Lorsque vous constatez une faille dans la protection de vos données personnelles - par exemple en recevant un email commercial indiquant que "vous recevez ce courriel car vous êtes client(e) de" tel magasin, sans avoir jamais consenti à l'utilisation de votre adresse email en ce sens - vous êtes naturellement tenté(e) de saisir directement la CNIL. Faut-il le faire dès le constat d'une violation du RGPD ?
Une idée parfois répandue est qu'il ne faudrait pas contacter le responsable de traitement avant de saisir la CNIL...voire ce que ce serait contraire au RGPD. Une jurisprudence espagnole de 2022 est parfois utilisée au support de cette idée.
Pour autant, il ne faut pas s'y tromper. D'abord, la jurisprudence espagnole n'a aucune valeur juridique en France et ne s'impose donc pas à vous. Même si le RGPD prévoit une obligation de cohérence et qu'il n'est normalement pas possible que les autorités de protection des données prennent des décisions contradictoires dans l'Union européenne, la Cour de justice de l'Union européenne ne s'est pas encore prononcée sur ce point précis. Autrement dit, en droit, la question n'est pas parfaitement réglée.
Ensuite et surtout, la décision espagnole n'interdit en aucun cas de saisir préalablement la société pour exercer ses droits au titre du RGPD. Au contraire, le point 8 du jugement indique plutôt que "la personne concernée peut donc exercer les droits reconnus aux articles 15 à 22 du RGPD et, simultanément ou alternativement, déposer une réclamation ou une plainte auprès de l'autorité de protection des données compétente pour les actions qu'elle considère comme contraires aux règles de protection des données, mais il n'existe aucune obligation légale de déposer la réclamation ou la plainte auprès de l'autorité de protection des données compétente".
Autrement dit...vous êtes parfaitement libre de saisir préalablement le responsable de traitement ou non, voire de le faire en même temps que la saisine de la CNIL. En l'état, la CNIL n'a donc pas vraiment (encore ?) le droit de refuser de traiter votre plainte au motif que vous n'avez pas exercé vos droits préalablements, même si elle vous incite généralement à le faire.
La plupart des documents disponibles et des sources officielles conseillent de contacter d'abord la société responsable du traitement, plutôt que de saisir précipitemment la CNIL.
Pourquoi ?
D'abord parce que dans une partie des cas, l'utilisation inappropriée des données peut être le résultat d'une simple erreur. Par exemple, une erreur de saisie ou un bug technique pourrait entraîner l'envoi d'un email à une personne qui n'aurait pas dû le recevoir. Dans ce cas, la saisine de la CNIL est tout simplement une procédure longue et inutile, puisqu'un simple contact avec la société aurait permis de résoudre le problème. En cas d'erreur mineure et de bonne foi, la société ne sera de toutes façons pas sanctionnée par la CNIL, et vous aurez pour l'essentiel perdu du temps et...sollicité pour rien une autorité administrative indépendante qui manque déjà de moyens.
Ensuite, les entreprises sont souvent désireuses de résoudre rapidement les problèmes liés à la protection des données pour éviter les mauvaises publicités et les sanctions potentielles. Les entreprises valorisent leurs clients et souhaitent maintenir une bonne relation avec eux. En les contactant directement, vous leur donnez l'opportunité de rectifier le tir et de renforcer la confiance.
Enfin...parce que la CNIL le recommande elle-même. La formulation utilisée, "Avant de demander l’intervention de la CNIL, vous devez d’abord exercer vos droits Informatique et Libertés" induit même une obligation, qui n'existe en réalité pas : il n'existe aucune règle qui oblige ou interdit à une personne d'exercer préalablement à une saisine de la CNIL ses droits auprès d'un responsable de traitement. Cependant, vous avez intérêt à ce qu'un dossier qui arrive devant la CNIL soit solide...si vous n'avez même pas essayé de contacter le responsable du traitement, il est probable que les services de la CNIL vous invitent à le faire préalablement.
Il est donc préférable...de contacter d'abord le responsable du traitement, lorsque son contact est bien visible sur le site web concerné conformément à la loi. (Dans le cas contraire, vous pouvez saisir la CNIL directement...)
Allons plus loin : si la CNIL venait à être inondée de plaintes formulées avant tout contact du responsable du traitement, il est très probable qu'elle finira par déclarer irrecevables toutes les requêtes qui ne satisferaient pas cette condition.
Pourquoi ? Car c'est une dynamique classique du contentieux, très connue des juridictions. De très nombreux recours pour excès de pouvoirs devant le juge administratif sont irrecevables s'ils ne sont pas précédés d'un recours administratifs préalables. La plupar des contentieux civils ne peuvent voir le jour qu'après une mise en demeure préalable restée sans réponse, voire après l'échec d'une proposition de conciliation ou de résolution amiable.
Dès lors qu'une autorité se trouve submergée de demandes, la logique commande qu'elle établisse des filtres et des priorités. Le filtre le plus évident conduit à inviter les requérants à effectuer une partie des démarches préalables eux-mêmes...et donc à tenter de résoudre à l'amiable le litige avant de le soumettre à une autorité dotée d'un pouvoir contentieux, comme la CNIL.
L'article 77 du RGPD semble certes, de prime abord, interdire à une autorité de contrôle d'introduire une limitation du droit de plainte. Cependant, l'article 57 paragraphe 4 du RPGD pourrait donner un fondement juridique à la CNIL pour refuser de donner suite à une demande, notamment si elle est formulée par un requérant qui a l'habitude de déposer systématiquement des plaintes en refusant d'exercer préalablement ses droits. D'un point de vue juridique, les deux interprétations sont audibles, avec une préférence pour la seconde qui laisse une marge de manoeuvre plus importante aux États et aux APD. Ce serait donc...à la CNIL, et éventuellement au juge ensuite, d'en décider.
Bien sûr, l'institutionnalisation de cette procédure de filtrage, qui ne découlerait pas directement de la lettre du RGPD serait certainement contestée devant la Cour de justice de l'Union européenne, qui aura le dernier mot sur ce point...
En pratique, il est notoire que la CNIL manque cruellement de moyens et est dépassée par le nombre de plaintes (tous types confondus) qu'elle reçoit. En 2022, elle en a reçu environ 13000, un chiffre en légère baisse mais qui reste énorme. En comparaison, elle n'a pris que 21 sanctions et adressé 147 mises en demeure.
Les dysfonctionnements dans le système des plaintes sont donc, et cela est regrettable, monnaie courante. L'une des difficultés principales réside dans le traitement de la plainte. En pratique, la CNIL a tendance à se réfugier derrière la procédure effectuée devant le responsable de traitement pour repousser le moment où elle devra se saisir du dossier. En d'autres termes, si vous mentionnez une plainte préalable, la CNIL peut décider d'attendre le délai d'un mois prévu par l'article 12.3 du RGPD et risque...de clotûrer le dossier dans cette attente. Cela peut être particulièrement problématique lorsque la plainte concerne plusieurs violations et que seules une partie d'entre elles ont fait l'objet d'une demande auprès du responsable du traitement.
Mentionner l'existence d'une procédure auprès du responsable du traitement peut donc s'avérer contreproductif si vous n'attendez pas le délai de 30 jours.
Autrement dit, la bonne solution...reste d'effectuer une demande auprès du responsable, d'attendre son retour (ou son absence de retour) sous 30 jours puis de saisir la CNIL. C'est, au demeurant, ainsi que fonctionnent la plupart des procédures contentieuses en France.
Au surplus et au regard du nombre de dossiers que doit analyser la CNIL, on recommandera de formuler autant de plaintes qu'il existe de violations distinctes, afin d'éviter une clotûre prématurée du dossier et l'éviction de griefs "noyés" au milieu des autres.
Ceci étant dit, tout dépend de l'auteur de la violation. Si vous êtes face à une grosse entreprise, l'exercice des droits préalable peut être une perte de temps car elle est consciente de la violation et agis de manière non-éthique en attendant une éventuelle mise en demeure officielle voire sanction, se réservant la possibilité de cesser ses pratiques au dernier moment. Si vous êtes face à une entreprise locale, une association ou une autre structure, l'erreur ou la méconnaissance reste de l'ordre du possible et un simple courriel d'exercice des droits peut suffire. L'idéal est de se tourner vers un conseil juridique ou un spécialiste pour déterminer la meilleure manière d'agir.
Nous vous conseillons donc de commencer par contacter le responsable du traitement par un courriel type de ce genre, d'attendre le délai de 30 jours puis de saisir la CNIL de chaque violation séparément :
Madame, Monsieur,
Conformément aux dispositions de l’article 21.2 du RGPD, je vous remercie de bien vouloir supprimer mes coordonnées de vos fichiers d’envoi de publicités.
Je vous rappelle que vous disposez d’un délai maximal d’un mois suivant la réception de ce courrier pour répondre à ma demande, conformément à l’article 12.3 du RGPD.
Je vous prie d’agréer, Madame, Monsieur, l’expression de mes salutations distinguées.
Vous pouvez aussi utiliser le modèle de courrier personnalisable proposé par la CNIL...ou faire appel à un juriste.
Publié le 16/08/2023