À soutenir : une proposition d'audit de la CNIL par la Cour des comptes. Date butoir : vendredi (4 octobre).
La CNIL dispose-t-elle d'un budget suffisant ? L'utilise-t-elle à bon escient ? Est-elle efficace dans l'accomplissement de ses missions ? Etc.
L'ami Aeris n'ayant pas étayé sa proposition, je l'ai fait dans des commentaires (limités à 1 000 caractères…) que je reproduis ici :
En tant que citoyen, je ne peux qu'appuyer cette proposition.
La CNIL aime à rappeler qu'elle privilégie la pédagogie (ex. : https://x.com/gchampeau/status/1802963969830769110). Est-ce la bonne orientation stratégique pour remplir ses missions conférées par le RGPD ? Si oui, 26 M€/an est-il le juste prix pour ce faire ? La CNIL publie des lignes directrices, des recommandations et diverses documentations. Toutes relèvent du droit souple, pas contraignant et flou (puisque toute interdiction générale y est proscrite). Tout responsable de traitement (RT) pourra donc faire valoir, devant la CNIL puis le Conseil d'État, qu'elles ne trouvent pas à s'appliquer à son cas d'espèce précis. Perte de temps. D'après un sondage auprès des professionnels de la conformité RGPD (DPO, consultants, juristes, avocats, etc.) réalisé par l'ONG européenne NOYB spécialisée dans la vie privée, https://noyb.eu/sites/default/files/2024-01/GDPR_a%20culture%20of%20non-compliance_2.pdf : « Surprisingly, only 15.7% find EDPB guidelines “somehow influential” and only 7.3% find them “very influential”. […] The numbers for local DPA guidelines are only slightly better at 17.7% and 7.9%. This could be due to the fact that the DPOs – in their responses to open questions – considered these guidelines to be very general. ». Tout ce travail semble ne servir à rien. Comme dans tout domaine d'activité, les entreprises cherchent à gagner du temps en exigeant une réglementation très claire, blablabla. Il ne faut pas tomber dans leur piège, ou à un coût modéré. Un audit pourrait identifier dans quel cas est la CNIL.
Concernant l'accompagnement juridique des entreprises prodigué par la CNIL : comme le pointe l'auteur de la proposition (site web ewatchers.org), des entités ne devraient pas être accompagnées en cela qu'elles sont des malfaisants notoires en matière de vie privée et/ou que leur modèle économique est strictement incompatible avec le RGPD. À titre subsidiaire, tout accompagnement, financé par l'argent public, devrait être transparent. Or, la CNIL pratique l'opacité : voir l'article ewatchers.org et les concertations non-publiques qu'elle organise (https://alliancecommerce.org/pixels-de-suivi-presentation-et-concertation-de-la-cnil/ ; https://www.fnps.fr/2023/10/24/lancement-de-trois-ateliers-de-concertation-par-la-cnil-sur-les-pixels-de-suivi-dans-les-emailing/). Là encore, l'orientation stratégique pour atteindre les objectifs fixés par le RGPD est questionnable : soit on pense qu'un tel accompagnement permet aux entreprises de progresser dans leur respect du RGPD, soit on pense que la CNIL les blanchit, que cette promiscuité rend la CNIL plus tolérante / plus compréhensive / moins protectrice des droits des personnes physiques, que les entreprises ne cherchent qu'un blanc-seing utilisable dans leur communication marketing (tel un label) sans réelle volonté de se mettre en conformité RGPD. Au vu de la prééminence de lobbies auprès de la CNIL (https://www.linkedin.com/posts/alliancedigitale_cnil-rgpd-alliancedigitale-activity-7131200178660757504-9H1m), je penche pour la deuxième option. Là encore, il convient de s'interroger sur le bon usage de l'argent public.
Concernant le traitement des réclamations que la CNIL reçoit. D'après ses rapports d'activité et sa réponse au CEPD (voir proposition), en 2023, la CNIL a reçu environ 12 800 réclamations, en a résolu 12 344, et a utilisé des pouvoirs correcteurs (article 58(2) DU RGPD) a 134 reprises. Environ 1/4 du reste était irrecevable. Le reste, soit l'écrasante majorité des réclamations, a été traité par un « rappel aux obligations » c'est-à-dire par une communication-type (parfois, la CNIL oublie même de changer le nom de l'entité visée dans le corps de sa prose) informelle, rédigée au conditionnel, qui se contente de rapporter les propos de l'auteur de la réclamation (« D'après le plaignant […] »), qui invite seulement à vérifier si les traitements sont en conformité avec le RGPD, et qui rappelle qu'aucune réponse n'est attendue. Ainsi, la CNIL n'instruit pas les réclamations, c'est-à-dire qu'elle ne prend aucune mesure active spécifique pour établir les faits, les éléments de droit et déterminer s'il a eu un manquement au RGPD. Ce faisant, la réaction de la CNIL n'est pas appropriée ni proportionnée à la réclamation, ce qui est contraire à la CJUE (cf. C-26/22 et C-64/22, §57 ; C-768/21, §37-41), et ses actions ne produisent aucun effet : « 70% of the respondents agree that “we would need more DPA enforcement in order to actually improve user privacy in practice” [...] Decisions to informally close complaints – currently the most common DPA action in many EEA/ EU jurisdictions – are seen as even less influential than social media postings by data subjects. » (source : sondage NOYB sus-pointé). De là, 26 M€/an de budget pour envoyer des emails paraît être un gaspillage d'argent public.
La conformité (RGPD ou autre) est coûteuse. Donc, afin de guider le marché économique, il faut inciter les entreprises défaillantes par des sanctions contraignantes, pécuniaires ou non, de telle sorte que la mise en conformité spontanée devienne moins coûteuse que de se faire prendre en défaut. On retrouve cela dans le sondage NOYB : « 70% of the respondents agree that “we would need more DPA enforcement in order to actually improve user privacy in practice” [...] 63.5% report that the mere fear of fines is a driver for compliance. 61.5% agree that such a deterring effect exists when it comes to “high fines”. [...] The most relevant actions are formal decisions at 58%, orders to comply with the law at 61% and fines at 67.4%. ». Ainsi, une nouvelle fois, l'orientation stratégique de la CNIL est questionnable au regard de son ratio coût / efficacité.
L'efficacité de la CNIL en matière de traitement des réclamations, c'est-à-dire sa productivité, interroge également, notamment face à d'autres autorités de contrôle européennes de même budget, ressources humaines et nombre de réclamations reçues qui motivent leurs décisions et qui utilisent quasiment 4 fois plus leurs pouvoirs correcteurs, le tout dans un délai moyen 3 fois plus court (cf. https://www.edpb.europa.eu/system/files/2023-12/edpb_contributiongdprevaluation_20231212_en.pdf, pages 36-37, 41, 46, et 49-51). Dans la presse (https://www.francetvinfo.fr/internet/securite-sur-internet/elle-fait-de-moins-en-moins-peur-peu-de-moyens-peu-de-sanctions-la-cnil-protege-t-elle-bien-vos-donnees-personnelles_6696153.html), la CNIL fait l'état d'un « fonctionnement plus léger » de ces autorités. Pourtant, quand il s'agit d'opacifier son fonctionnement (cf. article ewatchers dans la proposition), la CNIL sait intervenir très rapidement auprès du législateur. Pourquoi pas dans ce cas ? Il faut en déduire que la situation lui convient, et s'interroger, donc, sur la pertinence de son action au regard de ses missions et de son budget.
Ainsi, la question de l'outillage des agents de la CNIL (dans l'aide à l'identification et à la qualification des manquements dont font état les réclamations ou de manière préventive), de l'organisation du travail, de la méthodologie de travail et de la documentation communes (actuellement, chaque agent semble être livré à lui-même, sans harmonisation des pratiques, il informe ou non l'auteur d'une réclamation, il lui laisse ou non la possibilité de produire des observations, il vérifie ou non l'existence d'autres réclamations visant la même entité, etc.), et de l'orientation stratégique pour accomplir ses missions dont veiller au respect du RGPD et protéger les droits des personnes physiques (articles 57(1)a et 57(1)f du RGPD), et de l'équilibre entre ses missions (trop de pédagogie au détriment des sanctions ?), se pose. Un audit de la Cour des comptes pourrait éclaircir tout cela.
Dans l'article de presse francetvinfo référencé supra, un ancien agent à la protection des droits et des plaintes témoigne d'une verticalité étouffante et d'une difficulté à manager des agents publics. Contrairement à d'autres, ce point n'est pas nuancé par la directrice de la protection des droits et des sanctions de la CNIL. Là encore, le bon usage de l'argent public interroge.
Pour finir sur une note positive : le LINC (Laboratoire d'Innovation Numérique de la CNIL) produit d'excellents travaux et outils.