Le Conseil d’État a récemment mis en cause la CNIL pour son absence de réponse à une plainte déposée par un citoyen concernant les pratiques de cookies de l’ANSSI et le transfert de données personnelles vers les États-Unis. Cette affaire met en lumière les défis auxquels sont confrontées les autorités de protection des données en matière de transparence et de communication avec les plaignants.
L’essentiel à retenir
- Le Conseil d’État a critiqué la CNIL pour son manque de réponse à une plainte déposée par un citoyen concernant l’ANSSI.
- Le requérant contestait les pratiques de cookies de l’ANSSI et la décision d’adéquation permettant le transfert de données vers les États-Unis.
- La CNIL, bien qu’ayant travaillé sur l’affaire, n’a pas informé le plaignant de l’avancement, violant ainsi le RGPD.
Contexte de la plainte contre l’ANSSI
En novembre 2024, un citoyen, désigné sous le nom de « Monsieur A », a déposé une plainte auprès de la CNIL. Il s’opposait aux pratiques de cookies de l’ANSSI, une autorité de référence en cybersécurité, et contestait la légalité du Data Privacy Framework de juillet 2023. Cet accord autorise le transfert de données personnelles vers les États-Unis.
La CNIL a accusé réception de la plainte rapidement, mais le plaignant est resté sans nouvelles pendant trois mois, ce qui est contraire au RGPD. Ce silence administratif a abouti à une « décision implicite de rejet », permettant à Monsieur A de porter l’affaire devant le Conseil d’État en mars 2025.
Réaction du Conseil d’État
Le Conseil d’État a examiné l’affaire et a ordonné une mesure d’instruction pour comprendre pourquoi la CNIL était restée silencieuse. Il a découvert que l’autorité travaillait sur la plainte mais n’avait pas informé le plaignant, comme l’exige le RGPD. Le Conseil a conclu que la CNIL avait annulé son propre refus en continuant l’instruction du dossier.
Cependant, cette décision n’a pas abouti à une annulation ou à une condamnation de la CNIL, ni à la sanction de l’ANSSI, comme le souhaitait Monsieur A. L’affaire se termine par une décision en demi-teinte, laissant en suspens les questions de fond sur les cookies et les transferts de données.
Conséquences pour la CNIL et les citoyens
Cette affaire met en lumière l’importance pour les autorités de protection des données, comme la CNIL, de communiquer efficacement avec les citoyens. Le RGPD impose aux autorités de tenir les plaignants informés de l’avancement de leurs dossiers, un aspect essentiel pour garantir la transparence et la confiance dans le système.
Pour les citoyens, cette affaire souligne l’importance de connaître leurs droits en matière de protection des données et les recours possibles en cas de silence des autorités. Cela pourrait inciter les autorités à améliorer leurs processus internes pour éviter de telles situations à l’avenir.
Historique de la CNIL
La Commission nationale de l’Informatique et des Libertés (CNIL) est l’autorité française chargée de veiller à la protection des données personnelles depuis sa création en 1978. Elle joue un rôle crucial dans la régulation et le contrôle de l’utilisation des données personnelles en France. En tant que garante des droits des citoyens, la CNIL a pour mission de s’assurer du respect des lois en matière de protection des données, notamment le RGPD, entré en vigueur en 2018.
Au fil des années, la CNIL a acquis une réputation d’autorité proactive dans la protection des droits numériques. Cependant, des incidents comme celui avec Monsieur A mettent en évidence la nécessité pour l’institution de renforcer ses procédures de communication et de transparence pour maintenir la confiance du public.