23 juin 2023

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#479 A propos de la condamnation CNIL du 15 juin 2023 d’un prestataire de traitement de données personnelles [dialogue imaginaire]

#479 A propos de la condamnation CNIL du 15 juin 2023 d’un prestataire de traitement de données personnelles [dialogue imaginaire]

‎dialogue imaginaire à propos de la condamnation CNIL du 15 juin 2023 d'un prestataire de traitement de données personnelles © Ledieu-Avocats 23-06-2023

- 2023 - Paris (France) - dialogue imaginaire dans une salle d'audience - RGPD - données personnelles - "retargeting" online #DuSangSurLesMurs

[modifié à la marge le 3 juillet 2023 à 10 H]

– (la greffière) … affaire suivante n°SAN 2023-009 : un sous-traitant qui dépose des cookies et fait du fingerprinting pour ficher tout le monde sans consentement et en faire commerce.

– (la CNIL) Ah ! c’est vous le prestataire qui traite les données personnelles de ses clients. Et – si j’ai bien compris – qui les ré-utilise ensuite pour son propre business, pour ses « intérêts légitimes ».

– (le prestataire) Oui Madame la CNIL. Enfin, non… vous caricaturez… Je précise tout de suite que ces données sont sécurisées.

– (la CNIL) Ce n’est ni ma question, ni le problème. Vous savez que ce que vous faites depuis des années est interdit par le RGPD ?

– (le prestataire) Oh, tout de suite les mots qui fâchent… Mais vous savez, depuis le début de votre contrôle [il y a 4 ans], j’ai spontanément tout bien mis au carré : lisez donc mes nouveaux contrats qui mettent la responsabilité de tous les problèmes sur le dos de mes clients !

– (la CNIL) Nous en tiendrons compte dans notre jugement. Au fait, votre chiffre d’affaires « monde », c’est combien ?

– (le prestataire) 1,9 milliards pour seulement [rectifié] 10 millions de résultat net. Vous savez, chez nous, on marge très peu, à peine plus que l’industrie lourde. Mais pourquoi cette question?

– (la CNIL) En application du RGPD, vous risquez jusqu’à 80 millions d’amendes soit 4% sur votre chiffre d’affaires mondial. Le Procureur vient de demander 60 millions (3%). Nous sommes tentés de vous condamner à 40 millions (2 %). Qu’avez-vous à dire pour votre défense ?

– (le prestataire) QUOI ? Mais je suis innocent ! Heu, au fait, que me reprochez-vous ???

– (la CNIL) Il vous est reproché un non-respect « structurel » du RGPD alors que vous êtes un professionnel emblématique du secteur, notamment de la publicité ciblée en ligne.

– (le prestataire) Mais… Google et Facebook – tiens ! encore des innocents injustement condamnés – ça leur a couté « respectivement 0,07 % et 0,06 % » de leur CA mondial fin 2021. Et vous me parlez d’une amende de 40 millions ? 2 % de mon CA mondial ! [rectifié] 4 fois le montant de mon résultat net !!! Et je vais dire quoi à mes actionnaires ? Et à mes client ? Hein ? C’est de l’acharnement contre moi ! c’est… c’est trop z’injuste !

– (la CNIL) Ça y est ? C’est fini ?

– (le prestataire sort un mouchoir pour éponger ses larmes) Pardon… c’est l’émotion. Mais… qu’est-ce que j’ai fait de mal ? Vous savez, j’ai eu une enfance difficile… je sais à peine lire… Y’a trop de lois écrites en tout petit… Nous ne sommes que 3.000 employés dans le monde… (et bla bla bla)

– (l’avocat(e) du prestataire en regardant son client d’un air confiant) C’est bon, calme-toi, ça va bien se passer… (puis, se levant, face à la CNIL) Madame la CNIL, dans ce dossier, JE SUIS INNOCENT(E) et mon client aussi ! Ce RGPD, c’est de la dictature pour empêcher mon client de gagner honnêtement sa vie. Oui, de la dictature, n’ayons pas peur des mots ! Regardez-le, c’est un modeste artisan du web qui…

– (la CNIL interrompt l’avocat) C’est bon Maitre, on connait la chanson, ça fait 20 ans qu’on nous raconte la même chose.

(vexé(e), l’avocat(e) se rassied, drapé(e) dans sa dignité)

– (la CNIL s’adressant au prestataire) Bon maintenant, on peut parler ?

– (le prestataire, hésitant, après un coup d’œil vers son avocat(e) qui boude ostensiblement) Heuu oui… mais de quoi ?

– (la CNIL) Mais de votre business model et de sa compliance au regard du RGPD. Le RGPD… vous savez, cette loi européenne d’application directe dans les 27 pays de l’UE depuis plus de 5 ans.

– (le prestataire) 5 ans déjà ? Comme le temps passe vite…

– (la CNIL) … Alors, votre métier, c’est de déposer des cookies dans les smartphones, les ordinateurs et les tablettes des internautes ? Et vous faites ça pour vos clients professionnels du type presse en ligne et site web de e-commerce ?

– (le prestataire) Oui, c’est ça…

– (la CNIL) Et – bien évidemment – vous pouvez prouver que vous demandez toujours le consentement préalable des internautes ?

– (le prestataire) Pardon ? Le quoi ?

– (la CNIL) Le consentement !

– (le prestataire) Vous pouvez épeler le mot ?

– (la CNIL) Le CON-SEN-TE-MENT ! Bref… Et vous êtes sûr qu’en plus, vous ne ré-utilisez pas ces même cookies pour votre propre business ? Réfléchissez bien avant de répondre, je vous prie.

– (le prestataire) Attendez… maintenant que vous me le dites… si, vous avez raison ! J’utilise les data des internautes de mes clients pour « améliorer mon service » . Ça va, ça, hein ? J’ai bon ?

– (la CNIL) Oui, « ça va » comme vous dites, depuis 2014 et vous le savez très bien mais passons… Reprenons la question : vous ne faites rien d’autre… disons, de problématique ?

– (le prestataire) Ben… on fait aussi un peu de fingerprinting… presque rien… C’est que des données techniques… C’est juste pour pouvoir faire du « retargeting » fiable à 99,99 % pour l’identification des « terminaux » cibles.

– (la CNIL) On parle de combien de personnes au total dans l’UE ?

– (le prestataire) Des personnes ? Vous voulez dire des vrais gens ? Mais.. pourquoi vous me demandez ça ? On fiche massivement tous les terminaux qui passent – c’est ça, le job – mais on ne connait que les terminaux, pas les personnes qui s’en servent ! J’te l’jure Madame… (le prestataire se reprend)

– (la CNIL) Dites-moi, selon vous, après avoir lu le RGPD – vous avez lu le RGPD, n’est-ce pas ? Vous êtes un professionnel du secteur du numérique, c’est bien ça ? – quand on identifie un terminal avec 99,99 % de chances de réussite, à votre avis, on traite une données personnelle qui identifie indirectement une personne physique ?

– MAIS BIEN SUR QUE NON ! (le prestataire se tourne vers son avocat(e) qui n’a plus besoin d’éplucher des oignons pour pleurer). Je vous le jure ! Sur la tête de Jean-Claude Van Damme !

– (la CNIL) Madame la Greffière, vous pourriez vérifier la date de décès de ce Jean-Claude Quelquechose ? Merci. (puis d’une voix lasse au prestataire) Bien, reprenons. Alors ? Combien d’internautes dans votre base de données ? Combien de personnes fichées sans leur consentement ? Répondez en chiffres, on va gagner du temps.

– (le prestataire) Attendez… de mémoire… 370 millions d’identifiants dans l’UE… mais seulement 50 millions pour la France !

– (la CNIL) Ah oui… quand même… (puis à voix basse) « le traitement en cause est réalisé à très grande échelle et revêt, par nature, un caractère massif et intrusif » .

– (le prestataire) Pardon ? Vous dites ?

– (la CNIL) Non, rien… Je réfléchissais à voix haute. Vous avez encore beaucoup d’arguments bidons pour tenter de sauver les meubles ?

– (le prestataire) Ah oui, Madame la CNIL ! Plein !

– (la CNIL) Parfait ! Surtout écrivez les et je me ferai un plaisir de les démonter un par un. Un dernier mot pour votre défense ?

– (le prestataire) Oui, Madame la CNIL. (sur un ton solennel) En me condamnant, vous portez « atteinte au principe de non-discrimination en engageant uniquement des poursuites [à mon égard], après avoir pourtant établi que les sites web de [mes] partenaires ne respectaient pas [non plus] la réglementation applicable » . 

– (la CNIL dans un soupir) Ça faisait longtemps qu’on me l’avait pas faite, celle-là… (puis à voix haute) Donc en synthèse, vous, prestataire, vous fichez massivement des personnes via l’identification de leur terminal, pour gagner de l’argent avec ce fichage massif et sans aucun consentement ni aucune information préalable de qui que ce soit. Vous êtes d’accord ?

– (le prestataire) Oh, Madame la CNIL (long soupir) encore les mots qui fâchent

– (la CNIL) Merci Monsieur le prestataire. La décision n°SAN 2023-009 sera prononcée le 15 juin 2023 et publiée le 22 juin 2023 sur Légifrance.

[fin du dialogue imaginaire]

Voici le texte de la décision (je cite) :

‎CNIL délibération SAN-2023-009 du 15 juin 2023 © Ledieu-Avocats 06-2023

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

NOS ARTICLES SUR LE MÊME SUJET

Les derniers articles du blog​