Comme je m'y perds à chaque fois, je me mets ça de côté :
Destinée à un particulier
Il en va de même pour le démarchage par SMS ou via un automate téléphonique.
En revanche, le démarchage par courrier postal ou par téléphone (hors automate) repose sur l'information et l'opposition.
Le RGPD prévoit un recours juridictionnel effectif (un recours en justice, quoi) contre une décision d'une Autorité de Protection des Données personnelles (APD) comme la CNIL.
Mais, en droit administratif (une personne physique ou morale contre une administration) français, on peut contester uniquement une décision déjà prise par une administration (ou une autorité administrative indépendante, comme la CNIL), pas un projet, pas une décision à venir. Autrement dit, tant que ta plainte CNIL n'est pas traitée, tu peux rien faire, car la CNIL n'a pas pris de décision. (Je passe sur les moyens de faire naître une décision implicite en droit administratif général, généralement avec un recours préalable).
Et si tu veux justement contester la lenteur de la CNIL à prendre une décision, comment faire ? Dans un précédent article, on a lu qu'en Suède, une APD doit répondre sous un mois si le requérant le lui enjoint après six mois de silence. Étant donné que le RGPD est un règlement européen, c'est-à-dire un texte législatif que l'on souhaite appliquer uniformément dans tous les États membres (contrairement à une directive, qui doit être transposée dans chaque droit national, ce qui permet des différences nationales dans les limites du cadre fixé par la directive), il doit exister un moyen similaire d'agir en France.
Le 2 de l'article 78 du RGPD dispose que toute personne a le droit de former un recours juridictionnel effectif quand une APD ne l'informe pas, sous trois mois, de l'avancement ou de l'issue de la réclamation qu'elle a déposé auprès de l'APD. Cela se fait auprès des juridictions et selon la procédure de l'État membre. On retrouve cela dans le considérant 141 du RGPD, mais l'on parle alors de « délai raisonnable » pour informer de l'avancement…
Le 21 octobre 2022, David Libeau a déposé un tel recours devant le Conseil d'État portant sur une plainte CNIL sans réponse depuis un an. Pour les juristes : il a bien ajouté ses prétentions après coup. Pour les non-juristes : un recours suit tout un formalisme, et, notamment, il faut demander explicitement ce que l'on veut (enjoindre la CNIL à traiter la plainte sous/sans astreinte, traiter la plainte, etc.).
Ça me pose questions : quel est le point de départ des trois mois (dépôt de la plainte au greffe de la CNIL ? Sa transmission au service des plaintes par le greffe de la CNIL ? Autre ?) ? Quelle décision est attaquée (cf. le rappel de droit administratif ci-dessus) ?
La trouvaille ultérieure de David relatée dans l'article pointé par ce shaarli est intéressante : « l’article 10 du Décret n° 2019-536 du 29 mai 2019 indique que « Le silence gardé pendant trois mois par la commission sur une réclamation vaut décision de rejet. » ».
J'obtiens une réponse à l'une de mes questions : après trois mois de silence, il est possible d'attaquer une décision implicite de rejet de la CNIL. Pour moi, l'article 10 du décret 2019-536 est le rouage réglementaire français qui rend possible l'actionnement de l'article 78.2 du RGPD.
Mais ça me pose de nouvelles questions :
On notera également que le d du 2) du I de l'article 8 de la loi Informatique et Libertés, qui est cité dans l'article 10 du décret 2019-536 pour énoncer de quelles réclamations on parle, dispose que la CNIL « informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable ». Délai raisonnable ou trois mois ? Un délai raisonnable est sujet à interprétation devant un tribunal, genre si la CNIL déclare recevoir XXX plaintes par jour, 8 mois de délai pour traiter une plainte peuvent être raisonnables. De ce que je crois savoir, pour arbitrer une telle contradiction, on utilise la hiérarchie des normes qui classe une loi au-dessus d'un décret, mais, dans le cas présent, si l'on fait ça, on perd le rouage qui permet un recours juridictionnel effectif en l'absence d'une décision de l'APD comme l'impose pourtant le 78.2 du RGPD…
Je constate qu'Aeris cherche aussi à saisir le Conseil d'État de l'inaction de la CNIL sur une base légale que j'ignore (source 1, source 2).
Aeris nous aura appris que :
Bref, affaires à suivre.
Il y a "quelques" mois, Aeris lançait un appel à témoigner des actions de la CNIL. Vu que j'ai déjà publié la majorité de mes plaintes et leur suivi (liens dans l'inventaire ci-dessous), je me dis que ce n'est pas une mauvaise idée de publier cela. Alors voici.
9 réclamations clôturées dont :
Une même plainte, un même fait, peut appartenir à plusieurs thématiques.
Attention : cette classification est approximative (dans mon référentiel de mes plaintes, je n'ai pas forcément fait remonter les griefs mineurs, qui, de fait, n'apparaissent pas dans ce shaarli et donc dans les comptes) et arbitraire (certains faits sont difficiles à classer, notamment si l'exercice de mon droit d'accès ne m'a pas permis de prendre connaissance de la finalité / base légale d'un traitement). Mais, ça correspond plutôt bien à mon ressenti.
Certains chiffres qui semblent être en décalage avec ceux d'autres militants (comme Aeris) s'expliquent :
Tu y trouveras une synthèse des plaintes antérieures à 2022 que je n'ai pas publié, accompagnée d'un recul critique (certaines plaintes sont mal voire très mal rédigées, permettant à la CNIL de rester inactive).
Le tri est effectué par ordre croissant de la date de dépôt de plainte à la CNIL. J'ai décidé de regrouper par responsable du traitement (RT), car grouper par date n'a pas d'intérêt et grouper par thématique génère la duplication de certaines plaintes (car certaines concernent plusieurs thématiques).
Contexte & griefs : au guichet, je remplis et signe un formulaire de ré-expidition du courrier en cochant bien la case "ne pas recevoir de spam postal". Le guichetier l'utilise pour remplir un formulaire numérique, qu'il ne me demande pas de signer. Donc, sur le moment, je ne remarque pas qu'il n'a pas coché ladite case. En déménageant, je me fais spammer à mort. Plus d'infos ;
Contexte & griefs : suite à un appel au service clients de GEG, je reçois, par email, une enquête de satisfaction de la part d'un prestataire de GEG (Market Audit). Je clique sur le lien : aucun questionnaire, mais des données personnelles d'un autre client (nom, prénom, adresse postale, numéro de téléphone, objet du dernier appel à GEG, d'autres infos que je ne savais pas interpréter). F5. Des données persos concernant quelqu'un d'autre. Le service clients GEG me confirme que deux des trois identités que j'ai vu sont bien clientes de GEG et qu'ils font remonter. Avec les numéros de téléphone dispos dans l'annuaire et sur le web, je contacte le presta, et je finis par tomber sur un dirlo de la communication. 30 minutes plus tard, une autre employée (que j'avais sollicité) m'informe que le problème est corrigé ;
Contexte & griefs : demande d'un devis pour une association que nous ne signons pas Je continuais de recevoir des emails de démarchage plus de cinq ans après. Un peu excessif. Demande d'effacement ;
ÉDIT DU 19/07/2023 :
Suite à une demande de communication de documents, la CNIL m'a transmis, le 30/01/2023, la prose qu'elle a envoyée à Danitis le 4 janvier 2022 (j'ai caviardé mon identité et mon adresse postale). Contrairement à son échange avec Shilkhom (voir point précédent), elle y évoque bien la durée de conservation, se garde bien de la qualifier d'excessive, invite Danitis à consulter sa fiche pratique, et, si Danitis constate qu'elle ne respecte pas les règles qui y sont rappelées, elle doit se mettre en conformité.
Contrairement à ma réclamation visant Silkhom, cette fois-ci la CNIL a clôturé ma réclamation après avoir envoyé son courrier à Danitis.
Malgré l'appui de la CNIL, Danitis ne m'a jamais informé de la suite qu'elle a donnée, ne serait-ce que m'informer de la bonne suppression de mes données persos…
FIN DE L'ÉDIT DU 19/07/2023.
Contexte & griefs : cabinets de recrutement qui me proposent des offres d'emploi des années après ma candidature sur l'une des offres dont ils avaient la charge. Détails ici ;
Contexte & griefs : quatre ans après une création de compte client / commande avortées (car je ne voulais pas valider mon compte avec mon téléphone, 2FA tout ça) et une impossibilité de me connecter à mon compte client afin de le clôturer (erreurs techniques signalées au service clients quasiment deux ans avant ma plainte), je continue de recevoir des emails typiques d'une relation commerciale (changez votre mdp, nouveaux tarifs, etc.). Plus d'infos ;
ÉDIT DU 29/12/2022 : ajout de la 4e plainte visant Pôle emploi et clôture de la plainte visant la Banque Populaire « refus de supprimer des données persos » de mi-novembre 2022. FIN DE L'ÉDIT.
ÉDIT DU 10/01/2023 : mise à jour de l'état de la plainte déposée à la mi-octobre 2022 portant sur le site web de la CNIL. FIN DE L'ÉDIT.
ÉDIT DU 21/07/2023 : ajout d'un lot de 8 réclamations. FIN DE L'ÉDIT.
ÉDIT DU 06/08/2023 : ajout d'un lot de 5 réclamations. FIN DE L'ÉDIT.
CNIL : 225 agents, 20 millions de budget annuel, 29 condamnations 2019 - mi-octobre 2022
AEPD : 195 agents, 16 millions de budget annuel, 503 condamnations 2019 - mi-octobre 2022
AEPD = CNIL espagnole.
Ces derniers mois, Aeris compare beaucoup ces deux Autorités de Protection des Données personnelles (APD). Je doutais un peu des chiffres présentés, car, dans son rapport annuel 2021, la CNIL déclare 18 sanctions dont 15 amendes, soit la moitié du chiffre d'Aeris. 14 en 2020. 8 en 2019. Etc.
D'abord, on note que ça fluctue rapido chez Aeris : 14 jours après les chiffres ci-dessus, la CNIL a perdu 25 agents et 12 condamnations (sans compter que 2 par an, ça ne fait pas 17 en 4 ans)… Avant de les retrouver quelques jours plus tard avec, en sus, 14 sanctions supplémentaires côté AEPD.
Ensuite, je m'interroge sur le référentiel utilisé. Depuis 2019, CNIL = 40 sanctions, AEPD = 715, d'après un premier. 55 / 168 d'après un deuxième. 31 / 531 d'après un troisième. Faudrait savoir. Qui est le mieux informé ? Tous ont-ils la même définition de ce qu'est une sanction ? Je constate qu'aucun correspond aux chiffres consignés par la CNIL dans ses rapports annuels, même si l'on prend uniquement les amendes…
Enfin, je m'interroge :
Je ne défends pas la CNIL, je déplore aussi sa lenteur, sa passivité (choix de la pédagogie, des mises en demeure, etc.), et son inaction apparentes bien avant l’entrée en vigueur du RGPD, mais, vu mes questionnements ci-dessus, je reste à convaincre.
Voir aussi l'analyse et les graphiques de David Libeau. Taux de plaintes inadmissibles : 41,35 % (CNIL) contre 56,48 %. Taux de sanction : 2,39 % (CNIL) contre 9,67 %. Taux d'amendes parmi les sanctions : 7,58 % (CNIL) contre 44,10 %. Plusieurs des biais soulevés ci-dessus ne sont toujours pas levés, mais c'est intéressant.