"Elle fait de moins en moins peur" : peu de moyens, peu de sanctions... La Cnil protège-t-elle bien vos données personnelles ?

Quel est le point commun entre un médecin qui ajoute votre ordonnance dans votre dossier médical, un programme qui suit vos moindres clics sur Facebook ou Amazon, et une entreprise de vidéosurveillance algorithmique qui capte votre visage dans Paris ? Tous manipulent de près ou de loin le "pétrole du XXIe siècle", que vous laissez derrière vous sans même vous en rendre compte : les données personnelles. Et tous œuvrent donc sous la menace d'un même gendarme : la Commission nationale de l'informatique et des libertés (Cnil).

Mais derrière les gros titres suscités par ses coups de massue – la palme revenant à Google avec une amende de 150 millions d'euros en 2022 –, l'autorité indépendante doit remplir un nombre toujours plus grand de missions. Et tout le monde n'est pas d'accord sur son efficacité en la matière. Nombre de contrôles jugé faible, délai de traitement des plaintes, "stratégie des petits pas", soutien trop timoré à l'innovation : les critiques ne manquent pas. Alors, que vaut vraiment le gendarme français des données personnelles ?

Rien (ou presque) ne peut lui échapper

Pour répondre à cette question, impossible de s'épargner un peu d'histoire, car en près d'un demi-siècle, la Cnil et ses missions ont beaucoup changé : à ses débuts, l'institution est moins pensée pour protéger du voyeurisme des entreprises… que de l'Etat. "La Cnil naît en 1978 de l'affaire Safari" , raconte Yoann Nabat, enseignant-chercheur en droit privé et sciences criminelles à l'université de Bordeaux.

"L'Insee et les ministères voulaient que toutes les informations détenues sur une même personne par tous les services administratifs (Sécurité sociale, fisc...) soient consultables grâce à un numéro unique propre à chaque personne."

Yoann Nabat, enseignant-chercheur à l'université de Bordeaux

à franceinfo

L'idée, initialement pensée pour faciliter l'étude statistique de la population, fait scandale. Le projet est suspendu et la loi "Informatique et libertés" est adoptée en 1978 pour créer la Cnil, une autorité indépendante précurseure en Europe, chargée de contrôler les traitements de données, notamment par les services de l'Etat – mais pas que. Et cela tombe bien, puisque les décennies suivantes voient le développement massif de l'informatique, d'internet, et de modèles économiques qui font de la moindre trace de navigation une mine d'or.

Et la Cnil a les armes nécessaires pour réguler ce terrain de jeu. Qu'elle soit saisie d'une affaire par un particulier, par une autre "Cnil européenne" ou de sa propre initiative, elle dispose de pouvoirs de contrôle très étendus : contrôle sur pièces ou sur place, accès à toutes les bases de données et aux personnes impliquées... Rien ou presque ne peut légalement lui échapper.

Si elle constate des manquements, elle peut frapper fort : grâce au Règlement général sur la protection des données (RGPD), adopté au niveau européen en 2016 et applicable depuis 2018, la Cnil peut infliger une amende allant jusqu'à 4% du chiffre d'affaires annuel mondial de l'entreprise. De quoi rapporter des millions quand le contrevenant est un des "Gafam".

Une institution qui pèse en Europe

Mais la Cnil ne manie pas que le bâton. Une très grande partie de son activité consiste aujourd'hui à sensibiliser le public à la protection de ses données, et à élaborer un tas de documents qui précisent les obligations légales de chacun : dans quels cas peut-on collecter des données personnelles, quand réaliser une analyse d'impact...

C'est ce qu'on appelle, dans le jargon, du "droit souple", et "dans ce domaine, la Cnil est très bonne", salue un spécialiste du sujet également critique de l'institution. En plus de cette pédagogie collective, la Cnil peut aussi dispenser des cours particuliers aux entreprises, avec un accompagnement personnalisé.

Toute cette production juridique permet à la Cnil de peser au-delà de nos frontières. Avec le RGPD, les différentes "Cnil européennes" doivent se coordonner pour prononcer des verdicts similaires – et à ce jeu-là, les décennies d'expérience de l'organisme français jouent en sa faveur. "La Cnil a un poids politique très fort dans l'UE, et une expertise de fond reconnue de tous", confirme Flora Brac de la Perrière-Plénacoste, avocate et ex-juriste à la Cnil.

Une politique pas assez répressive ?

Des missions "extrêmement nombreuses et diverses", résume l'avocate. Peut-être trop ? A étaler ses ressources, la Cnil court le risque de privilégier la quantité à la qualité.

Le cœur de métier historique de la Cnil, le contrôle de l'Etat, a par exemple été largement affaibli au cours du temps. "Depuis 2004, la Cnil ne peut plus opposer son veto à la création d'un fichier de police", rappelle Yoann Nabat. "Ses avis ne sont pas contraignants, elle doit souvent les rendre dans des délais trop courts, elle ne peut pas contrôler les fichiers touchant de près ou de loin à la sûreté de l'Etat et n'a pas de pouvoir de sanction contre lui", égrène le chercheur.

"La Cnil n'a pas totalement délaissé le sujet des fichiers de police, elle rend souvent des avis critiques. Mais ça n'apparaît plus vraiment comme une priorité, et elle n'est plus trop un contre-pouvoir."

Yoann Nabat, enseignant chercheur à l'université de Bordeaux

à franceinfo

C'est surtout du côté de la répression que le bât blesse. "Il n'y a à peu près aucune action", simplifie Aeris, un "hacktiviste" sous pseudonyme engagé dans la défense de la vie privée, et qui a déposé de nombreuses plaintes devant la Cnil pour des manquements au RGPD. Il pointe le faible nombre de sanctions : sur les 16 433 plaintes instruites par la Cnil en 2023, seules 340 ont donné lieu à des contrôles, et seulement 42 ont débouché sur des sanctions, selon le rapport annuel 2023 de l'autorité.

"Ce qui faisait la force du RGPD quand il a été voté, c'est la crainte des sanctions qu'il autorise", raconte à franceinfo Guillaume Champeau, directeur juridique et délégué à la protection des données (DPO) au sein de la société Olympe.legal. "Mais aujourd'hui, la plupart des dirigeants d'entreprise se disent : 'Je ne risque pas grand-chose à enfreindre la loi'."

"La Cnil inspire de moins en moins la peur du gendarme."

Guillaume Champeau, directeur juridique chez Olympe.legal

à franceinfo

"Depuis le RGPD, on prend plus de sanctions chaque année", nuance Karin Kiefer, directrice de la protection des droits et des sanctions à la Cnil. "Il y a eu des sanctions importantes contre de grands groupes mondiaux", rappelle quant à lui Philippe Latombe, député MoDem et ex-membre du collège de la Cnil.

Il existe pourtant une Cnil qui inflige beaucoup plus d'amendes : son homologue espagnole, l'AEPD. "Elle publie des décisions argumentées régulièrement, avec des amendes parfois relativement lourdes, et elle n'hésite pas à punir plusieurs fois les récidivistes", salue Guillaume Champeau. "L'Espagne a un fonctionnement beaucoup plus léger que le nôtre, sur le mode de la contravention, qui permet de prononcer beaucoup de petites amendes de façon simple", argumente Karin Kiefer.

Des procédures longues

La Cnil délivre aussi de simples rappels à la loi, ainsi que des mises en demeure, mais elle vérifie rarement si les cibles sont rentrées dans le rang. "Selon le problème constaté, on pourra vérifier nous-mêmes ou grâce à de nouvelles plaintes", estime Karin Kiefer.

Sans parler des plaintes qui n'aboutissent jamais, déplore Aeris : "Certains dossiers sont expédiés en dix jours quand d'autres traînent depuis des années." "Il faut forcément hiérarchiser les sujets traités en fonction des technologies et des urgences du moment", répond Flora Brac de la Perrière-Plénacoste.

Pourquoi un dossier met-il parfois longtemps à être traité ? La Cnil avance une multiplication des plaintes (+91% en dix ans) et le temps indispensable pour que chaque dossier soit bien ficelé juridiquement."Quand vous prononcez des sanctions dont la cible est rendue publique, il doit y avoir un respect du contradictoire et des droits de la défense beaucoup plus forts", justifie Yann Padova, qui a participé à élaborer les procédures de sanctions de la Cnil en tant que secrétaire général de 2006 à 2012.

D'autres raisons sont plus prosaïques : "La Cnil est aussi une administration", soupire une source passée par la direction de la protection des droits et des sanctions. "Il y a beaucoup de niveaux de validation y compris quand ça n'est pas forcément nécessaire, et manager des agents de la fonction publique peut s'avérer compliqué puisque les moyens de motivation et les mesures disciplinaires sont très limités. Ça s'est amélioré dernièrement, mais la Cnil a les moyens d'être encore plus efficace."

Pour accélérer les dossiers, la Cnil peut passer depuis 2022 par une procédure de sanction simplifiée, qui n'est pas non plus exempte de critiques. Les amendes ne peuvent pas dépasser 20 000 euros, et les décisions rendues dans ce cadre sont anonymisées : impossible donc de savoir qui a été épinglé et pour quelles raisons précises.

Un débat principalement politique

De l'avis général, la Cnil manque de moyens. "Il faut encore beaucoup de ressources pour faire face à la masse des plaintes", reconnaît Karin Kiefer. Le budget de l'autorité a augmenté d'environ 48% entre 2018 et 2023, au même rythme que le nombre de plaintes reçues.

"C'est difficile d'affirmer que 288 personnes suffisent pour répondre aux attentes de la société entière."

Flora Brac de la Perrière-Plénacoste, avocate et ex-juriste à la Cnil

à franceinfo

Mais "le manque de ressources n'excuse pas tout", estime Guillaume Champeau. "Son homologue espagnole a 30% de budget en moins [en 2024] et elle abat beaucoup plus de plaintes", affirme Aeris. De l'autre côté, les professionnels estiment que la Cnil ne soutient pas assez l'innovation. "Le RGPD ne mentionne même pas le mot 'innovation' !", pointe Yann Padova, qui conseille aujourd'hui des entreprises en tant qu'avocat au cabinet américain Wilson Sonsini. "La Cnil ne prend pas assez en compte l'impact économique de ses décisions", estime-t-il.

Au cœur de ces oppositions, il y a en fait une question de philosophie : vaut-il mieux punir ou éduquer ? "La Cnil a une culture de l'accompagnement et du conseil", rappelle Karin Kiefer. Idem dans son rapport à l'Etat, où "la Cnil a une vision globalement 'constructive'", explique le chercheur Yoann Nabat : "Elle va privilégier une 'technique des petits pas', pour obtenir ce qu'elle peut, plutôt que de partir dans la confrontation et ne rien gagner."

Une question philosophique… et politique. "Le ministère de l'Economie voit un peu la Cnil comme une empêcheuse de tourner en rond", résume le député Philippe Latombe. "Quand on veut faire de la France une 'start-up nation' et y attirer les entreprises, il vaut mieux ne pas avoir l'air trop sévère", analyse aussi un connaisseur du secteur, qui rappelle que plusieurs membres du collège sont nommés par le président de la République et les deux chambres du Parlement.

Un changement politique pourrait-il insuffler une énergie nouvelle à notre gendarme des données personnelles ? Difficile de voir qui pourrait le lancer. "La pression pourrait venir des citoyens eux-mêmes, mais les sujets de protection de la vie privée passionnent beaucoup moins qu'avant", se lamente Guillaume Champeau. "Les citoyens semblent s'habituer au fichage par l'Etat, analyse aussi Yoann Nabat. Ce qui était impensable dans les années 1970 pose beaucoup moins de problèmes aujourd'hui." A charge pour la Cnil de faire respecter les règles que les citoyens pourraient oublier.