La Commission nationale informatique et libertés (CNIL) est chargée de protéger les libertés en ligne des citoyens français. Toutefois, de nombreuses voix s’élèvent pour dénoncer l’insuffisance de ses actions, en particulier lorsqu’on les compare aux autres Autorités de Protection des Données (APD) européennes. Une pétition a été lancée pour « réarmer les citoyens et les DPO face aux violations du RGPD », soulignant le besoin d’une action plus vigoureuse de la part de la CNIL.
Un bilan 2023 mitigé
L’année dernière, la CNIL a mené 340 contrôles et prononcé 42 sanctions, dont 36 assorties d’amendes, selon ses propres chiffres. Bien que certaines de ces amendes atteignent plusieurs millions d’euros, ce chiffre global masque une réalité de relative inaction. En comparaison, les agences espagnoles de protection des données ont infligé dix fois plus d’amendes avec un budget et une équipe plus réduits.
Cette différence significative met en lumière la faiblesse de la CNIL, malgré des montants d’amendes impressionnants. Le nombre de dossiers traités reste faible, et cette inaction relative contraste fortement avec la rigueur des autres APD européennes. L’efficacité des contrôles de la CNIL semble insuffisante pour dissuader les entreprises de violer le Règlement Général sur la Protection des Données (RGPD).
Lancement de la pétition par Guillaume Champeau
Face à cette situation, Guillaume Champeau, directeur juridique chez Olympe.legal, a initié une pétition demandant à la CNIL de renforcer la protection des citoyens et des délégués à la protection des données (DPO). Cette pétition, qui a déjà recueilli plus de 4 600 signatures, accuse la CNIL de mener une « politique délibérée d’inaction ».
Champeau souligne que cette inaction favorise la commercialisation de produits et services non conformes aux droits fondamentaux des citoyens. Les entreprises qui ne respectent pas le RGPD bénéficient d’un avantage concurrentiel injuste, économisant de l’argent en évitant les coûts liés à la mise en conformité. Cette situation pousse même certains éditeurs de sites web à violer le RGPD pour des raisons économiques, en raison de la faible probabilité de sanctions.
Impact sur les DPO et la conformité des entreprises
Les DPO, chargés de veiller à la conformité des entreprises avec le RGPD, se trouvent désarmés face à cette situation. L’absence de sanctions et la perception d’une inaction de la CNIL rendent difficile la justification de la mise en place du RGPD au sein des entreprises. Si les entreprises ne risquent pratiquement rien à ne pas respecter le RGPD, le rôle des DPO est grandement affaibli, compromettant ainsi l’efficacité globale de la protection des données en France.