Nombre de contrôles jugé faible, délai de traitement des plaintes, "stratégie des petits pas", soutien trop timoré à l'innovation : les critiques ne manquent pas.
[…]
Une très grande partie de son activité consiste aujourd'hui à sensibiliser le public à la protection de ses données, et à élaborer un tas de documents qui précisent les obligations légales de chacun […] "La Cnil a une culture de l'accompagnement et du conseil"
Les lignes directrices, guides, et autres documentations ne sont pas vraiment contraignantes, même si elles peuvent servir à l'appui d'une sanction individuelle (cf. point 83), donc les responsables de traitement en ont très souvent rien à faire (pages 3, 13 et 14).
[…]
Le cœur de métier historique de la Cnil, le contrôle de l'Etat, a par exemple été largement affaibli au cours du temps. "Depuis 2004, la Cnil ne peut plus opposer son veto à la création d'un fichier de police", rappelle Yoann Nabat. "Ses avis ne sont pas contraignants, elle doit souvent les rendre dans des délais trop courts, elle ne peut pas contrôler les fichiers touchant de près ou de loin à la sûreté de l'Etat et n'a pas de pouvoir de sanction contre lui", égrène le chercheur.
Il n'est pas exact de dire que la CNIL n'a pas de pouvoir de sanction contre l'État : elle dispose de tous les pouvoirs de l'article 58(2) du RGPD à l'exception des sanctions pécuniaires (cf. 7 du IV de l'art. 20 de la loi 78-17).
[…]
Il pointe le faible nombre de sanctions : sur les 16 433 plaintes instruites par la Cnil en 2023, seules 340 ont donné lieu à des contrôles, et seulement 42 ont débouché sur des sanctions, selon le rapport annuel 2023 de l'autorité.
Sachant qu'en 2022, 1/3 des plaintes étaient irrecevables et n'ont donc pas été instruites (par définition).
[…]
Il existe pourtant une Cnil qui inflige beaucoup plus d'amendes : son homologue espagnole, l'AEPD. "Elle publie des décisions argumentées régulièrement, avec des amendes parfois relativement lourdes, et elle n'hésite pas à punir plusieurs fois les récidivistes", salue Guillaume Champeau. "L'Espagne a un fonctionnement beaucoup plus léger que le nôtre, sur le mode de la contravention, qui permet de prononcer beaucoup de petites amendes de façon simple", argumente Karin Kiefer. [ directrice de la protection des droits et des sanctions à la Cnil ] […] Pour accélérer les dossiers, la Cnil peut passer depuis 2022 par une procédure de sanction simplifiée, qui n'est pas non plus exempte de critiques. Les amendes ne peuvent pas dépasser 20 000 euros, et les décisions rendues dans ce cadre sont anonymisées
[…]
La Cnil délivre aussi de simples rappels à la loi, ainsi que des mises en demeure, mais elle vérifie rarement si les cibles sont rentrées dans le rang.
Ne pas confondre les rappels à la loi (4 en 2023, d'après son rapport d'activité), et les rappels aux obligations, très courants (c'est ainsi que la totalité des plaintes qui ne débouchent pas sur une sanction sont clôturées), qui sont des emails rédigés au conditionnel ("quelqu'un s'est plaint que… merci de regarder… inutile de répondre"), et qui ne semblent pas être des sanctions (d'après le rapport d'activité de la CNIL) ni des mesures correctrices (voir p. 22-23 de ce questionnaire rempli par la CNIL à l'attention du CEPD).
[…]
D'autres raisons sont plus prosaïques : "La Cnil est aussi une administration", soupire une source passée par la direction de la protection des droits et des sanctions. "Il y a beaucoup de niveaux de validation y compris quand ça n'est pas forcément nécessaire, et manager des agents de la fonction publique peut s'avérer compliqué puisque les moyens de motivation et les mesures disciplinaires sont très limités.
[…]
Une question philosophique… et politique. "Le ministère de l'Economie voit un peu la Cnil comme une empêcheuse de tourner en rond", résume le député Philippe Latombe.
Voir aussi Bercy demande à la CNIL de ne pas sur-interpréter le RGPD.
Je partage le constat présenté dans cet article. De mon expérience, la prétendue pression de Bercy et le manque de moyens sont des bonnes excuses : on est plus sur un problème de compétence professionnelle (lié à la faible attractivité des rémunérations dans la fonction publique ?), d'implication individuelle, et d'organisation collective du travail (procédures, harmonisation, orientation, outillage, etc.).