a été envoyée à la CNIL le 11 octobre 2023. Il a été demandé à la Commission de communiquer une copie de tous les documents relatifs à l’accompagnement de la CNIL auprès de la société Valiuz.

« Conformément à la législation relative à l’accès aux documents administratifs, je vous sollicite afin d’obtenir une copie de tous les documents relatifs à cet « accompagnement de la CNIL » auprès de la société VALIUZ. Ces documents concernent notamment :
- l’éventuelle demande de conseil de la société VALIUZ auprès de la CNIL, ainsi que ses annexes ;
- les échanges écrits entre la société VALIUZ et la CNIL, ainsi que les documents échangés ;
- les notes ou rapports rédigés par la CNIL ou pour le compte de la CNIL concernant l’accompagnement de la Commission auprès de la société VALIUZ ou les traitements de données de la société VALIUZ ; et
- les comptes rendus des réunions ou échanges auxquels ont participé la CNIL et des employés, conseillers ou représentants de la société VALIUZ.

Si la CNIL a confirmé la bonne réception de cette demande, elle s’est abstenue de communiquer les documents demandés, ce qui a fait naître une décision implicite de refus de sa part au bout d’un mois. En d’autres termes, la CNIL a refusé de communiquer les documents sans se justifier et sans même avoir la politesse de répondre.

Lorsqu’un organisme refuse de donner suite à une demande d’accès aux documents administratifs, il est possible de demander – gratuitement – un avis à la Commission d’Accès aux Documents Administratifs (CADA). Cet avis n’est qu’un avis consultatif. Il n’oblige pas l’organisme à communiquer des documents. Il permet toutefois d’avoir une première analyse juridique, aussi bien pour le demandeur que pour l’organisme, et est obligatoire avant de solliciter les tribunaux.

Une telle demande a été soumise à la CADA le 13 novembre 2023, c’est-à-dire juste après le délai légal d’un mois accordé à l’administration pour répondre aux demandes. La CADA a alors un mois pour se prononcer.

Dans le cas qui nous intéresse, la CADA s’est réunie le 14 décembre 2023 pour statuer, mais la vieille au soir, à 21 heures 11 très exactement, la CNIL s’est soudainement manifestée. Un e-mail a, en effet, été reçu de la Commission accompagné de deux documents :

• un courrier de deux pages de la société Valiuz, intitulé « demande d’accompagnement sectoriel », daté du 8 septembre 2021 et occulté de certaines mentions ; et
• une « présentation générale » des activités de la société Valiuz, qui a vraisemblablement été annexée au courrier et qui contient 37 diapos, dont 10 ont été entièrement occultées.

La CNIL précise par ailleurs que « certains des documents sollicités comportent des mentions dont nous estimons qu’elles doivent être occultées » et que « l’analyse d’impact relative à la protection des données (AIPD) transmise à la CNIL comporte également des mentions relevant du secret des affaires qu’il n’est pas possible d’occulter sans la rendre inintelligible, et la priver de tout intérêt ». En clair, les documents communiqués sont hautement biffés et l’analyse d’impact relative à protection des données, c’est-à-dire le document qui explique en détail les traitements de données effectués et leurs risques sur les personnes, devrait tellement être occulté qu’il n’aurait plus aucun intérêt à être communiqué.

Un courrier de demande accompagné d’une présentation et une analyse d’impact. Cela paraît très peu pour des travaux d’accompagnement qui ont vraisemblablement débuté à la rentrée de 2021 et qui étaient encore en cours en avril 2022. Cela voudrait dire que la CNIL n’a jamais répondu à la demande de la société Valiuz, qu’aucun document n’encadre la prestation et qu’aucun message écrit n’a été échangé entre la CNIL et la société Valiuz. La CNIL avait pourtant indiqué dans son message de clôture de plainte que les traitements de données ont « fait l’objet d’échanges et de travaux ». Où sont ces échanges et ces travaux ? La CNIL n’a manifestement pas tout dit.

Un message a alors été envoyé à la CADA le lendemain matin, le 14 décembre 2023, pour l’informer que les documents communiqués par la CNIL étaient incomplets et que la demande d’avis était, par conséquent, maintenue.

La CADA s’est finalement réunie le même jour et a communiqué son avis le 29 décembre 2023. Le voici :

« Monsieur Morgan SCHMIEDT a saisi la Commission d’accès aux documents administratifs, par courrier enregistré à son secrétariat le 13 novembre 2023, à la suite du refus opposé par la présidente de la Commission nationale de l’informatique et des libertés (CNIL) à sa demande de communication des documents relatifs à l’« accompagnement » effectué par la CNIL auprès de la société VALIUZ, à la suite d’une plainte relative aux traitements de données effectués par la société BOULANGER, notamment :
1) la demande de conseil de la société VALIUZ auprès de la CNIL, ainsi que ses annexes ;
2) les échanges écrits entre la société VALIUZ et la CNIL, ainsi que les documents échangés ;
3) les notes ou rapports rédigés par la CNIL ou pour le compte de la CNIL concernant l’accompagnement de la Commission auprès de la société VALIUZ ou les traitements de données de la société VALIUZ ;
4) les comptes rendus des réunions ou échanges auxquels ont participé la CNIL et des employés, conseillers ou représentants de la société VALIUZ.

La commission, qui a pris connaissance de la réponse exprimée par la présidente de la CNIL, rappelle que les documents produits et reçus par la CNIL dans le cadre de ses missions de service public sont des documents administratifs soumis au droit d’accès prévu par le livre III du code des relations entre le public et l’administration. Tel est le cas des dossiers relatifs aux plaintes que la CNIL reçoit dans le cadre de la mission prévue au d) du 2° de l’article 8 de la loi du 6 janvier 1978, à l’exclusion, d’une part, des pièces échangées avec l’autorité judiciaire et les juridictions dans le cadre des dispositions du e) et du f) du même 2° de l’article 8 et de l’article 41 de cette loi, qui revêtent un caractère judiciaire, et, d’autre part, des documents dont la communication est régie exclusivement par la loi du 6 janvier 1978, en particulier de ceux qui sont adressés par les responsables de traitement dans le cadre des procédures d’autorisation et de déclaration, qui ne sont pas soumis au droit d’accès prévu par le livre III du code des relations entre le public et l’administration.

En revanche, les documents adressés à la CNIL ou émis par cette dernière dans le cadre de la mission de conseil aux personnes et organismes définie au e) de l’article 8 de la loi du 6 janvier 1978, aux termes duquel la CNIL « conseille les personnes et organismes qui mettent en œuvre ou envisagent de mettre en œuvre des traitements automatisés de données à caractère personnel » sont soumis au droit d’accès prévu par le livre III du code des relations entre le public et l’administration.

En l’espèce, la commission comprend de la réponse qui lui a été adressée par la présidente de la CNIL que la société VALIUZ, spécialisée dans le traitement des données personnelles, a bénéficié de la part de la CNIL, d’une part, d’un accompagnement dit « sectoriel » en 2021 dans le cadre de la mission de conseil rappelée ci-dessus. Elle comprend que la société a sollicité, d’autre part, en 2023, un accompagnement dit « renforcé », qui lui a été refusé par décision de la CNIL du 4 mai 2023. Elle observe que, dès lors que cette seconde demande d’accompagnement a été définitivement rejetée, les documents reçus par la CNIL à cette occasion ne revêtent plus un caractère préparatoire et qu’ils sont donc communicables, au même titre que les documents relatifs à l’accompagnement dont a bénéficié la société en 2021, sous les réserves rappelées ci-dessous.

A cet égard, la commission relève, à titre liminaire, que la présidente de la CNIL lui a indiqué que la demande d’accompagnement dont a bénéficié la société VALIUZ en 2021 ainsi que la présentation générale de cette société annexée à cette demande ont été communiquées à Monsieur SCHMIEDT, occultées des mentions couvertes par le secret des affaires, par courrier du 13 décembre 2023.

La commission ne peut donc, dans cette mesure, que déclarer sans objet la demande d’avis.

En ce qui concerne le surplus, la commission estime que les documents sollicités, relatifs tant à l’accompagnement sectoriel dont a bénéficié la société VALIUZ en 2021 qu’à l’accompagnement renforcé sollicité en 2023, sont communicables à toute personne qui en fait la demande en application de l’article L311-1 du code des relations entre le public et l’administration dans le respect des secrets protégés par les articles L311-5 et L311-6 de ce code, notamment le secret de la vie privée et le secret des affaires, et par suite, après occultation des mentions relevant de ces derniers ou disjonction des documents qui en relèveraient entièrement en application des dispositions de l’article L311-7 dudit code. Elle relève qu’en application de cet article, la CNIL est fondée à refuser la communication d’un document dans son entier lorsque l’occultation partielle priverait ce document de son intelligibilité (CE, 25 mai 1990, Lebon T. 780) ou de son sens (CE, 4 janv. 1995, req. n°117750), ou la communication de tout intérêt (CE, 26 mai 2014, req. n° 342339).

A cet égard, elle relève, en premier lieu, que la présidente de la CNIL s’oppose à la communication du compte rendu de la première réunion du 19 octobre 2021 entre la CNIL et la société VALIUZ, en se prévalant de son caractère inachevé.

La commission rappelle qu’aux termes de l’article L300-2 du code des relations entre le public et l’administration : « Sont considérés comme documents administratifs, (…), quels que soient leur date, leur lieu de conservation, leur forme et leur support, les documents produits ou reçus, dans le cadre de leur mission de service public, par l’État, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d’une telle mission ». Elle considère que tout ensemble cohérent d’informations, quels que soient sa forme et son support, répond à la définition d’un document administratif au sens de ces dispositions. Il peut ainsi s’agir d’écrits, dactylographiés et manuscrits, d’enregistrements audio et vidéo, de photographies, de radiographies, de fichiers informatiques, de bases de données, de courriers électroniques.

La commission précise, par ailleurs, qu’en vertu de l’article L311-2 de ce code, le droit à communication ne s’applique qu’à des documents achevés. Elle estime qu’il y a lieu de prendre en compte, pour apprécier si un document est achevé, sa cohérence et son intelligibilité, ainsi que sa finalité. Elle estime, en particulier, que les documents consistant en de simples notes informelles prises à titre d’aide-mémoire, inachevées en la forme, ne sont pas communicables sur le fondement du titre Ier du livre III du même code, s’ils ont été suivis de documents qui peuvent être considérés comme achevés.

En l’espèce, la commission, qui a pris connaissance du compte rendu sollicité, constate que ce document se résume à des notes prises de manière informelle ne présentant aucune cohérence et intelligibilité. Elle estime que ces notes ne répondent pas à la définition d’un document administratif achevé en la forme, au sens du code des relations entre le public et l’administration. La commission considère en conséquence que ce document n’est pas communicable sur le fondement du titre Ier du livre III du code des relations entre le public et l’administration. Elle émet donc un avis défavorable sur ce point.

Elle rappelle, en second lieu, qu’elle a déduit des dispositions des article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et 90 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés qu’une analyse d’impact relative à la protection des données (AIPD), portant sur un traitement mis en œuvre par ou pour le compte de l’une des personnes visées à l’article L300-2 du code des relations entre le public et l’administration, constituait un document administratif au sens de cet article, communicable par cette autorité administrative à toute personne qui en fait la demande sur le fondement du code des relations entre le public et l’administration en application de l’article L311-1 du code des relations entre le public et l’administration, sous les réserves prévues par les articles L311-5 et L311-6 du même code (avis n° 20183041du 8 novembre 2018).

En l’espèce, il ne lui apparaît pas que l’occultation des mentions relevant du secret des affaires que comporte l’AIPD transmise par la société VALIUZ à la CNIL en octobre 2021, dont elle a pu prendre connaissance, aurait pour effet de rendre ce document inintelligible. Elle estime, par suite, que ce document est également communicable dans les conditions précédemment rappelées.

La commission émet donc, sous les réserves précitées, un avis favorable sur le surplus de la demande. »

Dans cet avis, on y apprend que la CADA considère que les documents demandés doivent bien être communiqués par la CNIL, puisqu’ils sont considérés comme des documents administratifs. On y apprend aussi qu’une première réunion a eu lieu entre la CNIL et la société Valiuz le 19 octobre 2021, mais que le compte rendu de cette réunion n’a pas été communiqué, car il ne serait pas « achevé ». La CADA, qui a pris connaissance de ce document, considère qu’il « se résume à des notes prises de manière informelle ne présentant aucune cohérence et intelligibilité » et qu’il peut donc ne pas être communiqué. Enfin et plus important peut-être, on y apprend que la société Valiuz a, en réalité, fait non pas une, mais deux demandes d’accompagnement : une première en 2021 pour un accompagnement « sectoriel » et une seconde en 2023 pour un accompagnement « renforcé ». La CADA estime, par ailleurs, que les documents relatifs à ce second accompagnement auraient également dû être communiqués par la CNIL.

Suite à un avis de la CADA, l’organisme dispose d’un nouveau délai pour se conformer à la décision et communiquer les documents demandés, ou maintenir son refus. L’organisme doit également communiquer à la CADA sa volonté de s’y conformer, ou non. Dans notre cas, la CADA a été saisie le 13 novembre 2023 et la CNIL avait jusqu’au 13 janvier 2023, c’est-à-dire deux mois plus tard, pour communiquer les autres documents, si elle le souhaitait. Elle ne l’a pas fait. La CNIL n’a pas non plus communiqué sa décision à la CADA.

Quinze jours plus tard, le 30 janvier 2024, un message a toutefois été envoyé à la CNIL pour connaître sa décision finale. Un e-mail a alors été reçu de la CNIL, le 2 février 2024, avec deux autres documents, préalablement occultés de nombreux passages :

• un courrier de 17 pages de la société Valiuz, intitulé « candidature à l’offre d’accompagnement renforcé », daté du 3 avril 2023 et occulté de nombreuses mentions ; et
• une analyse d’impact relative à la protection des données annexée à cette demande, également occultée de nombreuses mentions.

Si on résume, la CNIL a donc communiqué dans un premier temps deux documents concernant son accompagnement « sectoriel » auprès de la société Valiuz, puis deux autres documents concernant la demande d’accompagnement « renforcé » de la société Valiuz.

L’accompagnement « sectoriel » atypique de la CNIL auprès de la société Valiuz

La demande d’accompagnement de la société Valiuz de septembre 2021 nous apprend que la société Valiuz a sollicité un accompagnement « sectoriel ». La demande précise que la société Valiuz « représente l’alliance formée depuis 2018 par les entreprises détenues par la famille Mulliez » et que cette « alliance compte aujourd’hui 21 entreprises du secteur de la grande distribution, qui sont bien connues du public : AUCHAN, DÉCATHLON, LEROY MERLIN, KIABI, BOULANGER, ELECTRO DEPOT, NORAUTO, CHRONODRIVE, ONEY BANK, SAINT MACLOU, ALINEA, FLUNCH, 3BRASSEURS, PIMKIE, ROUGE GORGE, GRAIN DE MALICE, JULES, TOP OFFICE, TAPE A L’OEIL, BIZZBEE, NHOOD ».

Le caractère « sectoriel » de cet accompagnement est toutefois atypique :

• car les sociétés que représente la société Valiuz appartiennent principalement au même actionnaire – la famille Mulliez – ;
• car, contrairement à ce qui est indiqué dans la demande d’accompagnement, les sociétés n’appartiennent pas toutes au secteur de la grande distribution – la société ONEY BANK est par exemple une banque – ; et
• car l’accompagnement n’a pas abouti à la « publication d’instruments dits de droit souple (référentiels, recommandations, lignes directrices, guides pratiques, etc.) », ni à « la mise en ligne d’informations disponibles sur le site web de la CNIL », comme cela est normalement le cas lors d’accompagnements sectoriels, d’après la « charte destinée des professionnels » publié par la CNIL. Aucun document n’a été rendu public permettant aux autres sociétés du secteur de la grande distribution, comme Carrefour ou E. Leclerc, de bénéficier des travaux d’accompagement « sectoriel » effectués par la CNIL et la société Valiuz.

Cet accompagnement « sectoriel » est aussi étrange, car la société Valiuz a sollicité un accompagnement « renforcé » par la suite, en avril 2023. Dans sa demande d’accompagnement renforcé, la société n’affirme plus représenter « 21 entreprises de la grande distribution » et ne prétend plus être une « tête de réseau ». Elle affirme désormais qu’elle « a pour activité la fourniture à des entreprises qui interviennent dans le commerce de détail, d’un service basé de l’intelligence collective des données » et que le service proposé par la société « permet à Valiuz de rapprocher les données collectées par les entreprises dans le cadre de leur relation client, et de les agréger autour d’un identifiant unique propre à chaque client ». La société Valiuz exerce donc, en réalité, une activité commerciale à part entière pour ses clients, dont ses entreprises membres, « mais également leurs fournisseurs ».

Quoi qu’il en soit, les documents communiqués ne permettent pas d’en savoir beaucoup plus, car une grande partie du contenu a été occultée, et car ils ne représentent manifestement qu’une petite partie des activités réalisées.

See you in court, CNIL

Si l’on en croit les documents communiqués par la CNIL concernant l’accompagnement « sectoriel » de la société Valiuz, la société a fait une demande en septembre 2021, puis une première réunion a eu lieu en octobre entre la société et la CNIL où la Commission a pris quelques notes, puis plus rien. La CNIL n’aurait jamais répondu formellement à la demande de la société pour lui indiquer l’acceptation de sa demande. La CNIL n’aurait pas réalisé un document encadrant cette prestation pour y définir son périmètre, sa durée, ses objectifs ou les moyens mis à disposition. La CNIL n’aurait jamais échangé de messages ou de documents. La CNIL n’aurait pas réalisé un compte-rendu en fin de prestation pour faire un bilan des activités réalisées ou pour signifier la clôture de l’accompagnement. À en croire les documents communiqués, rien ne permet de matérialiser les travaux réalisés. Cela est difficile à croire et cela voudrait dire que la CNIL a (de nouveau) menti lorsqu’elle a affirmé que les traitements de données concernant Valiuz faisaient « l’objet d’échanges et de travaux » entre la société à la direction de la CNIL.

Puis arrive cette seconde demande d’accompagnement, « renforcé » cette fois-ci. Si l’on en croit les documents communiqués, la CNIL n’aurait jamais répondu à la demande de la société Valiuz. Pourtant, d’après l’avis de la CADA, la CNIL a refusé cette demande « par décision de la CNIL du 4 mai 2023 ». Pourquoi cette décision n’a-t-elle pas été communiquée ?

Par ailleurs, pourquoi les quelques documents communiqués sont autant biffés ? La société Valiuz indique pourtant elle-même, dans sa demande d’accompagnement, s’inscrire « dans une démarche responsable, avec à cœur d’utiliser les données des clients dans le but de mieux les servir, ce en parfaite transparence ». Elle réitère même dans sa seconde demande d’accompagnement en précisant que « la protection des données personnelles est au cœur de l’activité de Valiuz et une priorité pour nos entreprises et pour Valiuz qui travaille au quotidien dans un objectif de transparence et de confiance avec les personnes dont elle traite les données ». Alors pourquoi cacher des informations si cela est contraire à la volonté louable de la société Valiuz ? Ces belles paroles ont-elles uniquement été marquées pour amadouer la CNIL ?

Bref, la CNIL n’a manifestement toujours pas tout dit et ne souhaite pas le faire, puis les quelques documents transmis sont peu exploitables, ce qui est inacceptable. Le tribunal administratif de Paris a donc été saisi le 11 mars 2024, accompagné par Maître Alexis Fitzjean Ó Cobhthaigh, dont l’expertise dans la protection des données est respectable et dont les nombreuses interventions pour le compte de l’association militante La Quadrature du Net ont déjà permis d’obtenir des avancées significatives, particulièrement dans la lutte contre la surveillance de masse réalisée par l’État français.

Dans la requête déposée, il a été demandé au tribunal d’enjoindre à la CNIL de communiquer tous les documents demandés, non occultés, notamment le courrier de réponse de la CNIL suite à la demande d’accompagnement sectoriel, le document encadrant cet accompagnement et les documents reçus ou réalisés par la CNIL lors de cet accompagnement, mais aussi le courrier de réponse de la CNIL à la demande d’accompagnement renforcé ; le tout dans un délai de 8 jours à compter de la notification du jugement, sous astreinte de 500 € par jour de retard.

Le CNIL doit rendre des comptes

Cette histoire a montré que la CNIL recourt à des manœuvres douteuses, qui sont contraires à ses engagements et contraires à ses missions : ne pas instruire une plainte sous prétexte que la société concernée est accompagnée, communiquer de fausses informations, omettre volontairement de communiquer certaines informations et transmettre des documents de manière éparse, sans respecter les délais légaux.

La difficulté d’accéder aux documents détenus par la CNIL est également incompatible avec son statut d’autorité administrative indépendante. En effet, l’indépendance d’une telle Commission n’est possible que si son mode de fonctionnement, ses actions et ses choix sont publiquement connus puis soumis à la critique des Français et de ses représentants. Cette critique est particulièrement importante lorsque la CNIL fait secrètement le choix d’utiliser son faible budget pour aider des sociétés comme Valiuz, dont les moyens financiers sont colossaux, à implémenter des traitements de données en masse pour collecter des données sur l’ensemble de la population et les profiler à des fins de publicité ciblée. Cette critique permettrait, par exemple, d’évaluer les risques de tels traitements et de prendre d’éventuelles mesures protectrices.

La CNIL ne devrait pas accompagner Valiuz, mais la sanctionner

Au final, l’accompagnement de la CNIL auprès de Valiuz a-t-il permis d’apporter une meilleure information aux Français sur la manière dont leurs données sont agrégées en masse puis utilisées, ou a-t-il permis à la société de traiter les données des Français en respectant mieux ses obligations en matière de protection des données ? On peut en douter.

Postérieurement au démarrage de cet accompagnement, de nombreux sites de l’« alliance » Valiuz, à l’instar du site de Boulanger, apportaient encore une information contestable aux internautes. Les modalités de dépôt des cookies de ces sites, qui utilisaient notamment les cookies de Valiuz, étaient aussi condamnables. La CNIL s’est toutefois contentée de « rappeler leurs obligations légales » aux sociétés concernées et s’est, pour le moment, abstenue d’instruire les autres plaintes concernant Valiuz.

Puis, quand on voit que dans la demande d’accompagnement « renforcé » d’avril 2023 de Valiuz, la société indique que l’une des « principales problématiques » à laquelle la société est confrontée est la « base légale des traitements », c’est-à-dire le fondement légal qui justifie l’existence même des traitements, il y a de quoi être inquiet.

« Les principales problématiques auxquelles nous sommes actuellement confrontés sont les suivantes :

La base légale des traitements de données :
- La base légale des opérations de profilage à grande échelle, à des fins statistiques et d’utilisation dans le cadre d’opérations de prospection commerciale entre un commerçant et son client, ce en l’absence de données sensibles et d’effets significatifs sur les personnes.
- La base légale pour réaliser des opérations de publicité ciblée en ligne à partir de données collectées dans le monde physique (directement auprès du client en magasin).
- La définition des limites dans lesquelles la base légale de l’intérêt légitime peut être utilisée dans le cadre d’une relation entre un commerçant et son client. »

La société Valiuz cherche donc encore toujours une façon de justifier ses traitements « de profilage à grande échelle » à des fins de « prospection commerciale », et cherche même a connaître les « limites dans lesquelles la base légale de l’intérêt légitime peut être utilisée », c’est-à-dire que la société cherche à savoir dans quelle mesure elle peut se passer du consentement des personnes et justifier ses traitements intrusifs de données par ses propres intérêts, probablement commerciaux.

Pour conclure, il est peut-être bon de rappeler que la CNIL devrait agir dans l’intérêt général, c’est-à-dire communiquer les documents lorsqu’on lui demande, traiter correctement les plaintes qu’elle reçoit, bannir les profilages de masse de la population française et enfin, s’abstenir d’aider des entreprises réalisant des traitements instrusifs, particulièrement lorsqu’ils bénéficient à un seul et même actionnaire, dont la fortune est l’une des plus grandes du pays.

MAJ du 3 juin 2024 : La CNIL tente de modifier la loi pour ne pas rendre de comptes

Trois mois après la saisine du juge administratif concernant la non-communication des documents de la CNIL, la CNIL a collaboré avec une sénatrice pour qu’un amendement soit déposé permettant de rendre non communicables « les documents reçus ou produits par la Commission nationale de l’informatique et des libertés dans le cadre de l’instruction des demandes de conseil ou des programmes d’accompagnement »^[4]. Cet amendement a déjà été voté au Sénat. S’il est également voté à l’Assemblée nationale, la loi serait alors modifiée pour permettre à la CNIL de refuser de communiquer les documents sans se justifier.

Ces basses manœuvres, contraires à l’intérêt général, montrent que la CNIL est décidément prête à tout, même à corrompre les parlementaires, pour ne pas rendre des comptes.

Le lobby de la publicité en ligne, IAB, avait demandé en début d’année de « considérer par défaut les documents échangés comme couverts par le secret des affaires »^[5]. La CNIL l’a fait, sous prétexte de « simplification de la vie économique ».