Alors que Johndescs relisait mes plaintes auprès de la CNIL, il me demanda ce que l'on peut faire.
Que faire ?
Ben. Comme d'hab. C'est-à-dire :
- Relayer les décisions intéressantes qui donnent du pouvoir d'agir (comme la décision TS 1039/2022 dans laquelle la Cour suprême espagnole juge que, dans le cas d'une violation du RGPD, un citoyen peut saisir la CNIL sans avoir initié des démarches préalables et inutiles auprès du responsable d'un traitement de données personnelles) ;
- Publier et relayer les plaintes. Ça illustre comment ça s'écrit. Ça met en lumière les thématiques et les organisations fautives. Et ça incite à porter plainte à son tour "ha, je ne le savais pas, mais je suis également concerné" couplé à "le courage est contagieux" ;
- Porter plainte auprès de la CNIL. Coût nul (hors temps passé). Aucun risque juridique. Inutile de chier des louches d'arguments : écrire, par exemple, « téléchargement de Google Fonts = transfert illégal de données personnelles vers les États-Unis » suffit amplement. En cas de violation du RGPD, inutile d'écrire au préalable au DPO de l'acteur fautif, qui, d'expérience, ne répond pas ou répond à côté.
Faut-il se coordonner afin d'éviter de porter plainte contre les mêmes organisations ?
Non. Plus les plaintes sont nombreuses pour un même acteur, plus la CNIL priorisera son action et ajustera sa sanction (XXXX personnes qui se signalent incitent à plus de sévérité que XXXX victimes théoriques / potentielles).
Il est tentant de vouloir diviser le travail afin de couvrir plus de terrain (= porter plainte contre + d'acteurs), mais je pense que la meilleure stratégie à l'heure actuelle est de faire nombre.
Faut-il mettre en avant des acteurs et des sujets particuliers ?
Non. Agis contre ce qui t'arrive et/ou que tu aimerais voir changer.
- Tu reçois un spam commercial (je ne parle pas de celui qui te propose du Viagra ou les millions d'euros d'un prince d'Afrique ou qui menace de publier tes prétendues branlettes) ? Plainte. Surtout après 3/4 ans de silence de l'organisation (3/4 ans = durée moyenne de conservation d'une adresse emails pour les finalités courantes énoncées dans la politique de confidentialité des sociétés commerciales). Si tu veux affiner, le raisonnement est ici ;
- Tu as déjà demandé à ne plus recevoir les emails d'une organisation, et tu en reçois toujours des mois après ? Plainte (car ça signifie que le système d'information et/ou les prestataires sont mal tenus) ;
- Tu constates le dépôt, par défaut, d'un cookie non nécessaire et qui ne facilite pas la mise en relation (exemples : authentification, protection, panier, mémorisation de paramètres, etc.) ? Plainte. Idem si le "bandeau" ne permet pas de s'y opposer. Idem si la durée de conservation est trop longue (un an) ;
- Lors de la navigation sur un site web, tu constates le téléchargement de ressources web (images, feuilles de style, polices de caractères, scripts JavaScript, etc.) hébergées par des sociétés de droit états-unien (Amazon, Cloudflare, Google, Fastly, Microsoft, etc.) ? Plainte. Si tu veux affiner, le raisonnement est ici ;
- Etc., etc.
Comment porter plainte auprès de la CNIL ?
Le plus simple :
(Pour retrouver toi-même ce formulaire depuis la page d'accueil du site web de la CNIL : « Découvrez nos moyens d'actions », « Adressez une plainte à la CNIL », dérouler le point 2 (« Préparez et envoyez votre plainte à la CNIL »), « Accéder au service de plainte en ligne », « Autre cas », « service d’aide en ligne », « Autres » (mais peu importe), « Transférer des données personnelles hors de l'Union Européenne, c'est possible ? » (mais peu importe), « adresser votre plainte ». Ouf \o/
Ce genre de procédure à rallonge, avec trouzemilles clics, dissuade de porte plainte. C'est fait à dessein et c'est dommage. :( )
ÉDIT DU 28/11/2022 : j'ajoute la section « Conseils » ci-dessous. FIN DE L'ÉDIT DU 28/11/2022.
Conseils
- Il faut toujours adresser sa demande d'exercice de droit aux adresses consignées dans la politique de confidentialité / protection des données que l'on trouve sur le site web de l'organisme ou en le lui demandant. Répondre à un email non sollicité, même s'il provient d'une adresse emails lue par un humain, même en humain haut placé dans l'organigramme de l'organisme émetteur, est une perte de temps (c'est du vécu) ;
- Si elle est longue, toujours joindre une copie au format PDF de la prose que tu écris dans le formulaire de plainte de la CNIL, car il y a quelques retours à la ligne qui sautent de temps à autre. Surtout quand tu déposes un complément à une plainte, car, là, tous les retours à la ligne sautent ;
- Dans le formulaire de dépôt de plainte, consigne les infos essentielles au traitement de ta plainte (résumé en une-deux phrases des faits, nom de l'infraction ‒ démarchage illicite, transferts illégal de données personnelles hors de l'UE, etc. ‒), démarches entreprises auprès de l'entité ‒ ou exemption, si tu signales une infraction sans demander un appui à une demande d'exercice de droit, par exemple ‒, à quelle date, et pour quel résultat, ce que tu veux obtenir de la CNIL ‒ soutien d'une demande d'exercice de droit, sanction, etc. ‒) et déporte le reste dans une pièce jointe au format PDF. Ainsi, le greffe de la CNIL n'a pas à tout lire et à trier les seules infos dont il a besoin (infraction, démarches), ce qui limite les erreurs de tri ;
- L'erreur étant humaine, si tu reçois une réponse-type "contactez d'abord le délégué à la protection des données de l'organisme" alors que tu penses en être exempté, n'hésite pas à déposer une question « Où en est mon dossier ? » ;
- Soit affirmatif sur les faits, leur qualification et tes prétentions (ce que tu attends de la CNIL). Exemple : « je vous demande d'appuyer ma demande d'effacement restée sans réponse et de sanctionner l'organisme X pour son absence de réponse dans le délai légal » / « je vous demande de sanctionner l'organisme Y car tel fait constitue telle infraction au RGPD, et tel autre fait telle autre infraction ». Pas de « que pensez-vous de tels faits ? », « quelle est votre interprétation du RGPD sur ce point ? », « ce contrat est-il bien conforme au RGPD ? », etc. Lire ici les erreurs que j'ai commises (cherche « mal rédigée ») ;
- Au-delà de quelques plaintes déposées, fais-toi un inventaire (tableur, gestion de tâches, autre, peu importe) de tes plaintes (numéro, date de dépôt, nom de l'organisme concerné, thématique, état de la plainte, date du dernier changement d'état, prochaine date butoir, date d'une demande de suivi, etc.) et des rappels des dates butoirs dans un calendrier, car sinon, c'est ingérable. Ça te simplifiera grandement leur suivi, surtout quand la CNIL répondra à 5 demandes de suivi dans le corps de l'une d'elle, ou quand son téléservice t’indiquera que ta plainte est dans tel état alors que son greffe t'indiquera qu'elle est dans un autre, etc.