La CNIL, Commission nationale de l’informatique et des libertés a été traînée devant le Conseil d’État accusée de ne pas faire respecter le fameux Règlement européen de protection des données (RGPD). L’institution a publié sa décision le 16 octobre, le recours a été rejeté.

Retour sur toute l’histoire

La CNIL soupçonnée de ne pas protéger les internautes, de ne pas appliquer le RGPD, la nouvelle à de quoi surprendre et inquiéter, la commission étant le garant de la vie privée des internautes français.

En réalité c’est parce qu’ils n’en pouvaient plus d’attendre que la Quadrature du Net, association connue pour ses prises de position sur les libertés numériques, et CaliOpen, une structure de messagerie cryptée, ont sorti les crocs contre la CNIL que l’on imaginerait plus comme un allié naturel.

C’est la chronologie des événements, le délai pris par la Commission pour faire appliquer le RGPD qui inquiète. Le règlement a été votée par le Parlement européen le 14 avril 2016, le texte est entré en vigueur le 25 mai 2018, la première circulaire de la CNIL sur le ciblage publicitaire date du 28 juin 2019, suivi de deux autres en juillet.

L’un des objectifs de la Quadrature du Net est de faire supprimer au plus vite la phrase type, « En poursuivant votre navigation sur ce site, vous acceptez d’être surveillé.e – ok ». Une pratique illégale, car le consentement n’est pas suffisamment explicite : il n’est pas précisé que des cookies et, ou traceurs pourront être utilisés.

La CNIL est parfaitement consciente du problème, mais a tardé à réagir. Le 18 juillet 2019, elle décide de mener des concertations jusqu’à « La recommandation définitive [qui] sera publiée au premier trimestre 2020 ». Un délai supplémentaire donc. Auquel il faut ajouter six mois, la période de mise en conformité des sites. En tout un an pour que les sites se mettent à la page.

Mais la CNIL ne compte pas fermer les yeux au cas où des informations remonteraient jusqu’à elle explique-t-on dans la circulaire du 28 juin, « Néanmoins, la CNIL continuera à instruire les plaintes et le cas échéant à contrôler, entre autres, qu’aucun dépôt de cookies n’a lieu avant le recueil du consentement ».

Cela n’a pas suffi à la Quadrature du Net et à CaliOpen qui ont déposé un recours au Conseil d’État. Dans son communiqué la Quadrature du Net laisse entendre que le délai constitue une injustice entre les différents acteurs du Web, « Que dire à toutes les entreprises qui ont investi pour se mettre entièrement en conformité au RGPD dès 2018 ? Si ces règles sont systématiquement repoussées, comment faire peser une menace sérieuse contre toutes les autres entreprises qui, elles, n’ont jamais respecté le RGPD ? Rien. »

Après une audience le 30 septembre le Conseil d’État a rendu sa décision le 16 octobre, il a rejeté le recours. Pour justifier sa décision, l’institution explique notamment qu’en tant que structure indépendante la CNIL est libre de fixer ses stratégies comme elle l’entend. Elle précise également que « Le délai laissé aux acteurs du secteur pour se conformer aux règles qui seront publiées à l’issue de la concertation n’est pas illégal ».

Le Communiqué de la Quadrature, un constat dur et « paradoxale » sur la CNIL

L’association a noté, dans la décision du Conseil d’État, qu’il sera possible, pendant la concertation, de poursuivre les sites contrevenant au RGPD. Un camouflet pour la CNIL estiment les membres de la Quadrature, « Mais quel abandon ! La CNIL a remis sa lettre de démission ».

Le communiqué étaye ses propos en citant des exemples récents de renoncement, la reconnaissance faciale au carnaval de Nice a donné lieu à un simple tweet de contestation, à Nice ou Marseille, la reconnaissance faciale pourrait être obligatoire pour des lycéens, fin août en Suède un lycée a utilisé la reconnaissance faciale, il a été condamné à une amende en vertu du RGPD. Le dernier cas en date, l’application Alicem n’a donné lieu qu’à un avis négatif de la CNIL, sans plus.

Pourtant, malgré le texte au vitriol, la Quadrature du Net a annoncé travailler sur la concertation organisée par la CNIL, celle-là même faisant partie de la stratégie attaquée devant le Conseil d’État, « Si notre attitude peut sembler paradoxale, elle marque surtout notre refus d’accepter les pires situations ».

En somme, la CNIL est trop tendre, mais reste le seul outil face aux immenses défis que rencontre déjà notre vie privée numérique.