La Quadrature du Net est agacée du manque d'allant de la CNIL à faire respecter le RGPD.

La Quadrature en a plus qu’assez. Alors que le Règlement général sur la protection des données (RGPD) est entré en application depuis plus d’un an, la CNIL se montre encore trop frileuse pour le faire pleinement respecter. L’association de défense des libertés individuelles sur Internet en a pour preuve la récente déclaration de Marie-Laure Denis, présidente de la CNIL, à l’Assemblée nationale.

En effet, l’intéressée a confié le 27 juin aux membres d’une commission parlementaire qu’elle est favorable à un prolongement de la période de clémence pour les médias en ligne qui déposent des cookies (aussi appelés témoins de connexion) sur l’ordinateur de l’internaute sans avoir recueilli convenablement son consentement pour le faire. C’est-à-dire en effectuant une action volontaire.

Marie-Laure Denis cnil
Marie-Laure Denis // Source : DR-CSA

Un report à mi-2020 ?

Le consentement « ne peut plus être déduit » par la seule présence d’un bandeau cookie, écrit l’association. Et ce changement est arrivé en même temps que la mise en place du RGPD, le 25 mai 2018. « Tant que nous ne cliquons pas explicitement sur un bouton j’accepte, il est strictement interdit de nous pister et de réaliser des profits sur nos données personnelles », écrit l’association.

Sauf que dans le cas des médias en ligne, les sanctions pour ne pas avoir collecté dans les formes le consentement des internautes ne se déclencheraient qu’à partir du mois de juillet 2020. Cette échéance est évoquée dans le plan d’action de la CNIL sur le ciblage publicitaire. « La CNIL publiera sa recommandation […] au plus tard, début 2020 », tandis que les vérifications débuteront 6 mois après son adoption.

quadrature
Le logo de la Quadrature du Net. // Source : Num

La clémence a assez duré

Pour la Quadrature du Net, les sites ont bénéficié d’assez de temps et de clémence pour se conformer à la loi : le RGPD a été adopté en 2016. La période de transition de deux ans a pris fin le 25 mai 2018. En outre, la CNIL avait indiqué peu avant l’entrée en vigueur du texte qu’elle se montrerait conciliante : pas question de tenir un tableau de chasse en profitant des erreurs des retardataires.

En résumé, les sites ont eu presque trois ans de délai pour se caler à cette nouvelle réalité juridique. « Il n’existe aucune possibilité laissée à la CNIL pour repousser jusqu’à juillet 2020 l’application du RGPD », remarque la Quadrature du Net. Le faire quand même « violerait de plein front le droit européen et justifierait un recours en manquement contre la France par la Commission européenne ».

RGPD
Claire Braikeh pour Numerama

Décision le 4 juillet

Pour l’heure, rien n’a encore été décidé par la CNIL. Une réunion du collège de l’institution en charge de la protection des données est prévue le 4 juillet pour entériner ou non cette décision. Si l’autorité fait preuve de pusillanimité, ce sera le recours en justice : «  nous n’aurions guère le choix que de l’attaquer devant le Conseil d’État », prévient l’association.

« La protection de nos libertés fondamentales ne saurait connaître aucun sursis », conclut la Quadrature du Net. Elle appelle les membres de la CNIL à prendre leurs responsabilités : ils doivent décider de la poursuite immédiate des sites Internet violant la loi. Après tout, la CNIL l’a elle-même dit : « C’est la fin d’une certaine forme de tolérance liée à la transition », selon Marie-Laure Denis.

Reste à traduire cela par des actes.

Partager sur les réseaux sociaux