Blog : NullPointerException  -  Le RGPD en 10 minutes (ou un peu plus) [5/5]

 -  Décembre 2022 - 

Après les 4 articles précédents posant les bases de ce que devrait être le respect du RGPD, une analyse plus personnelle du problème pour répondre à la question du « mais pourquoi le RGPD est si peu respecté ».

De la société « moderne »

On ne va pas se cacher, le problème n°1 du respect du RGPD est… notre société « moderne » et le capitalisme de manière plus générale.

Toujours faire plus de fric en le minimum de temps, c’est assez peu compatible by design avec s’occuper de ses utilisateurs et devoir investir sur des fonctionnalités qui ne rapportent rien. Vous pouvez le constater vous-même tous les jours, tout est fait pour faire en sorte d’avoir de plus en plus de clients, même si c’est au détriment de ceux déjà présents sur votre plate-forme.

Rappelons aussi, comme je l’avais déjà dit dans un article de 2017, que ne pas respecter le RGPD est un avantage concurrentiel. Vous êtes moins cher, plus efficace, vous livrez plus rapidement… Les condamnations commencent d’ailleurs à tomber en France pour concurrence déloyale quand vous ne respectez pas le RGPD alors que votre concurrent si.

La tendance au cloud est aussi très lourde, avec le désintérêt quasiment total pour des choses qui pourtant devrait constituer le cœur de votre métier. Les gens sont habitués à tout avoir en 2 clics et à ne pas vouloir s’occuper des détails en particulier techniques. Il est tellement plus simple de tout planter dans Mailchimp pour envoyer une newsletter du spam que de devoir se galérer à maintenir la réputation de ses IP ou de devoir réimplémenter un suivi d’ouverture des emails pour que votre marketing puisse se toucher la nouille devant ses statistiques (pour rappel toujours, c’est parfaitement illégal, autant utiliser Mailchimp que suivre l’ouverture des emails).

J’aurais encore pu comprendre le manque d’entrain de la part des entreprises si le RGPD avait été un vrai breaking change législatif et où elles se seraient du coup retrouvées le bec dans l’eau et tout à refaire from scratch. Comme démontré au premier chapitre, il n’en est strictement rien et l’existence même des services de la plupart des entreprises sont illicites depuis 1978, en tout cas en France. ePrivacy est bloqué certainement pour les mêmes raisons, le DSA et le DMA risquent de prendre le même chemin de difficulté de mise en œuvre.

Le RGPD ne contient ni plus ni moins que ce que le traitement de données aurait toujours dû être, et en particulier dans le contexte de l’informatique. Ce texte transpire l’obligation d’auto-hébergement, à tout le moins le recours extrêmement ponctuel à la sous-traitance. Le (I|P|S)aaS ne permet en effet pas de réellement contrôler ce que votre entreprise traite en réalité. Vous déléguez quelque chose à une entité complètement autonome suivant ses propres objectifs certainement contraire aux vôtres. Vous devriez bien vous douter pourtant, alors que vous-même avez du mal à être transparent envers vos utilisateurs ou clients et procédez à des traitements que vous espérez tenir secrets (généralement à but marketing ou business), que vos prestataires en font exactement de même avec vous et outrepassent en réalité de beaucoup les clauses du contrat que vous avez pourtant signé sans même les lire… Ce qui est actuellement étudié pour Microsoft avec Office 365 devrait aussi vous faire allumer plein de petits red flags sur vos propres usages…

Et du coup ça suppose une refonte très profonde du système, la remise en cause des modèles commerciaux et un changement drastique de paradigmes. Ainsi que certainement la fin de pas mal de bullshit job. Le « growth », le marketing ou la gestion par les KPI ont-ils encore légalement un sens à l’aune du RGPD ? Peut-on encore légalement parler de big data ?

L’essence même de ce qu’est le RGPD : des services simples, à taille humaine, facilement compréhensibles par un gamin de 10 ans (vous ai-je dit que c’était une obligation légale via l’article 12(1) ?), sans arrière-pensée ni mensonge même par omission, sans CGU de 40 pages nécessitant 2 doctorats pour en comprendre les tenants et les aboutissants.

En bref un monde complètement différent de tout ce qu’on peut connaître actuellement. Et pas grand monde qui souhaite réellement y aller, que ça soit côté entreprise (pas de mise en conformité) ni côté utilisateur (petit confort personnel et gros manque de connaissance/compétence en juridique et conformité).

De l’inaction de la CNIL

Certainement le paragraphe qui me fait le plus mal à écrire…

Les APD (autorités de protection des données) sont supposées être là pour s’assurer de la bonne mise en œuvre du RGPD partout en Europe. En pratique, même de ce côté-là, le boulot est globalement mal fait et tend à protéger plus les intérêts des entreprises que ceux des utilisateurs. La CNIL irlandaise a par exemple été épinglée pour fermer les yeux sur les exactions des GAFAM.

Côté français, la CNIL est malheureusement aux abonnés absents… J’ai personnellement fait une quarantaine de signalement de violation RGPD en 4 ans, et la quasi-totalité reste sans réponse et sans action. La CNIL joue aussi beaucoup avec le feu, se réfugiant derrière des obligations de recourir d’abord à l’article 15 pour pouvoir étudier un signalement (c’est illicite), puis derrière l’absence de lignes directrices de sa part (alors qu’elles existent déjà au niveau WP29/EDPB, et qu’elles ne sont certainement pas obligatoires pour poursuivre une non-conformité), et que même à la fin quand elle en publie enfin, les non-conformités dorénavant flagrantes ne sont toujours pas sanctionnées.
À titre d’exemple la plupart des cas que j’ai remonté commencent par la réception d’un spam de démarchage qui est en violation totale des lignes directrices de la CNIL elle-même qui impose du consentement strict dans le cas du B2C. Il n’y a jamais eu à ma connaissance de rappel à l’ordre ou sanction de la part de la CNIL en 4 ans alors que vous conviendrez avec moi que votre boîte de réception croule littéralement sous le spam illicite.

Dans tous mes dossiers, cette non-conformité est même plutôt accessoire et me permet uniquement de commencer à dérouler la pelote de laine.
Recevoir un email de Bouygues Télécom sur une adresse email dédiée à CDiscount pour laquelle on s’est explicitement opposé à la revente des données, c’est très drôle. Découvrir ensuite que CDiscount se réfugie derrière le secret des affaires pour refuser de me communiquer les tiers à qui ils ont vendu mes données, en violation de l’article 12, 13 et 15 du RGPD, c’est très fun aussi. Avoir des contacts à CDiscount qui m’informent que la direction là-bas est parfaitement informée qu’elle revend illégalement l’intégralité de sa base client en toute connaissance de cause, tu te dis que la CNIL va réagir un peu. 4 ans après ? Que. Dalle.
Constater que Darty met des liens traçants dans sa communication « on est conforme RGPD » (ce n’est pas une blague… 😑). Faire une demande d’accès article 15. S’entendre dire que l’entreprise est en congés d’été donc que les 1 mois de délai légal, ça ne va pas être possible (rappel : c’est illicite). Réclamer ensuite des moyens de preuve d’identité dont la CNIL elle-même a déclaré que ce n’était pas légal. Découvrir dans la réponse (incomplète) que Darty conserve des données d’achat ou de support pendant plus de 10 ans en violation de tous les articles du RGPD sur la durée de rétention des données personnelles. Réaction de la CNIL en 4 ans ? Nada.

La CNIL ne semble agir que quand elle reçoit suffisamment de plaintes pour une entreprise donnée et non pour une mauvaise pratique du marché dans son ensemble. La dernière sanction à l’encontre d’EDF n’a par exemple eu lieu que parce que trop de monde a signalé les pratiques déloyales de cette entreprise, alors même que le comportement constaté se retrouve dans quasiment toutes les entreprises (rachat de liste de prospection sans vérification du consentement à la collecte, à la vente et à la réutilisation). Il y a fort à parier que la jurisprudence EDF mettra des mois voire des années avant qu’une autre sanction du même genre soit rendue, alors même que l’ensemble du marché de la prospection devrait subir un coup d’arrêt immédiat au vu des motifs de cette sanction.
Autre exemple, les graves manquements constatés pour l’exécution correcte d’une demande d’accès au titre de l’article 15 ne sont jamais sanctionnés parce qu’à chaque fois, c’est la même personne qui aligne 20 entreprises plutôt que 20 personnes la même entreprise.

Quand des personnes remontent des problèmes de Google Analytics, malgré une interdiction explicite et totale en juillet 2020 de la part de la CJUE via l’arrêt Schrems II, il aura fallu encore attendre 2 ans pour que la CNIL… envoie 40 courriers aux entreprises concernées… 😑 Pour ma part il aura fallu aussi attendre 4 ans sur des dossiers qui me semblent pourtant assez critiques pour que la CNIL sorte aussi sa plus belle plume pour écrire au DPO que ce n’était vraiment pas bien ce qu’il faisait.
La CNIL ne tient pas non plus informée les plaignants de l’avancement du dossier. En 4 ans, j’ai eu plus ou moins aucun retour sur les dossiers, ni même été informé du moindre classement vertical. C’est pourtant une obligation du RGPD de par l’article 78(2) qui impose une notification tous les 3 mois minimum. Oui oui, notre APD nationale viole le RGPD. Toujours en violation du RGPD, la CNIL elle-même n’est pas capable de tenir les délais de réponse à une demande d’accès au titre de l’article 15 et se réfugie derrière les mêmes argumentaires que les entreprises non conformes, le tout en échappant au couperet de la limite légale sur le fil, un jeudi à 20h25, veille d’un vendredi férié et alors que la date limite tombait le dimanche.

Ce manque d’action de la part de la CNIL est d’autant plus frustant qu’une APD comme AEPD en Espagne est capable d’aligner 4 à 6 condamnations par jour avec un budget et des effectifs 20% inférieurs à la CNIL. Là-bas, les manquements au RGPD ne restent pas longtemps impunis et des choses pourtant aussi futiles qu’envoyer un mail sans mettre les destinataires en copie cachée se solde par 2 500€ d’amende. Non, pardon, 10 000€.

Il n’existe actuellement aucun moyen réel de faire réellement appliquer le RGPD en France et la CNIL est tout aussi responsable que les entreprises malveillantes dans cet état de fait.
Les entreprises s’engouffrent du coup dans le vide des sanctions, la conformité leur coûtant en pratique beaucoup plus que l’éventuelle sanction théorique de 20 millions d’euros (en pratique souvent plutôt 10-100.000€) qu’une APD peut leur infliger.
Et il n’existe aucune voie de recours pour faire respecter ses droits pour une personne concernée. EDPB ne peut poursuivre une APD et renvoie vers le Défenseur des Droits en France. Défenseur qui botte en touche en ne pouvant pas poursuivre la CNIL en vertu de l’indépendance des autorités administratives. Le Conseil d’État ne peut être saisi que pour des décisions déjà rendues de la CNIL et non pour une absence de décision (qui a toutes les chances d’être en fait synonyme d’un classement sans suite). Ce qui est une nouvelle violation de l’article 78 imposant un recours juridictionnel effectif contre les manquements de son APD.

Et au beau milieu de ce joyeux bordel, les personnes concernées sont surtout des personnes prises pour des cons cernées par les non conformités…

Épisode 1 — Épisode 2 — Épisode 3 — Épisode 4 — Épisode 5

par