La CNIL lutte pour nos libertés en ligne mais beaucoup la jugent insuffisante, notamment au regard des autres APD européennes. Une pétition a été lancée afin de « réarmer les citoyens et les DPO face aux violations du RGPD ».
L’an dernier, la Commission nationale informatique et libertés (CNIL) a réalisé 340 contrôles et prononcé 42 sanctions dont 36 ont été assorties d’une amende, selon les chiffres publiés par la Commission elle-même.
Peu de dossiers traités
Certaines amendes se montent à plusieurs millions d’euros mais en réalité, ce chiffre cache plutôt une inaction si nous les comparons à ceux des autres agences de protection des données (APD) européennes. Nos voisins espagnols ont prononcé 10 fois plus d’amendes l’an dernier, avec un budget moindre et surtout, une équipe plus réduite.
Certes, cela a moins rapporté de l’autre côté des Alpes mais le message a une autre portée. Personne n’est à l’abri d’un contrôle et d’une amende : Google, Facebook ou d’autres ne sont pas les seuls à risquer quelque chose.
Sanctionner plus de violations
Face à ce constat, Guillaume Champeau – chief legal officer chez Olympe.legal – a décidé de lancer une pétition demandant à la CNIL de « réarmer les citoyens et les DPO (délégués à la protection des données, NDLR) face aux violations du RGPD ».
Par le biais de cette pétition qui a déjà recueilli plus de 4 600 signatures, Guillaume Champeau entend dénoncer « la politique délibérée d’inaction mise en œuvre en France par la CNIL ». Une situation qui « favorise la mise sur le marché de produits et de services qui ne respectent plus nos droits fondamentaux » avec des acteurs qui bénéficient « d’un avantage concurrentiel » en ne respectant pas le RGPD alors que sa mise en œuvre coûte de l’argent.
L’éditeur d’un site web est poussé à violer le RGPD plutôt qu’à le suivre afin d’économiser de l’argent avec l’attitude de la CNIL qui ne va pas chercher à le sanctionner malgré les milliers de saisines chaque année.
Cette situation désarmerait les DPO, ces personnes dans les entreprises qui doivent vérifier la conformité par rapport au RGPD et qui sont désemparés face à ce constat et l’absence de sanctions. Comment justifier la mise en place du RGPD si l’entreprise ne risque presque rien à ne pas le respecter ?