26 avril 2021

Temps de lecture : 3 min

Ce que les plaintes et courriers des citoyens reçus par la CNIL nous apprennent

Pour son huitième Cahier Innovation et Prospective, la CNIL s’est penchée sur les plaintes et courriers qu’elle reçoit quotidiennement : une étude riche d’enseignement sur le rapport des citoyens à la protection de leurs données personnelles et à la vie privée.

Depuis l’entrée en application du RGPD, nous avons constaté que les personnes se saisissent davantage de leurs droits. Dès 2018, les plaintes reçues ont augmenté de 33%, puis de 27% supplémentaire en 2019, avant de se stabiliser autour de 14 000 plaintes en 2020”, expliquait Marie-Laure Denis la Présidente de la CNIL dans la conférence de présentation du huitième Cahier Innovation et Prospective, réalisé par le Laboratoire d’Innovation Numérique de la CNIL (LINC).

Pour mieux comprendre pourquoi les individus se mobilisent (ou non) pour leurs droits relatifs à la protection de leurs données personnelles, les chercheurs du LINC ont mené une analyse qualitative des courriers et plaintes reçues par la CNIL durant les mois de mai 2016 et mai 2019. Une matière précieuse et riche d’enseignements, comme le soulignent les auteurs du rapport : “Les courriers rassemblés et sélectionnés contiennent des micro-récits dans lesquels le plaignant exprime sa sensibilité et relate, avec plus ou moins de détails, son expérience, les démarches entreprises, la pré-enquête qu’il a entamée, etc. […] Ils donnent à voir les difficultés que les individus rencontrent pour mettre en œuvre leurs droits de protection des données personnelles.

Quatre motifs de recours principaux

Les auteurs de l’étude distinguent quatre situations “types” de recours à la CNIL par les particuliers : les enjeux de protection de leur réputation en ligne, l’intrusion de la prospection commerciale dans leur vie privée, la surveillance au travail et l’inscription jugée indue dans des fichiers nationaux (accidents bancaires et antécédents judiciaires, notamment).

Sur les deux périodes étudiées – l’une avant l’entrée en vigueur du RGPD, l’autre après – près d’un tiers des plaintes reçues par la CNIL étaient liées à la publication non souhaitée de données personnelles sur les moteurs de recherche, les réseaux sociaux, les blogs ou la presse en ligne, dans le but de déréférencer ces contenus ou de les effacer. L’étude note ainsi : “Ces demandes témoignent d’une sensibilité des individus pour la protection de leur vie privée et l’exposition de soi. S’ils ne disposent pas nécessairement des compétences pour construire leurs identités numériques, par leurs recherches sur des moteurs de recherche, ils veillent à ce que les informations les concernant ne nuisent pas à leur réputation”.

Le second motif de contact de la CNIL concerne la prospection commerciale ou politique – que ce soit par courrier postal, appel non sollicité, SMS ou e-mail – qui représente 15 % des plaintes reçues par la CNIL en mai 2019. “Si tous les plaignants ne précisent pas les conséquences de ces courriers, appels ou emails non sollicités, certains décrivent le préjudice subi. Pour plusieurs d’entre eux, la situation confère au harcèlement et conduit à une atteinte psychologique”, pointent les auteurs de l’étude.

La publicité en ligne, grande absente ?

Alors que le débat public sur la vie privée et le respect des données personnelles est centré autour de l’action des GAFA et des acteurs de la publicité en ligne, ce sujet est finalement peu présent dans les courriers reçus et analysés par la CNIL. “Les affaires et scandales médiatiques n’ont qu’une répercussion limitée sur les plaintes adressées à la CNIL, note l’étude. Si les attentes envers la CNIL portent largement sur ces sujets dans le cadre des débats publics et si l’institution a, par ailleurs, une mission de vigilance et de contrôle, force est de constater que le traitement des plaintes relève d’une dynamique très distincte.”

Plus que par des plaintes individuelles auprès de la CNIL, ce sujet est en effet principalement traité via des actions médiatiques ou de lobbying, animées par des associations de consommateurs ou d’internautes. Le RGPD a par exemple introduit la possibilité d’actions collectives : une procédure dont se sont déjà saisies plusieurs associations, comme la Quadrature du Net en 2018 contre Google, Apple, Facebook, Amazon et LinkedIn, l’ONG Noyb (None of Your Business) sur les cookies et le transfert de données en 2019 et 2020, ou encore la Ligue des Droits de l’homme en juin 2020 contre Uber.

La relative absence des enjeux de vie privée liés à la publicité en ligne dans les plaintes individuelles s’explique notamment par la complexité de cet écosystème. “L’exercice des droits nécessite de prendre conscience de la collecte et du traitement de ses informations personnelles. Or, ces opérations sont inscrites dans des infrastructures complexes faiblement visibles et compréhensibles pour l’individu. Un exemple paradigmatique de cette complexité est celui de la publicité en ligne, où, malgré le recueil du consentement par l’intermédiaire des « bandeaux cookies », l’internaute a une compréhension réduite de l’ensemble de la chaîne de la donnée et des acteurs qui y ont accès.” Pour déposer une plainte, il faut déjà se sentir victime, et ensuite être capable d’attribuer la responsabilité de l’offense à un tiers.

Développer des “corps intermédiaires” de la donnée

Pour permettre aux internautes d’exercer leurs droits à l’ère du numérique, le LINC recommande donc de développer des leviers collectifs pour protéger la vie privée, et en particulier oeuvrer pour rendre visible les infrastructures de données (à l’image de l’outil CookieViz développé par la CNIL), encourager le développement de “corps intermédiaires” de la donnée (syndicats, associations de consommateurs…), mais aussi accentuer les efforts de prévention autour des usages numériques, en faisant de l’inclusion et de l’éducation à la protection des données des priorités publiques.

Allez plus loin avec Influencia

the good newsletter

LES FORMATIONS INFLUENCIA

les abonnements Influencia