La CNIL doit réarmer les citoyens et les DPO face aux violations du RGPD

Nous, citoyens, utilisateurs d’Internet, créateurs d’entreprises et délégués à la protection des données personnelles, attendons que l’Union européenne et les autorités nationales fassent respecter avec conviction le droit au respect de la vie privée, auquel nous sommes profondément attachés. Nous dénonçons à cet égard la politique délibérée d’inaction mise en œuvre en France par la CNIL, qui sape la légitimité et l’autorité des personnes désignées en application de la loi pour veiller à la protection des données au sein des organisations, et qui favorise la mise sur le marché de produits et de services qui ne respectent plus nos droits fondamentaux. Nous constatons qu’un avantage concurrentiel est accordé de fait aux acteurs qui ne font plus l’effort de respecter le droit européen, et nous déplorons que la violation du RGPD soit désormais perçue comme un risque plus acceptable que son application.

Alors que la mise en œuvre de technologies d’intrusion dans la vie privée ne cesse de progresser et que de nouveaux défis se dressent avec le développement de l’intelligence artificielle, nous avons plus que jamais besoin d’une CNIL crédible, dissuasive, qui fait montre d’une jurisprudence intense et variée. L’autorité administrative française, qui fut un modèle pour l’Europe, doit maintenir l’ambition de faire appliquer le droit à la hauteur des enjeux.

Or, la CNIL a réalisé 340 contrôles et prononcé seulement 42 sanctions sur toute l’année 2023, dont 36 assorties d’une amende. Comme un symbole, son rapport annuel montre qu’elle a aussi clôt ou rejeté davantage de plaintes l’an dernier qu’elle n’en a reçues. Nous ne comptons plus le nombre de procédures laissées à l’abandon, au point que le Conseil d’Etat est désormais saisi par des plaignants pour contraindre la CNIL à agir. A la mi-2024, la CNIL n’a rendu publiques que moins d’une dizaine de décisions de sanctions.

Pourtant, une politique bien plus volontariste et pédagogique est possible en Europe. Par exemple, sur la même année 2023, son homologue espagnole a prononcé 367 amendes, c’est-à-dire qu’elle a sanctionné la même période dix fois plus que la CNIL, et qu’elle a conclu à la nécessité de faire payer des amendes plus souvent que la CNIL n’a réalisé de contrôles ! Ce sont des amendes faibles, mais qui rappellent en Espagne que tout le monde est concerné.

Certes, l’autorité administrative française rapporte bien plus au budget de l’Etat, avec près de 90 millions d’euros d’amendes cumulées en 2023 contre 30 millions d’euros de l’autre côté des Pyrénées. Mais en concentrant quasi exclusivement son action sur les plus gros portefeuilles, la CNIL envoie aux innombrables acteurs de moindre importance le signal qu’ils peuvent négliger sans risque le respect du RGPD. La crainte de la sanction, qui a fait venir la protection des données au cœur des décisions lors de l’entrée en application du texte en 2018, est en train de totalement disparaître. Et ce n’est pas la procédure simplifiée de la CNIL, dont les quelques décisions ne sont pas publiées, qui pourra restaurer la nécessaire peur du gendarme sans laquelle les délinquants prospèrent.

Cette politique laxiste est une erreur majeure aux conséquences réelles. Le laisser-faire institutionnel abandonne à leur sort les DPO qui, ne trouvant plus dans l’actualité répressive de la CNIL les arguments pour convaincre de la nécessité de respecter le RGPD, se découragent et renoncent à s’opposer aux violations qu’ils constatent. Ce sont pourtant ces mêmes DPO, dont la désignation est encouragée voire rendue obligatoire par la loi, qui sont chargés d’être les boussoles et les relais de la CNIL en interne. Ils sont aujourd’hui plus désemparés que jamais, ne sentant plus que l’autorité administrative française sera là pour les conforter dans leurs recommandations et pour appuyer la nécessité d’écouter leur avis.

Le laisser-faire de la CNIL désarme également les citoyens dont la confidentialité des données personnelles se retrouve négligée sans que leurs plaintes n’aboutissent. Et enfin, il prive les entreprises respectueuses de la loi de la police efficace qu’elles sont en droit d’attendre pour que les règles du jeu soient respectées par leurs concurrents.

La CNIL ne peut pas ignorer l'impact de son inaction répressive. Pourtant, dans une publication récente sur l’impact économique du règlement européen sur la protection des données, l’autorité écrivait qu’elle “assume déjà, et va assumer encore plus à l’avenir, une dimension asymétrique de son action de régulation”. Dit autrement, elle souhaite continuer à se concentrer toujours davantage sur les quelques gros dossiers susceptibles d’aboutir à des amendes très lucratives mais finalement peu dissuasives, plutôt que de multiplier les actions sur des dossiers hétérogènes certes plus modestes et symboliques, mais qui assurent que tous les acteurs continuent à se sentir concernés par le RGPD. Cette erreur doit cesser.

Nous implorons donc la CNIL de modifier profondément sa politique et en appelons au besoin à la représentation nationale pour qu’elle se saisisse de cette question, afin de comprendre d’où viennent les freins à l’action de l’autorité administrative indépendante, et comment les lever. Il en va de l’avenir du respect de la vie privée en France, et plus largement en Europe.