GuiGui's Show

À soutenir : une proposition d'audit de la CNIL par la Cour des comptes. Date butoir : vendredi (4 octobre).

La CNIL dispose-t-elle d'un budget suffisant ? L'utilise-t-elle à bon escient ? Est-elle efficace dans l'accomplissement de ses missions ? Etc.

L'ami Aeris n'ayant pas étayé sa proposition, je l'ai fait dans des commentaires (limités à 1 000 caractères…) que je reproduis ici :

En tant que citoyen, je ne peux qu'appuyer cette proposition.

La CNIL aime à rappeler qu'elle privilégie la pédagogie (ex. : https://x.com/gchampeau/status/1802963969830769110). Est-ce la bonne orientation stratégique pour remplir ses missions conférées par le RGPD ? Si oui, 26 M€/an est-il le juste prix pour ce faire ? La CNIL publie des lignes directrices, des recommandations et diverses documentations. Toutes relèvent du droit souple, pas contraignant et flou (puisque toute interdiction générale y est proscrite). Tout responsable de traitement (RT) pourra donc faire valoir, devant la CNIL puis le Conseil d'État, qu'elles ne trouvent pas à s'appliquer à son cas d'espèce précis. Perte de temps. D'après un sondage auprès des professionnels de la conformité RGPD (DPO, consultants, juristes, avocats, etc.) réalisé par l'ONG européenne NOYB spécialisée dans la vie privée, https://noyb.eu/sites/default/files/2024-01/GDPR_a%20culture%20of%20non-compliance_2.pdf : « Surprisingly, only 15.7% find EDPB guidelines “somehow influential” and only 7.3% find them “very influential”. […] The numbers for local DPA guidelines are only slightly better at 17.7% and 7.9%. This could be due to the fact that the DPOs – in their responses to open questions – considered these guidelines to be very general. ». Tout ce travail semble ne servir à rien. Comme dans tout domaine d'activité, les entreprises cherchent à gagner du temps en exigeant une réglementation très claire, blablabla. Il ne faut pas tomber dans leur piège, ou à un coût modéré. Un audit pourrait identifier dans quel cas est la CNIL.

Concernant l'accompagnement juridique des entreprises prodigué par la CNIL : comme le pointe l'auteur de la proposition (site web ewatchers.org), des entités ne devraient pas être accompagnées en cela qu'elles sont des malfaisants notoires en matière de vie privée et/ou que leur modèle économique est strictement incompatible avec le RGPD. À titre subsidiaire, tout accompagnement, financé par l'argent public, devrait être transparent. Or, la CNIL pratique l'opacité : voir l'article ewatchers.org et les concertations non-publiques qu'elle organise (https://alliancecommerce.org/pixels-de-suivi-presentation-et-concertation-de-la-cnil/ ; https://www.fnps.fr/2023/10/24/lancement-de-trois-ateliers-de-concertation-par-la-cnil-sur-les-pixels-de-suivi-dans-les-emailing/). Là encore, l'orientation stratégique pour atteindre les objectifs fixés par le RGPD est questionnable : soit on pense qu'un tel accompagnement permet aux entreprises de progresser dans leur respect du RGPD, soit on pense que la CNIL les blanchit, que cette promiscuité rend la CNIL plus tolérante / plus compréhensive / moins protectrice des droits des personnes physiques, que les entreprises ne cherchent qu'un blanc-seing utilisable dans leur communication marketing (tel un label) sans réelle volonté de se mettre en conformité RGPD. Au vu de la prééminence de lobbies auprès de la CNIL (https://www.linkedin.com/posts/alliancedigitale_cnil-rgpd-alliancedigitale-activity-7131200178660757504-9H1m), je penche pour la deuxième option. Là encore, il convient de s'interroger sur le bon usage de l'argent public.

Concernant le traitement des réclamations que la CNIL reçoit. D'après ses rapports d'activité et sa réponse au CEPD (voir proposition), en 2023, la CNIL a reçu environ 12 800 réclamations, en a résolu 12 344, et a utilisé des pouvoirs correcteurs (article 58(2) DU RGPD) a 134 reprises. Environ 1/4 du reste était irrecevable. Le reste, soit l'écrasante majorité des réclamations, a été traité par un « rappel aux obligations » c'est-à-dire par une communication-type (parfois, la CNIL oublie même de changer le nom de l'entité visée dans le corps de sa prose) informelle, rédigée au conditionnel, qui se contente de rapporter les propos de l'auteur de la réclamation (« D'après le plaignant […] »), qui invite seulement à vérifier si les traitements sont en conformité avec le RGPD, et qui rappelle qu'aucune réponse n'est attendue. Ainsi, la CNIL n'instruit pas les réclamations, c'est-à-dire qu'elle ne prend aucune mesure active spécifique pour établir les faits, les éléments de droit et déterminer s'il a eu un manquement au RGPD. Ce faisant, la réaction de la CNIL n'est pas appropriée ni proportionnée à la réclamation, ce qui est contraire à la CJUE (cf. C-26/22 et C-64/22, §57 ; C-768/21, §37-41), et ses actions ne produisent aucun effet : « 70% of the respondents agree that “we would need more DPA enforcement in order to actually improve user privacy in practice” [...] Decisions to informally close complaints – currently the most common DPA action in many EEA/ EU jurisdictions – are seen as even less influential than social media postings by data subjects. » (source : sondage NOYB sus-pointé). De là, 26 M€/an de budget pour envoyer des emails paraît être un gaspillage d'argent public.

La conformité (RGPD ou autre) est coûteuse. Donc, afin de guider le marché économique, il faut inciter les entreprises défaillantes par des sanctions contraignantes, pécuniaires ou non, de telle sorte que la mise en conformité spontanée devienne moins coûteuse que de se faire prendre en défaut. On retrouve cela dans le sondage NOYB : « 70% of the respondents agree that “we would need more DPA enforcement in order to actually improve user privacy in practice” [...] 63.5% report that the mere fear of fines is a driver for compliance. 61.5% agree that such a deterring effect exists when it comes to “high fines”. [...] The most relevant actions are formal decisions at 58%, orders to comply with the law at 61% and fines at 67.4%. ». Ainsi, une nouvelle fois, l'orientation stratégique de la CNIL est questionnable au regard de son ratio coût / efficacité.

L'efficacité de la CNIL en matière de traitement des réclamations, c'est-à-dire sa productivité, interroge également, notamment face à d'autres autorités de contrôle européennes de même budget, ressources humaines et nombre de réclamations reçues qui motivent leurs décisions et qui utilisent quasiment 4 fois plus leurs pouvoirs correcteurs, le tout dans un délai moyen 3 fois plus court (cf. https://www.edpb.europa.eu/system/files/2023-12/edpb_contributiongdprevaluation_20231212_en.pdf, pages 36-37, 41, 46, et 49-51). Dans la presse (https://www.francetvinfo.fr/internet/securite-sur-internet/elle-fait-de-moins-en-moins-peur-peu-de-moyens-peu-de-sanctions-la-cnil-protege-t-elle-bien-vos-donnees-personnelles_6696153.html), la CNIL fait l'état d'un « fonctionnement plus léger » de ces autorités. Pourtant, quand il s'agit d'opacifier son fonctionnement (cf. article ewatchers dans la proposition), la CNIL sait intervenir très rapidement auprès du législateur. Pourquoi pas dans ce cas ? Il faut en déduire que la situation lui convient, et s'interroger, donc, sur la pertinence de son action au regard de ses missions et de son budget.

Ainsi, la question de l'outillage des agents de la CNIL (dans l'aide à l'identification et à la qualification des manquements dont font état les réclamations ou de manière préventive), de l'organisation du travail, de la méthodologie de travail et de la documentation communes (actuellement, chaque agent semble être livré à lui-même, sans harmonisation des pratiques, il informe ou non l'auteur d'une réclamation, il lui laisse ou non la possibilité de produire des observations, il vérifie ou non l'existence d'autres réclamations visant la même entité, etc.), et de l'orientation stratégique pour accomplir ses missions dont veiller au respect du RGPD et protéger les droits des personnes physiques (articles 57(1)a et 57(1)f du RGPD), et de l'équilibre entre ses missions (trop de pédagogie au détriment des sanctions ?), se pose. Un audit de la Cour des comptes pourrait éclaircir tout cela.

Dans l'article de presse francetvinfo référencé supra, un ancien agent à la protection des droits et des plaintes témoigne d'une verticalité étouffante et d'une difficulté à manager des agents publics. Contrairement à d'autres, ce point n'est pas nuancé par la directrice de la protection des droits et des sanctions de la CNIL. Là encore, le bon usage de l'argent public interroge.

Pour finir sur une note positive : le LINC (Laboratoire d'Innovation Numérique de la CNIL) produit d'excellents travaux et outils.

Lettre ouverte de l'association Pour un RGPD respecté (PURR) à la CNIL lui demandant d'agir pour l'intérêt général et de traiter convenablement les réclamations. À signer.

Pour info, la CNIL a contesté la partialité de la pétition lancée par Guillaume Champeau il y a quelques mois sur le même sujet, au motif que celui-ci travaille pour une société commerciale de conseil en conformité RGPD. C'est cocasse quand on connaît certains accompagnements douteux de la CNIL (voir ici et là) ainsi que ses concertations sectorielles non publiques (certes, la CNIL a dit que ça débouchera sur une décision soumise à consultation publique, mais la possibilité d'influer sera alors très faible). L'aspect positif, c'est que ça a forcé Aeris, membre fondateur de PURR, à mettre en place la première plateforme de pétition conforme au RGPD. :)

L'autre fois, je me demandais d'où vient la phrase « Je suis ni pour ni contre, bien au contraire » qui me trottait dans la tête.

Il me semblait que c'était Coluche qui citait un politicien. Bingo, c'est dans son sketch Votez nul. Il cite Jean Lecanuet, candidat à la présidentielle de 1965 (avec l'aide d'un publicitaire) qui aurait déclaré cela au sujet de la bombe nucléaire.

Retranscription :

Lecanuet, on ne sait pas trop ce qu'il fait là non plus, hein. J'ai l'impression il a du être premier dans un concours de circonstances, le gars. Remarquez, il est propre, hein, on dirait un VRP multi-cartes : « Bonjour, j'ai tout le matériel dans la R16 ». Tiens, pas plus tard que y a pas longtemps, dans le poste ils l'ont interviewé pour la bombe à étrons, là, bon, il a répondu « Je ne suis ni pour, ni contre, bien au contraire ». Va savoir ce qu'il pense ce mec-là !

Néanmoins, difficile de savoir si Lecanuet a dit ça texto ou si c'est une reformulation humoristique de Coluche, car j'ai trouvé que deux sources, 1, 2, qui en parlent de manière très concise.

• Décret 2024-423 du 10 mai 2024 : contre les décisions administratives prises à partir de septembre 2024, les contentieux agricoles portant sur une retenue d'eau (mégabassine) ou sur le nombre de têtes d'un élevage (intensif) seront jugés par le Tribunal administratif de Paris (et non plus par le tribunal local), et le délai de recours, pour les tiers (ex. : des organisations écolos, des riverains, etc.), passera de 4 à 2 mois. Le Canard oublie l'essentiel : le juge devra statuer sous 10 mois, et il n'y aura plus d'appel (uniquement première instance et cassation). Toujours plus de droit dérogatoire… Affaiblir toujours plus le juge pour ensuite se plaindre d'une montée de la violence politique… Au moins, ce décret montre l'orientation politique choisie.

• Le Canard expose que l'« ISF renforcé » voulu par le NFP devra attendre, notamment car le Conseil constitutionnel aurait jugé qu'on ne peut pas intégrer dans les revenus taxables d'une personne physique les revenus dont il n'a pas disposé, ce qui laisserait les holdings patrimoniales (aka cash box) dans l'impunité. En effet, il s'agit des considérants 88 à 97 de la décision 2012-662 DC portant sur la loi de finances pour 2013. Première remarque : le Conseil constitu a jugé « dont [le contribuable] n'a pas disposé au cours de la même année », car le projet de loi prévoyait de taxer les bénéfices distribuables (mais non distribués) de toute société pas nécessaire à l'activité économique (je résume) dont le contribuable aurait pris le contrôle (> 33 % des droits de vote et pas d'actionnaire en ayant plus) sur les 5 dernières années, ou bien encore la variation de la valeur de rachat de placements, assurances-vie, etc. détenus en propre. D'ailleurs, le Conseil constitu a censuré à nouveau cette histoire de variation des placements dans la loi de finances pour 2014 (considérant 12 de la décision 2013-685 DC). Bref, la temporalité de la perception des revenus est importante. Deuxième remarque : la loi de finances pour 2017 prévoyait une clause anti-abus de droit (un abus de droit, c'est l'usage déraisonnable d'un droit, cf. cet exemple très célèbre et limpide) qui permettait au fisc de réintégrer les revenus non distribués d'une société commerciale contrôlée par un contribuable dans le calcul de l'ISF de ce dernier si cette société avait pour but principal d'éluder l'ISF. Dans les considérants 11 à 26 de sa décision 2016-744 DC, le Conseil constitu l'a validé sous réserve (le fisc doit prouver l'aspect artificiel, et seuls les bénéfices de l'année précédente doivent être pris en compte), y compris en rejetant l'imprécision de certains termes (comme la notion de but principal). Ce faisant, l'angle d'attaque du CoinCoin, "ce que propose le NFP n'est pas possible, il faudrait modifier la Constitution, NFP = pas sérieux, y a rien à faire, etc.", tombe à l'eau. Bien sûr, on peut se demander si le fisc serait parti à l'abordage, s'interroger sur la manière avec laquelle le fisc aurait pu démontrer une fraude, si c'était réellement faisable, etc., mais bon. Macron étant arrivé au pouvoir, l'ISF a été remplacé par l'IFI (et le barème progressif de l'IRPP sur les revenus du capital par le PFU aka flat-tax) dès la loi de finances pour 2018, donc cette disposition n'a été ni appliquée ni, de fait, contestée (j'ai cherché viteuf dans les décisions du Conseil d'État). Lire ici l'historique du plafonnement de l'ISF (notamment qu'en 1990, le plafonnement global ‒ IRRP + ISF ‒ n'était pas de 75 % mais de 85 %, et le Conseil constitu n'avait pas bronché sur la thématique impôt confiscatoire blablabla, comme quoi les temps changent ‒ confiscatoire s'entend désormais comme étant supérieur à 75 % ‒).

• Le communisme de Bernard Friot et de Frédéric Lordon.
  
  
• Le positionnement idéologique des partis politiques français contemporains.
  
  
• La législation applicable aux journaux / logs informatiques.
  
  
• Donner aux flics ses empreintes digitales et génétiques ? ; Donner aux flics le code de déverrouillage de son smartphone ? ; Guides du manifestant / militant face à la police.

Le Groland est ce qu'on appelle un coffre-fort urbain qui cache en son écrin un bijou de technologie sécuritaire : Groville. Groville, capitale de la tranquillité, appelée également, par la maréchaussée, « pas de problème qui y viennent ».
[ 1 policier pour 2 habitants ; vidéosurveillance partout ; habitants formés à la délation et au repérage d'individu suspect ; capteurs pour identifier l'origine, le poids et la propreté des véhicules ; capteurs sur les trottoirs pour récupérer l'identité et les intentions des passants ; 3 hélicos H24 ; escadrons de la défense de la quiétude surarmés ]
(Gendarme) ‒ Qui y viennent !
(Voix off) Problème, ils sont venus. Ou plutôt, il est venu, tout seul. Un petit bonhomme armé d'un simple marteau a fracassé la devanture d'une bijouterie, s'est servi, puis est reparti comme il était venu.
(Gendarme) ‒ Ben, comment qu'on pouvait savoir qui y viendraient ?! À midi, pendant le déjeuner, en plus !

La faille est toujours humaine.

Rien à rapporter.

Rien à rapporter.

Dès ce soir, une nouvelle saison du jeu télévisé La Carte aux trésors est diffusée les vendredis soirs. \o/

Pour regarder en direct : yt-dlp -o - 'https://www.france.tv/france-3/direct.html' | vlc -.