L’invariable bienséance de la CNIL

Les résultats du sondage…

Afin de répondre au mieux aux attentes des lecteurs, je vous demandais quels étaient vos challenges et qu’est-ce qui pourrait vous aider le mieux à progresser dans le domaine qui nous intéresse.

Après dépouillement des réponses, j’ai constaté que 12% des personnes interrogées regrettent un manque réel de détermination de la CNIL : « La CNIL ne donne pas d’exemple concret de sa fermeté » ; beaucoup considèrent qu’il manque vraiment « une grosse affaire avec condamnation des dirigeants » ; de nombreux sondés rappellent ces besoins de sensibilisation : « C’est triste à dire, mais [ce qu’il manque c’est] un incident « important » qui sensibiliserait (enfin) la direction. » Le résultat est très révélateur car, précisément, la question posée ne portait pas sur l’attitude de la CNIL (on aurait sans doute eu un pourcentage beaucoup plus élevé de réponses positives si l’on avait demandé : « pensez-vous que la CNIL est suffisamment ferme dans ses décisions ? »).

12% des personnes interrogées soulèvent le fait que la CNIL manque de fermeté !

Cela nous donne un indicateur très important du ressenti des usagers face à la question des données personnelles.

Logiquement dans cette lignée, au sein du sondage, environ 20% des personnes interrogées se plaignent d’une absence de prise en compte réelle de la problématique de la protection des données personnelles par leur organisation, ou d’une prise en compte de façade, quasi chimérique ; voilà quelques exemples de commentaires (la question posée était : qu’est-ce qui vous pose le plus problème en matière de protection des données personnelles) :

« Manque de réelle prise en compte et dégagement de moyens »

« La méconnaissance générale des principes de base et le fait que pour bcp cela ne soit justement pas une problématique »

« L’inertie de ma société sur le sujet »

« Indifférence/insouciance de la direction »

« Etre le fer entre l’enclume et le marteau. Ce n’est le problème de personne et je trouve que la CNIL ne donne pas d’exemple concret de sa fermeté. »

En effet, pourquoi une organisation prendrait-elle des mesures importantes en matière de protection des données personnelles si le sentiment qui règne est que la CNIL laissera passer des comportements déviants ? Pour qui travaille sur la question, on sait clairement que cette tendance est récurrente depuis des années, au point d’ailleurs que nos formations CIL indiquent méthodologiquement comment remédier à ce problème de communication interne.

Ce qui étonne toutefois, c’est son ampleur : nombreuses sont les personnes interrogées qui demandent une avancée substantielle ici. Un élément nouveau tient peut-être au souhait que les instances dirigeantes soient directement sanctionnées pour des défauts de conformité. La responsabilité des dirigeants n’est jamais autant d’actualité que quand elle est souhaitée par ses employés pour de réels manquements à la loi ! A méditer…

Il serait certainement utile que la CNIL pousse cette analyse plus loin et mène un sondage global (a minima sur l’ensemble du réseau de CIL) afin de confirmer cette tendance. Cela permettrait de préciser l’action nécessaire à mettre en place face à ces besoins. En effet, à quoi bon promouvoir les CIL, par exemple, si aucun sponsorship réel ne leur permet un exercice effectif de leurs missions ?

Le problème n’est pas nouveau, il serait temps maintenant de l’attaquer frontalement !

La CNIL récompense les réseaux sociaux

A la lumière de ces chiffres, on lit donc avec une certaine réserve la dernière publication de la Commission relative aux réseaux sociaux. Le titre annonce « Des réseaux sociaux plus protecteurs de la vie privée… », et détaille les efforts faits par certains en matière de respect de la loi informatique et libertés. La CNIL cite Famicity, Diaspora, l’Univers de Wilby, Yoocasa (à destination de la jeunesse pour ces deux derniers) et vante les mesures mises en œuvre pour s’assurer de la conformité légale.

L’article est pour le moins déconcertant car tout va comme si la CNIL avait le sentiment qu’il était nécessaire de remarquer la vertu de ceux qui veulent bien s’astreindre au respect de la loi.

Les grands absents de l’article sont évidemment Facebook, LinkedIn, Twitter, Pintrest, et Google pour ne citer qu’eux (et autrement dit l’essentiel des entreprises qui traitent les données personnelles de – grosso modo – un bon quart de la population mondiale), dont on ne loue aucun mérite en matière de protection des données personnelles.

Ce que la Commission véhicule finalement au travers de cet article, c’est un sentiment fort d’impuissance face aux acteurs majeurs du traitement des données personnelles. Tout se passe un peu comme si ses seuls moyens d’action finalement étaient de récompenser le bon vouloir par l’éloge, tout en taisant savamment le démérite. Cela, un peu à la manière d’un professeur qui tenterait de rasseoir son autorité en désignant ouvertement ses bons élèves et en nourrissant l’espoir secret que le stratagème suffise à faire naître des vocations chez ceux qui ont été délaissés.

Les grands absents sont Facebook, LinkedIn, Twitter, Pintrest, Google…

Pour faire avancer les choses aujourd’hui tout pointe en direction d’une plus grande sévérité. La loi française a été en cela un échec total que le règlement européen devra profondément changer. Avec des amendes allant jusqu’à 2% du chiffre d’affaire global d’un groupe (soit par exemple 1,2 milliard d’euros pour Microsoft en 2008), les montants faramineux iront effectivement motiver à l’action. Reste à savoir ce que la CNIL fera réellement de ces armes et si ce sentiment d’impuissance sera plus fort que ses moyens d’action.

Pour le reste, aujourd’hui si j’étais un réseau social, je me sentirais sans doute un peu snobé par la CNIL. Mais avec mon milliard d’utilisateurs, des moyens quasi-illimités, je lirais l’article, prendrais certainement la mesure de cette bouderie manifeste, puis je finirais par prendre un peu de recul dans mon grand fauteuil.

Puis finalement tant que la CNIL conservera cette politique, le mot qui me viendrait à l’esprit serait : « même pas mal… »

 

Thiébaut Devergranne
Thiébaut Devergranne
Thiébaut Devergranne est docteur en droit et expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus

Ils nous ont fait confiance

logo Deloitte
logo starbucks
logo orange bank
logo vinci
logo nokia
logo sanofi
logo sncf
Automatisez votre conformité RGPD
Economisez-vous des semaines de travail avec Legiscope logiciel de gestion de la conformité RGPD
VOS CGV (gratuites)