GuiGui's Show

Comme je m'y perds à chaque fois, je me mets ça de côté :

• Destinée à un particulier

  • Prospection non-commerciale ou pour des produits ou services similaires de la même société commerciale après au moins une vente (la création d'un compte client ne compte pas) : intérêt légitime, information lors de la collecte de l'adresse emails, opposition ;
    
    
  • Prospection pour d'autres produits de la même société commerciale ou ceux d'une autre société commerciale : consentement, information lors de la collecte de l'adresse emails, retrait du consentement.
• Destinée à un professionnel : intérêt légitime, information lors de la collecte de l'adresse emails, opposition. Ce mode est peut-être une interprétation de la CNIL de la directive européenne sur la prospection qui dit "consentement". Lequel peut se déduire : envoyer un message en lien avec sa spécialisation à un contact LinkedIn, ça passerait, par ex.

Il en va de même pour le démarchage par SMS ou via un automate téléphonique.

En revanche, le démarchage par courrier postal ou par téléphone (hors automate) repose sur l'information et l'opposition.

Le RGPD prévoit un recours juridictionnel effectif (un recours en justice, quoi) contre une décision d'une Autorité de Protection des Données personnelles (APD) comme la CNIL.

Mais, en droit administratif (une personne physique ou morale contre une administration) français, on peut contester uniquement une décision déjà prise par une administration (ou une autorité administrative indépendante, comme la CNIL), pas un projet, pas une décision à venir. Autrement dit, tant que ta plainte CNIL n'est pas traitée, tu peux rien faire, car la CNIL n'a pas pris de décision. (Je passe sur les moyens de faire naître une décision implicite en droit administratif général, généralement avec un recours préalable).

Et si tu veux justement contester la lenteur de la CNIL à prendre une décision, comment faire ? Dans un précédent article, on a lu qu'en Suède, une APD doit répondre sous un mois si le requérant le lui enjoint après six mois de silence. Étant donné que le RGPD est un règlement européen, c'est-à-dire un texte législatif que l'on souhaite appliquer uniformément dans tous les États membres (contrairement à une directive, qui doit être transposée dans chaque droit national, ce qui permet des différences nationales dans les limites du cadre fixé par la directive), il doit exister un moyen similaire d'agir en France.

Le 2 de l'article 78 du RGPD dispose que toute personne a le droit de former un recours juridictionnel effectif quand une APD ne l'informe pas, sous trois mois, de l'avancement ou de l'issue de la réclamation qu'elle a déposé auprès de l'APD. Cela se fait auprès des juridictions et selon la procédure de l'État membre. On retrouve cela dans le considérant 141 du RGPD, mais l'on parle alors de « délai raisonnable » pour informer de l'avancement…

Le 21 octobre 2022, David Libeau a déposé un tel recours devant le Conseil d'État portant sur une plainte CNIL sans réponse depuis un an. Pour les juristes : il a bien ajouté ses prétentions après coup. Pour les non-juristes : un recours suit tout un formalisme, et, notamment, il faut demander explicitement ce que l'on veut (enjoindre la CNIL à traiter la plainte sous/sans astreinte, traiter la plainte, etc.).

Ça me pose questions : quel est le point de départ des trois mois (dépôt de la plainte au greffe de la CNIL ? Sa transmission au service des plaintes par le greffe de la CNIL ? Autre ?) ? Quelle décision est attaquée (cf. le rappel de droit administratif ci-dessus) ?

La trouvaille ultérieure de David relatée dans l'article pointé par ce shaarli est intéressante : « l’article 10 du Décret n° 2019-536 du 29 mai 2019 indique que « Le silence gardé pendant trois mois par la commission sur une réclamation vaut décision de rejet. » ».

J'obtiens une réponse à l'une de mes questions : après trois mois de silence, il est possible d'attaquer une décision implicite de rejet de la CNIL. Pour moi, l'article 10 du décret 2019-536 est le rouage réglementaire français qui rend possible l'actionnement de l'article 78.2 du RGPD.

Mais ça me pose de nouvelles questions :

• Point de départ du décompte (toujours) ?
  
  
• À ce stade, peut-on demander au Conseil d'État d'enjoindre à la CNIL de traiter la plainte ou est-ce au seul Conseil de trancher le litige ? Si c'est au Conseil de trancher le litige, ça peut être risqué, car, à mon avis, il pige moins la technique informaticienne que la CNIL. De même, il n'est pas possible de présupposer de la cause d'une décision implicite de rejet : est-ce parce que la CNIL n'a pas eu le temps de la traiter ou parce qu'elle est irrecevable ou qu'elle est tellement médiocre qu'il est moins chronophage de la rejeter sans y répondre ? Puisqu'a priori, il ne suffit pas de dire « la CNIL est hors délai » (car tout se passe comme si la plainte a été refusée sur le fond), ne faut-il pas toouut ré-expliquer au Conseil, et notamment le litige avec le responsable du traitement ?
  
  
• Quid des plaintes auxquelles la CNIL répond au-delà des trois mois (cf. la plainte contre l'IGPN de David, celle-ci d'Aeris, cette autre, et encore tant d'autres) et quid de la légalité des décisions de la CNIL dans ce cas-là (la décision implicite de rejet devrait faire barrage à une prise de décision ultérieure) ? N'est-ce pas ce qui empêche la CNIL de sanctionner (relayer une demande pose aucun préjudice à un responsable de traitement, donc il ne prend pas la peine de contester, mais une prune…) ?

On notera également que le d du 2) du I de l'article 8 de la loi Informatique et Libertés, qui est cité dans l'article 10 du décret 2019-536 pour énoncer de quelles réclamations on parle, dispose que la CNIL « informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable ». Délai raisonnable ou trois mois ? Un délai raisonnable est sujet à interprétation devant un tribunal, genre si la CNIL déclare recevoir XXX plaintes par jour, 8 mois de délai pour traiter une plainte peuvent être raisonnables. De ce que je crois savoir, pour arbitrer une telle contradiction, on utilise la hiérarchie des normes qui classe une loi au-dessus d'un décret, mais, dans le cas présent, si l'on fait ça, on perd le rouage qui permet un recours juridictionnel effectif en l'absence d'une décision de l'APD comme l'impose pourtant le 78.2 du RGPD…

Je constate qu'Aeris cherche aussi à saisir le Conseil d'État de l'inaction de la CNIL sur une base légale que j'ignore (source 1, source 2).

Aeris nous aura appris que :

• Le CEPD (organisme de coordination des APD au niveau européen) ne peut pas être saisi par un citoyen pour agir contre une APD, et il renvoit vers le médiateur national (source) ;
  
  
• Le Défenseur des Droits se déclare être incompétent au motif que la CNIL est une autorité administrative indépendante (source).

Bref, affaires à suivre.

Il y a "quelques" mois, Aeris lançait un appel à témoigner des actions de la CNIL. Vu que j'ai déjà publié la majorité de mes plaintes et leur suivi (liens dans l'inventaire ci-dessous), je me dis que ce n'est pas une mauvaise idée de publier cela. Alors voici.

Résumé

Total

• 61 réclamations visant 46 responsables de traitement dont :
  • 60 plaintes dont 4 mal rédigées ;
    
    
  • 1 signalement d'une fuite de données.

État

• 9 réclamations clôturées dont :

  • 4 plaintes irrecevables (à raison ou car plainte mal rédigée donc incompréhensible) ;
    
    
  • 1 clôture à ma demande (liquidation judiciaire du responsable du traitement sans lien avec le mésusage de données persos) ;
    
    
  • 3 clôtures dont je ne suis pas satisfait (dans la majorité des cas, la CNIL appuie une demande d'effacement sans sanctionner les infractions au RGPD, et, dans un cas, aucun retour du responsable du traitement malgré le soutien de la CNIL) ;
    
    
  • 1 clôture dont je suis vaguement satisfait.
• 51 réclamations dans l'état « transmise au service des plaintes » (ou au service des contrôles) + 1 qui n'a pas encore passée le greffe.

Répartition temporelle

• 2017 : 2 réclamations dont 1 plainte toujours ouverte ;
  
  
• 2019 : 3 plaintes dont 1 clôturée et 2 qui n'ont pas passé le greffe (sans qu'un quelconque retour me parvienne) ;
  
  
• 2020 : 1 plainte toujours en cours ;
  
  
• 2021 : 1 plainte clôturée (mais les infractions perdurent) ;
  
  
• 2022 : 41 plaintes dont 36 en septembre-octobre-novembre ; 5 clôturées (une le gros du boulot est fait ; une à ma demande ; pour deux autre l'infraction perdure ; la dernière a été jugée irrecevable après transmission au service des plaintes) ;
  
  
• 2023 : 13 plaintes ; toutes en cours de traitement (sauf une qui n'a pas encore passée le greffe).

Répartition par thématique

Une même plainte, un même fait, peut appartenir à plusieurs thématiques.

• Transfert illégal de données persos hors de l'UE (CDN, prestataire d'e-mailing, ressources web téléchargées depuis des entités états-uniennes, etc.) ; raisonnement juridique général : 40 ;
  
  
• Liens et/ou images de traçage dans un email ; raisonnement juridique général : 15 ;
  
  
• Emails non sollicités (commerciaux ou non) : 11 ;
  
  
• Base légale irrecevable (très souvent pour des emails non sollicités) : 10 ;
  
  
• Difficulté pour faire aboutir une demande d'opposition / d'effacement (très souvent suite à un email non sollicité) : 9 ;
  
  
• Durée de conservation excessive / bien supérieure à celle consignée dans la politique de confidentialité : 8 ;
  
  
• Absence de transparence / d'information dans la politique de confidentialité (et autres docs) et droit d'accès incomplet (pas toutes les infos) : 17 ;
  
  
• Absence de réponse à un exercice de droit dans le délai légal : 5 (dont une absence totale de réponse, même quasi un an après intervention de la CNIL) ;
  
  
• Divulgation de données persos / absence de sécurité effective : 1.

Attention : cette classification est approximative (dans mon référentiel de mes plaintes, je n'ai pas forcément fait remonter les griefs mineurs, qui, de fait, n'apparaissent pas dans ce shaarli et donc dans les comptes) et arbitraire (certains faits sont difficiles à classer, notamment si l'exercice de mon droit d'accès ne m'a pas permis de prendre connaissance de la finalité / base légale d'un traitement). Mais, ça correspond plutôt bien à mon ressenti.

Certains chiffres qui semblent être en décalage avec ceux d'autres militants (comme Aeris) s'expliquent :

• Si j'ai peu d'absence de réponse dans le délai légal, c'est que j'ai souvent signalé à la CNIL des infractions au RGPD (ce qui ne nécessite pas un exercice préalable des droits) ;
  
  
• Si le démarchage inopportun est aussi insignifiant, c'est que je suis un ermite numérique qui ne reçoit pas grand-chose et qui supprime ses alias emails rapido après usage (bloquant, de fait, tout contact futur et donc démarchage) ;
  
  
• Si j'ai aussi peu de droit d'accès incomplet, c'est que je l'ai peu exercé (là où Aeris est un champion hors pair, afin de remonter les revendeurs de données persos), car, encore une fois, le spam et la revente des données me concernent très très peu, car je ne le vois pas, cf. point précédent ;
  
  
• Si je ne mentionne pas de bandeau cookies défectueux ou trompeur, c'est que je m'y intéresse trop peu, donc il s'agit de points secondaires de mes plaintes, qui ne sont pas remontés dans ma synthèse et donc ici.

Détail

Tu y trouveras une synthèse des plaintes antérieures à 2022 que je n'ai pas publié, accompagnée d'un recul critique (certaines plaintes sont mal voire très mal rédigées, permettant à la CNIL de rester inactive).

Le tri est effectué par ordre croissant de la date de dépôt de plainte à la CNIL. J'ai décidé de regrouper par responsable du traitement (RT), car grouper par date n'a pas d'intérêt et grouper par thématique génère la duplication de certaines plaintes (car certaines concernent plusieurs thématiques).

La Poste

• Contexte & griefs : au guichet, je remplis et signe un formulaire de ré-expidition du courrier en cochant bien la case "ne pas recevoir de spam postal". Le guichetier l'utilise pour remplir un formulaire numérique, qu'il ne me demande pas de signer. Donc, sur le moment, je ne remarque pas qu'il n'a pas coché ladite case. En déménageant, je me fais spammer à mort. Plus d'infos ;

  • Droit d'accès incomplet : La Poste ne me file pas toutes les infos qu'elle a collectées sur moi (notamment le numéro de ma CNI, sa date de délivrance, etc. qui apparaissent sur le formulaire de ré-expédition) ni à qui elle a revendu mon adresse postale (c'est pourtant une obligation légale) ;
    
    
  • Le RT doit apporter la preuve du consentement. Le DPO LP me répond « vous ne vous êtes pas opposé à cette commercialisation en cochant la case dédiée ». Plusieurs juristes m'avaient informé que c'est un point indémerdable en droit, que la CNIL a jamais tranché (attention, ça date de 2017, depuis, le CEPD aurait posé des jalons, cf. point 5.1 de ces lignes directrices) ;
    
    
  • Droit d'opposition ineffectif : je continuais à recevoir du spam (au-delà de la latence raisonnable, c'est-à-dire le temps de me sortir de la base, de transmettre mon opposition aux prestataires, si le prospectus a été envoyé à l'imprimeur ou déjà imprimé, etc.), et le DPO LP m'a répondu de lui signaler les envois litigieux au cas par cas, ce qui, comme le droit d'accès incomplet, me laissait penser que la traçabilité était défectueuse… ;
    
    
  • Je ne l'ai pas souligné à la CNIL, mais, la prospection pour des produits / services pas similaires / d'une autre société commerciale auprès d'un particulier doit reposer sur le consentement explicite (opt-in), pas sur l'opposition (opt-out).
• Date de la plainte CNIL : avril 2017 ; Demande d'un suivi en mars 2018 (aucune réponse) et en novembre 2022 (demande de suivi transmise au service des plaintes) ;
  
  
• État de la plainte : transmise au service des plaintes depuis avril 2017. Fin 2022, La Poste enfreint toujours le RGPD sur ces points-là :( ;
  
  
• Commentaire : je reconnais que cette plainte est mal rédigée. J'explique le problème, et je demande à la CNIL son interprétation du droit. La bonne façon de faire : dire que ce sont des infractions selon toi et demander une sanction. La CNIL dira, par son action, si ton interprétation de la loi est correcte ou non. Mais douter et demander une interprétation, c'est mort, c'est le meilleur moyen que ta plainte n'avance pas.

• Contexte & griefs : son site web fait télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes. Notamment, le suivi d'un envoi est impossible sans accepter un outil de suivi du parcours client (qui, en sus, ne peut relever de l'intérêt légitime) téléchargé sur des serveurs ricains. Plus d'infos ;
  
  
• Date de la plainte : début septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis début septembre 2022.

• Contexte & griefs : liens et images traçants dans ses emails « Votre Colissimo arrive ! » + images et redirection des liens hébergées chez Microsoft. Plus d'infos ;
  
  
• Date de la plainte : début octobre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis début octobre 2022.

Gaz Électricité de Grenoble

• Contexte & griefs : suite à un appel au service clients de GEG, je reçois, par email, une enquête de satisfaction de la part d'un prestataire de GEG (Market Audit). Je clique sur le lien : aucun questionnaire, mais des données personnelles d'un autre client (nom, prénom, adresse postale, numéro de téléphone, objet du dernier appel à GEG, d'autres infos que je ne savais pas interpréter). F5. Des données persos concernant quelqu'un d'autre. Le service clients GEG me confirme que deux des trois identités que j'ai vu sont bien clientes de GEG et qu'ils font remonter. Avec les numéros de téléphone dispos dans l'annuaire et sur le web, je contacte le presta, et je finis par tomber sur un dirlo de la communication. 30 minutes plus tard, une autre employée (que j'avais sollicité) m'informe que le problème est corrigé ;

  • J'informe la CNIL et l'invite à étudier les aspects inconnus : durée de la fuite de données ? Ampleur (tous les clients du prestataire ou juste ceux de GEG) ? Comment cela a-t-il pu se produire (absence d'isolation backend/frontend) ? Quelle correction définitive ? Etc.
• Date du signalement : mi-septembre 2017 ; Demande d'un suivi fin septembre 2017 (aucune réponse), en mars 2018 (transmise au service des contrôles, pas de réponse), et en novembre 2022 (« les signalements transmis au service des contrôles ne donnent pas lieu à un suivi de dossier », il était temps de me le dire !) ;
  
  
• État du signalement : transmis au service des contrôles depuis la mi-octobre 2017 (un mois après mon signalement).

Banque Populaire (l'une de ses instances régionales)

• Contexte & griefs : difficulté, pour obtenir la liste des données personnelles strictement nécessaires (loi, contrat, etc.) à notre relation commerciale. Tout est présenté comme étant obligatoire, mais quand j'insiste, ça l'est uniquement pour des services auxquels je n'ai pas souscrit, etc. ;
  
  
• Date de la plainte : novembre 2019 :
  
  
• État de la plainte : clôturée mi-décembre 2020 : « [ La CNIL n’a ] pas vocation à se prononcer, au cas par cas, sur le profil de la relation contractuelle établie avec votre banque, qui définie son degré d’exposition au risque et la nature des informations qu’elle est susceptible de recueillir auprès de vous pour se prémunir contre ce risque ». Prendre contact avec le médiateur de la banque. En revanche, une banque doit informer de la raison de la collecte d'une donnée perso, de ce qu'elle va en faire, et des conséquences d'un refus ;
  
  
• Commentaire : je reconnais que cette plainte est très mal rédigée. Je demande à la CNIL une liste de ce qu'une banque a l'obligation légale de collecter, l'interdiction légale de collecter, etc. et l'invite à en faire un guide sur son site web avant de lui relater mes échanges tortueux avec ma banque, sans lui demander quoi que ce soit (à part sous-entendre "regardez comment c'est compliqué de savoir"). Forcément… La bonne démarche aurait été d'être affirmatif : information incomplète = infraction, et, me renseigner sur les obligations légales d'une banque, puis demander à ma banque d'effacer telles infos précises, et en cas de refus, plainte CNIL pour droit d'effacement ineffectif.

• Contexte & griefs : je demande à ma banque de supprimer de mon dossier un numéro de téléphone fixe périmé. Il fut effacé. Puis, des mois après (au-delà d'un délai raisonnable, donc), il est ré-apparu dans mon espace client web. J'ai redemandé sa suppression. Il a été de nouveau effacé. Je n'ai plus confiance et demande à la CNIL de vérifier si la BP stocke des données personnelles périmées à mon sujet. Effacement difficile, en somme ;
  
  
• Date de la plainte : novembre 2019 ;
  
  
• État de la plainte : elle n'a pas franchi le greffe de la CNIL, mais aucune information (rejet, etc.) m'a été envoyée ;
  
  
• Commentaire : plainte très mal rédigée. Il fallait écrire "une donnée perso prétendument effacée réapparaît des mois après, infraction au RGPD, sanction". Pour l'absence de confiance, il fallait exercer mon droit d'accès, constater une absence de réponse ou une réponse incomplète (pas représentative de ce qu'une banque détient sur son client ‒ ne rigole pas, c'est comme ça qu'est arrivé l'arrêt CJUE Schrems I : absence de représentativité d'une réponse de Facebook à un droit d'accès ‒) ou contenant des infos périmées (et demander alors leur rectification / suppression), tout en déposant une plainte à la CNIL ("donnée périmée" ou "réponse incomplète" ou "absence de réponse").

• Contexte & griefs : un contrat « porteur CB » de la BP stipulait que le GIE CB élaborait des stats anonymes auxquelles on pouvait s'opposer, en ne disant pas que Visa faisait pareil (c'était Visa Advertising Solutions et un formulaire web d'opt-out était dispo). Si la notice RGPD de la BP mentionne bien des transferts vers GIE CB, Visa et Mastercard, elle ne dit pas quel jeu de données l'est, pour quelles finalités, et qu'il est possible d'opt-out un traitement de Visa. Une nouvelle version du contrat « porteur CB » ne mentionne plus les stats du GIE CB et renvoie vers la politique de confidentialité de ce dernier. Toujours aucun renvoi vers Visa (qui permettait un opt-out partiel, j'insiste). La Notice RGPD reste inchangée. Bref, j'y voyais un manque de transparence / d'information sur les transferts de données persos réalisés par la BP ;
  
  
• Date de la plainte : novembre 2019 ;
  
  
• État de la plainte : elle n'a pas franchi le greffe de la CNIL, mais aucune information (rejet, etc.) m'a été envoyée ;
  
  
• Commentaire : plainte mal rédigée. Je demande à la CNIL d'émettre un avis sur un contrat que je n'ai pas encore signé et d'intervenir pour faire stopper un manque de transparence… La bonne façon de faire : être affirmatif ("absence d'information sur les transferts et leur finalité = infraction RGPD"), et ne pas demander confusément un avis sur un contrat en cours de négociation (pas signé).

• Contexte & griefs : le nouvel espace client web fait télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes. Plainte dispo ici ;
  
  
• Date de la plainte : début mai 2022. Demande de suivi en novembre 2022, car, d'après le téléservice de la CNIL, elle n'avait pas passé le greffe, alors que si, donc ma demande de suivi a été transmise au service des plaintes ;
  
  
• État de ma plainte : transmise au service des plaintes début mai 2022 ;
  
  
• Commentaire : il s'agit de ma première plainte dans la thématique « Schrems II ».

• Contexte & griefs : le nouvel espace client web fait télécharger un outil de tests A/B et un autre de gestion de la performance, tous deux externalisés dans l'UE. Cela ne peut pas reposer sur l'intérêt légitime (le test de légitimité en trois étapes n'est pas passé), donc BP devrait recueillir un consentement au traitement. Plainte dispo ici ;
  
  
• Date de la plainte : début mai 2022. Demande de suivi en novembre 2022, car, d'après le téléservice de la CNIL, elle n'avait pas passé le greffe, alors que si, donc ma demande de suivi a été transmise au service des plaintes ;
  
  
• État de ma plainte : transmise au service des plaintes début mai 2022.

• Contexte & griefs : refus de supprimer des données persos (situation familiale, statut d'occupation d'un logement et depuis quand, etc.) au motif qu'il s'agit d'infos nécessaires à l'évaluation du risque dans le cadre de la lutte contre le blanchiment et le financement du terrorisme (cette évaluation est une obligation légale), ce dont je disconviens en m'appuyant sur les lignes directrices de l'ACPR. Plus d'infos ;
  
  
• Date de la plainte : mi-novembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes mi-novembre 2022. Réponse par email (pas par le téléservice) le 28/11/2022 sans clôture de la plainte (résumé : incompétence de la CNIL, renvoi vers l'ACPR), complément de réponse et clôture le 05/12/2022 suite à mon complément interrogatif du 02/12/2022.

ACESI

• Contexte & griefs : demande d'un devis pour une association que nous ne signons pas Je continuais de recevoir des emails de démarchage plus de cinq ans après. Un peu excessif. Demande d'effacement ;

  • La politique de confidentialité ne présentait pas le traitement ni la durée de conservation (y'en avait que pour les clients, les contacts via le formulaire web, etc.) ;
    
    
  • N'étant pas client, il était illégal de me démarcher sans consentement (voir) ;
    
    
  • Dès 2018, j'ai cliqué sur le lien « se désinscrire » d'un email. Aucun effet. En 2019, email au co-dirlo (qui me spammait à nouveau). Aucune réponse, aucun effet. En octobre 2020, j'utilise l'adresse emails générique consignée dans la politique de confidentialité. Le même co-dirlo qu'en 2019 me répond que ma demande d'effacement a été exécutée. Absence de réponse sur les autres points (durée de conservation excessive, absence de base légale, opposition automatique ineffective, délai légal largement dépassé).
• Date de la plainte : octobre 2020. Demande de suivi en novembre 2022 (demande de suivi transmise au service des plaintes) ;
  
  
• État de la plainte : transmise au service des plaintes depuis fin octobre 2020 ;
  
  
• Commentaire : toujours utiliser l'adresse emails consignée dans la politique de confidentialité. Même si l'adresse d'émission du spam est une adresse lue par un humain, celle d'un co-dirlo, etc.

Silkhom

• Contexte & griefs : ce cabinet de recrutement me propose des offres d'emploi 4 ans après ma candidature sur l'une des offres dont il avait la charge. Quatre ans, c'est le double de la durée max de conservation annoncée dans la politique de confidentialité. Deux demandes d'effacement (car deux spams en un mois). Absence de réponse. Je raconte ça ici ;
  
  
• Date de la plainte : août 2021 ;
  
  
• État de la plainte : clôturée fin décembre 2021 : « La CNIL a appuyé votre demande […] » (message type). La CNIL ne se prononce donc pas sur la durée de conservation excessive. :(

Danitis

• Contexte & griefs : ce cabinet de recrutement me propose des offres d'emploi 7 ans après une candidature. Sept ans, c'est au-delà de la durée max de conservation annoncée dans la politique de confidentialité (5 ans), et c'est clairement excessif. Le lien « se désinscrire » d'un email précédent n'a pas produit l'effet escompté. Aucune réponse à ma demande d'effacement ;
  
  
• Date de la plainte : début janvier 2022 ;
  
  
• État de la plainte : clôturée début janvier 2022 : « La CNIL a appuyé votre demande […] » (message type). La CNIL ne se prononce donc pas sur la durée de conservation excessive. :(

ÉDIT DU 19/07/2023 :

Suite à une demande de communication de documents, la CNIL m'a transmis, le 30/01/2023, la prose qu'elle a envoyée à Danitis le 4 janvier 2022 (j'ai caviardé mon identité et mon adresse postale). Contrairement à son échange avec Shilkhom (voir point précédent), elle y évoque bien la durée de conservation, se garde bien de la qualifier d'excessive, invite Danitis à consulter sa fiche pratique, et, si Danitis constate qu'elle ne respecte pas les règles qui y sont rappelées, elle doit se mettre en conformité.

Contrairement à ma réclamation visant Silkhom, cette fois-ci la CNIL a clôturé ma réclamation après avoir envoyé son courrier à Danitis.

Malgré l'appui de la CNIL, Danitis ne m'a jamais informé de la suite qu'elle a donnée, ne serait-ce que m'informer de la bonne suppression de mes données persos…

FIN DE L'ÉDIT DU 19/07/2023.

Une administration française (mon employeur, au moment du dépôt)

• Contexte & griefs : plusieurs dizaines de ses sites web font télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes. Plus d'infos ;
  
  
• Date de la plainte : fin mai 2022. Demande de suivi en novembre 2022, car, d'après le téléservice de la CNIL, elle n'avait pas passé le greffe, alors que si, donc transmission de ma demande de suivi au service des plaintes ;
  
  
• État de la plainte : transmise au service des plaintes depuis fin mai 2022.

Fisc

• Contexte & griefs : son espace personnel pour les particuliers fait télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes + recours à un CDN ricain sur certaines pages. Plus d'infos ;
  
  
• Date de la plainte : début septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis début septembre 2022.

Cogent Communications

• Contexte & griefs : j'étais le contact technique / administratif pour deux associations. Puis, j'ai pris le large. Je le signale à Cogent. Elle continue de m'envoyer des emails en rapport avec la relation commerciale qu'elle continue légitimement d'avoir avec les assos (hausse de prix, maintenance programmée, etc.). Je lui signale. On me répond que je suis déjà effacé de la base, qu'on ne comprend pas d'où ça sort, qu'on envoie au service technique (avec preuve de l'échange en PJ). Aucun retour, et je reçois toujours des emails deux ans et demi après. Nouveau signalement, absence de réponse. Droit à l'effacement incomplet, car traçabilité des données incomplète. Plus d'infos ;
  
  
• Date de la plainte : début septembre 2022. Demande de suivi en novembre 2022, car, d'après le téléservice de la CNIL, elle n'avait pas passé le greffe ;
  
  
• État de la plainte : transmise au service des plaintes et clôturée mi-novembre 2022 (suite à ma relance) : « La CNIL est intervenue à l’appui de votre demande […] Elle lui a rappelé ses obligations et lui a demandé d’effacer les données vous concernant de ses fichiers de prospection ». Il ne s'agit pas de prospection. La CNIL ne se penchera pas sur l'effacement incomplet réitéré (je ne lui avait pas demandé, ceci dit, mais bon… relou).

Vitaline

• Contexte & griefs : mélange entre newsletter et démarchage pour des produits similaires à ceux achetés. Sauf que j'ai jamais été informé et que le premier envoi a eu lieu 11 mois après mon dernier achat… + liens et images traçants dans les emails + utilisation d'un CDN ricain pour diffuser les images de l'email, rediriger les liens, et héberger son site web officiel. Plus d'infos ;
  
  
• Date de la plainte : début septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis début septembre 2022.

Le Ravi

• Contexte & griefs : lors d'un appel au don, ré-utilisation d'une adresse emails utilisée deux ans plus tôt pour signer une pétition We Sign It lancée par le journal. Lors de la pétition, j'avais refusé la newsletter We Sign It, donc la seule finalité de collecte de mon adresse emails était la sécurité / fiabilité de la pétition. We Sign It est aussi responsable car elle permet l'exportation des adresses emails des signataires d'une pétition, y compris celles collectées uniquement pour la sécurité (et sans le mentionner dans sa politique de confidentialité). Absence d'info, détournement de finalité et durée de conservation excessive. Plus d'infos ;
  
  
• Date de la plainte : début septembre 2022 ;
  
  
• État de la plainte : clôturée à ma demande fin novembre 2022 suite à la liquidation judiciaire du Ravi.

OVH

• Contexte & griefs : liens et images traçants dans ses emails commerciaux + les images et la redirection des liens sont diffusées via un CDN ricain. Plus d'infos ;
  
  
• Date de la plainte : mi-septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-septembre 2022 ;
  
  
• Commentaire : il s'agit de ma première plainte pour des liens et images traçants.

Caisse Nationale de l'Assurance Maladie

• Contexte & griefs : liens et images traçants dans ses emails. Plus d'infos ;
  
  
• Date de la plainte : mi-septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-septembre 2022.

Météo France

• Contexte & griefs : impossible de consulter les cartes de prévision (je ne parle pas de vigilance) sans télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes. Plus d'infos ;
  
  
• Date de la plainte : mi-septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-septembre 2022.

Pôle emploi

• Contexte & griefs : impossible de s'inscrire au Pôpôle sans télécharger des ressources web depuis des serveurs informatiques détenus par des entités états-uniennes + volonté contradictoire de présenter, dans le bandeau cookies, l'outil de mesure d'audience Xiti comme étant nécessaire (ce qui ne peut pas être le cas) et de le dissimuler (CNAME cloaking). Plus d'infos ;
  
  
• Date de la plainte : mi-septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-septembre 2022.

• Contexte & griefs : liens et images traçants dans ses emails (courrier disponible dans l'espace personnel web, échange avec un conseiller, etc.). Plus d'infos ;
  
  
• Date de la plainte : mi-octobre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-octobre 2022.

• Contexte & griefs : convocation à un atelier se déroulant en visio avec Microsoft Teams + communication, pour y accéder, d'un lien court de la société commerciale ricaine Bitly (aucun autre moyen). Deux transferts illégaux de données persos vers les États-Unis. Plus d'infos ;
  
  
• Date de la plainte : début novembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis début novembre 2022.

• Contexte & griefs : invitations récurrentes à rejoindre le réseau social de Pôpôle. Volumétrie excessive. Le seul moyen de s'opposer en autonomie nécessite de créer un compte sur le réseau social… duquel on refuse les invitations. Des informations légalement obligatoires manquantes. Le réseau social utilise des ressources web (scripts, images, police) téléchargées depuis des entités états-uniennes. Idem pour les images rédactionnelles des emails. Liens et image de traçage dans les emails. Plus d'infos ;
  
  
• Date de la plainte : fin décembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis fin décembre 2022.

Direction de l'Information Légale et Administrative (DILA)

• Contexte & griefs : recours à un CDN ricain pour plusieurs sites web officiels du gouvernement français (Légifrance, Journal-Officiel, Vie-Publique, etc.) et téléchargement de ressources web depuis des serveurs détenus par des entités ricaines. Plus d'infos ;
  
  
• Date de la plainte : mi-septembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-septembre 2022.

Decitre

• Contexte & griefs : liens et images traçants dans ses emails de suivi d'une commande + images et redirection des liens via Amazon + prestataire d'e-mailing ricain. Donc transferts illégaux de données persos vers les États-Unis. Plus d'infos ;
  
  
• Date de la plainte : mi-octobre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-octobre 2022.

CNIL

• Contexte & griefs : pour proposer des vidéos sur son site web, la CNIL a recours à un prestataire français qui s'héberge chez des entités états-uniennes, y compris le suivi des interactions avec une vidéo (lecture, pause, reprise, déplacement, à tels moments de telle vidéo, etc.). Carences dans le pilotage de la sous-traitance. Plus d'infos ;
  
  
• Date de la plainte : mi-octobre 2022 ;
  
  
• État de la plainte : réponse du DPO de la CNIL à la mi-octobre 2022 : "il m'incombe de traiter votre plainte, je reviens vers vous" ; plainte clôturée le 10/01/2023 : auto-hébergement des vidéos + dialogue avec le prestataire.

• Contexte & griefs : suite de la précédente puisque toutes les vidéos litigieuses n'avaient pas été préventivement internalisées alors qu'il apaprtient à une entité mise en cause (que ce soit la CNIL ou non) de corriger l'ensemble des composants d'un problème, pas uniquement ceux signalés. Plus d'infos ;
  
  
• Date de la plainte : mi-avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes mi-avril 2023.

Arrêt sur images, Basta, Disclose, Fakir, Les Jours, L'informé, Mediapart, Next Inpact, Numerama, Off Investigation, Siné mensuel, et StreetPress

• Contexte & griefs : recours à un CDN ricain et/ou téléchargement de ressources web depuis des serveurs informatiques détenus par des entités ricaines et, pour la plupart, dépôt de cookies de traçage sans consentement (induit par les tiers intégrés à leurs sites web). Recours à un prestataire d'e-mailing ricain pour les newsletters ou les emails transactionnels de certains, bandeau cookies trompeur et/ou pas exhaustif chez d'autres. Pour la moitié, aucune amélioration suite à un signalement vieux de deux ans. Plus d'infos ;
  
  
• Dates des plaintes : début novembre 2022 ;
  
  
• État des plaintes : transmises au service des plaintes depuis début novembre 2022 ;
  
  
• Commentaire : il s'agit de plusieurs plaintes puisqu'une plainte doit viser un seul RT.

Danitis, Expectra, ITalent, Silkhom et Squad

• Contexte & griefs : cabinets de recrutement qui me proposent des offres d'emploi des années après ma candidature sur l'une des offres dont ils avaient la charge. Détails ici ;

  • Base légale irrecevable : le test de légitimité en trois étapes de l'intérêt légitime qui permet légalement ces envois n'est pas passé (argumentaire), surtout quand les offres ne sont pas ciblées sur les compétences (le service proposé n'est pas similaire) ;
    
    
  • Durée de conservation excessive au regard de la finalité, et supérieure (du double dans 4/5 des cas) à celle annoncée dans la politique de confidentialité ;
    
    
  • Pour trois d'entre eux : absence de réponse à un exercice de droit dans le délai légal. Dans un cas, absence totale de réponse même après intervention de la CNIL (cf. plainte ci-dessus) ;
    
    
  • Pour deux d'entre eux, on ajoute liens et images traçants dans leur email. Pour deux d'entre eux, leur politique de confidentialité mentionne une obligation de fournir un justificatif d'identité lors d'une demande d'exercice des droits (cette obligation n'existe pas). Pour deux d'entre eux, transfert illégal de données persos en dehors de l'UE (prestataire d'e-mailing, hébergement des images de l'email, Google Fonts dans l'email, etc.). Pour deux d'entre eux, on ajoute difficulté à faire effacer mes données persos, cf. plaintes ci-dessus.
• Dates des plaintes : début novembre 2022 ;
  
  
• État des plaintes : transmises au service des plaintes depuis début novembre 2022 ;
  
  
• Commentaire : il s'agit de plusieurs plaintes puisqu'une plainte doit viser un seul RT. Première fois que je contestais la recevabilité d'un l'intérêt légitime.

Scaleway

• Contexte & griefs : quatre ans après une création de compte client / commande avortées (car je ne voulais pas valider mon compte avec mon téléphone, 2FA tout ça) et une impossibilité de me connecter à mon compte client afin de le clôturer (erreurs techniques signalées au service clients quasiment deux ans avant ma plainte), je continue de recevoir des emails typiques d'une relation commerciale (changez votre mdp, nouveaux tarifs, etc.). Plus d'infos ;

  • Base légale irrecevable : je ne suis pas devenu client (ce qu'énonçait le pied de page des premiers emails), donc absence de nécessité au contrat, et l'on repassera pour l'intérêt légitime à recevoir les nouveaux tarifs de service qu'on n'a pas souscrit et d'exigence de changement du mot de passe d'un compte client auquel on ne peut pas se connecter. Ça sent quand même plus le bug technique qui m'a fait entrer dans un cas imprévu qu'une volonté de nuire ;
    
    
  • Durée de conservation excessive : la politique de confidentialité énonce cinq ans après la fin de la relation commerciale / délai légal… mais j'ai jamais été client, et, dans ce cas-là, une durée de conservation de quatre ans est excessive ;
    
    
  • Transfert illégal de données personnelles hors de l'UE (prestataire e-mailing ricain) ;
    
    
  • Liens et images traçants dans les emails depuis au moins deux ans et demi.
• Date de la plainte : mi-novembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-novembre 2022.

Mediapart

• Contexte & griefs : liens et images traçants dans email + hébergement des images de l'email chez les ricains + prestataire d'e-mailing européen concerné par le CLOUD Act. Plus d'infos ;
  
  
• Date de la plainte : mi-novembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-novembre 2022.

OpenStreetMap Foundation

• Contexte & griefs : recours à un CDN ricain pour diffuser sa carte sur son site web officiel + recours à un autre CDN ricain pour télécharger des scripts nécessaires à son éditeur en ligne. Plus d'infos ;
  
  
• Date de la plainte : mi-novembre 2022 ;
  
  
• État de la plainte : transmise au service des plaintes depuis mi-novembre 2022.

Mutins de Pangée

• Contexte & griefs : recours à des CDN ricains pour diffuser ses ressources web statiques et les films + les seuls prestataires de paiement proposés sont des ricains alors que l'usage de l'un d'eux a été étriller par une APD. Plus d'infos ;
  
  
• Date de la plainte : mi-avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes mi-avril 2023.

Mairie de mon bled

• Contexte & griefs : recours à Microsoft pour ses emails + utilisation de Google Analytics, Google Fonts et Google DoubleClick (?!) sur son site web. Plus d'infos ;
  
  
• Date de la plainte : mi-avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes mi-avril 2023.

CGT

• Contexte & griefs : divulgation de données persos de syndiqués à un tiers + le logiciel de gestion des adhésions, des cotisations, etc. semble octroyer trop de droits (lecture, etc.) à trop de monde, ce qui nuit à la sécurité des données persos (la divulgation en est l'illustration). Plus d'infos ;
  
  
• Date de la plainte : mi-avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes mi-avril 2023.

Le Bon Coin

• Contexte & griefs : les emails transactionnels sont émis par des sociétés commerciales ricaines + ils contiennent des images et des liens de traçage + qui sont hébergés par des entités ricaines + même chose pour les images rédactionnelles + recours à un CDN ricain pour diffuser le site web + recours à des ressources web hébergées par des entités ricaines. Plus d'infos ;
  
  
• Date de la plainte : mi-avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes mi-avril 2023.

Darty

• Contexte & griefs : les emails transactionnels sont émis par une sociétés commerciale ricaine + ils contiennent des images et des liens de traçage + qui sont hébergés par une entités ricaine + même chose pour les images rédactionnelles + recours à un CDN ricain pour diffuser le site web + recours à une palanquée ressources web hébergées par des entités ricaines. Plus d'infos ;
  
  
• Date de la plainte : mi-avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes mi-avril 2023.

FNAC

• Contexte & griefs : les emails transactionnels contiennent des images et des liens de traçage + qui sont diffusés par une entité ricaine + même chose pour les images rédactionnelles et des polices de caractères + recours à un CDN ricain pour diffuser le site web et à une palanquée de ressources web hébergées par des entités ricaines. Plus d'infos ;
  
  
• Date de la plainte : mi-avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes mi-avril 2023.

SFR

• Contexte & griefs : reCAPTCHA est nécessaire pour se connecter à l'espace client de Red by SFR + le site web (y compris l'espace client) incorpore une palanquée de ressources web hébergées par des entités ricaines. Plus d'infos ;
  
  
• Date de la plainte : fin avril 2023 ;
  
  
• État de la plainte : transmise au service des plaintes fin avril 2023.

Basta

• Contexte & griefs : conservation 5 ans d'une adresse emails utilisée lors d'un don (conservation excessive) pour l'inscrire à plusieurs newsletters dont 2 sans rapport avec le don (détournement de finalité, et absence de base légale), liens et images de traçage dans les emails des newsletters, et images (et police de caractères) des newsletter hébergées par les ricains. Plus d'infos ;
  
  
• Date de la plainte : fin juillet 2023 ;
  
  
• État de la plainte : transmise au service des plaintes début août 2023.

Conseil National des Barreaux

• Contexte & griefs : emails entrants sous-traités à Microsoft. Logiciel de gestion des demandes d'assistance de la société commerciale ricaine Zendesk. Les emails envoyés par celle-ci contiennent des images diffusées via un CDN ricain. Plus d'infos ;
  
  
• Date de la plainte : fin juillet 2023 ;
  
  
• État de la plainte : transmise au service des plaintes début août 2023.

GIE CB

• Contexte & griefs : emails sous-traités à une entité ricaine. Plus d'infos ;
  
  
• Date de la plainte : fin juillet 2023 ;
  
  
• État de la plainte : reçue (elle n'a pas encore passée le greffe).

• Contexte & griefs : réponse incomplète à une demande d'information sur un traitement et sur les modalités d'exercice du droit d'opposition. Plus d'infos ;
  
  
• Date de la plainte : fin juillet 2023 ;
  
  
• État de la plainte : transmise au service des plaintes début août 2023.

Visa

• Contexte & griefs : réponse incomplète à une demande d'information sur un traitement et sur les modalités d'exercice du droit d'opposition. Plus d'infos ;
  
  
• Date de la plainte : fin juillet 2023 ;
  
  
• État de la plainte : transmise au service des plaintes début août 2023.

ÉDIT DU 29/12/2022 : ajout de la 4e plainte visant Pôle emploi et clôture de la plainte visant la Banque Populaire « refus de supprimer des données persos » de mi-novembre 2022. FIN DE L'ÉDIT.

ÉDIT DU 10/01/2023 : mise à jour de l'état de la plainte déposée à la mi-octobre 2022 portant sur le site web de la CNIL. FIN DE L'ÉDIT.

ÉDIT DU 21/07/2023 : ajout d'un lot de 8 réclamations. FIN DE L'ÉDIT.

ÉDIT DU 06/08/2023 : ajout d'un lot de 5 réclamations. FIN DE L'ÉDIT.

CNIL : 225 agents, 20 millions de budget annuel, 29 condamnations 2019 - mi-octobre 2022
AEPD : 195 agents, 16 millions de budget annuel, 503 condamnations 2019 - mi-octobre 2022

AEPD = CNIL espagnole.

Ces derniers mois, Aeris compare beaucoup ces deux Autorités de Protection des Données personnelles (APD). Je doutais un peu des chiffres présentés, car, dans son rapport annuel 2021, la CNIL déclare 18 sanctions dont 15 amendes, soit la moitié du chiffre d'Aeris. 14 en 2020. 8 en 2019. Etc.

D'abord, on note que ça fluctue rapido chez Aeris : 14 jours après les chiffres ci-dessus, la CNIL a perdu 25 agents et 12 condamnations (sans compter que 2 par an, ça ne fait pas 17 en 4 ans)… Avant de les retrouver quelques jours plus tard avec, en sus, 14 sanctions supplémentaires côté AEPD.

Ensuite, je m'interroge sur le référentiel utilisé. Depuis 2019, CNIL = 40 sanctions, AEPD = 715, d'après un premier. 55 / 168 d'après un deuxième. 31 / 531 d'après un troisième. Faudrait savoir. Qui est le mieux informé ? Tous ont-ils la même définition de ce qu'est une sanction ? Je constate qu'aucun correspond aux chiffres consignés par la CNIL dans ses rapports annuels, même si l'on prend uniquement les amendes…

Enfin, je m'interroge :

• Ces référentiels semblent publier ce qu'ils trouvent sur le site web officiel de l'APD. Si l'une publie plus que l'autre, c'est perdu. Or, la CNIL a tendance à publier en dernier ressort ;
  
  
• La définition de « sanction » est-elle la même pour chaque APD ? Combien de rappels à l'ordre et de mises en demeure côté AEPD ? Choisir une mise en demeure plutôt qu'une amende est un choix (que l'on peut contester), mais il s'agit tout de même d'une action à l'encontre d'un responsable de traitement ;
  
  
• La charge de travail est-elle la même de chaque côté ? Mêmes missions ? Nombre de lois, de décrets, d'arrêtés sur lesquels elles doivent émettre un avis ? Nombre de plaintes reçues (a priori identique, au moins en 2021 : 13 905 côté espagnol, 14 143 côté français) ? Combien après écrémage / qualification ? Tous les agents ne sont pas forcément affectés au traitement des plaintes, genre, l'AEPD a-t-elle un LINC ? Etc.

Je ne défends pas la CNIL, je déplore aussi sa lenteur, sa passivité (choix de la pédagogie, des mises en demeure, etc.), et son inaction apparentes bien avant l’entrée en vigueur du RGPD, mais, vu mes questionnements ci-dessus, je reste à convaincre.

Voir aussi l'analyse et les graphiques de David Libeau. Taux de plaintes inadmissibles : 41,35 % (CNIL) contre 56,48 %. Taux de sanction : 2,39 % (CNIL) contre 9,67 %. Taux d'amendes parmi les sanctions : 7,58 % (CNIL) contre 44,10 %. Plusieurs des biais soulevés ci-dessus ne sont toujours pas levés, mais c'est intéressant.