RGPD : la CNIL ne semble pas respecter les règles qu'elle impose aux autres

"Certains courriers adressés par la CNIL semblent plus proches de l’intimidation que du strict respect du RGPD."

Quel est le rôle de la CNIL ?

La CNIL (Commission Nationale de l'Informatique et des Libertés) est le gardien de vos données personnelles en France. C'est une autorité publique indépendante qui veille à ce que l'utilisation de l'informatique ne porte pas atteinte à votre vie privée et à vos libertés.

Missions de la Commission Nationale de l'Informatique et des Libertés

Concrètement, ses missions principales sont les suivantes :
 

Informer et protéger les citoyens : La CNIL vous informe sur vos droits concernant vos données personnelles (droit d'accès, de rectification, de suppression, etc.). Si vous rencontrez des difficultés à exercer ces droits, vous pouvez lui adresser une plainte.
 

Conseiller et accompagner les professionnels : Elle aide les entreprises et les organismes publics à respecter les règles de protection des données, notamment le RGPD. Elle leur fournit des outils et des conseils pour qu'ils se conforment à la loi.
 

Contrôler et sanctionner : La CNIL a le pouvoir de contrôler les organismes pour vérifier qu'ils respectent bien la loi. En cas de manquement, elle peut prononcer des avertissements, des mises en demeure et des sanctions financières (amendes). En 2023, ces amendes ont atteint un montant cumulé de 90 millions d'euros.
 

Anticiper les évolutions technologiques : Elle étudie les nouvelles technologies et leurs impacts sur la vie privée pour pouvoir adapter la réglementation et prévenir les dérives.

En résumé, la CNIL est votre alliée pour vous assurer que vos données personnelles (nom, adresse, photos, informations de santé, etc.) sont utilisées de manière responsable et sécurisée, que ce soit par une administration ou une entreprise.

Des mises en demeures de la CNIL infondées et bourrées d’erreurs

Cependant, certaines actions de la CNIL semblent parfois incohérentes, comme cette fois où elle adresse une mise en demeure à un éditeur de logiciels car l’agente de la Commission Nationale de l'Informatique et des Libertés avait confondu un gestionnaire de DNS avec un hébergeur.
 

Ainsi, l’entreprise concernée était injustement incriminée alors même qu’elle respectait parfaitement la réglementation. Seulement pour se défendre, l'entreprise avait dû mandater un avocat à ses frais. 

Une fois lavée de tout soupçons, aucune excuse de la Commission Nationale de l'Informatique et des Libertés, ni même de remboursement des honoraires d’avocat.

"Nous avons reçu un courrier de la CNIL faisant état d'une demande d'effacement qui mélangeait tout. Visiblement le travail n'avait pas été fait correctement ou bien l'employée de la CNIL n'avait pas les compétences indispensables au poste qu'elle occupe, car elle confondait notre gestionnaire de DNS (où aucune donnée utilisateur ne transite) avec notre hébergeur sur le sol Français."
 

Cet exemple n’est pas isolé.
 

En effet, la CNIL adresse également des courriers où parfois les entreprises sont confondues entre elles, rendant la demande des services de la CNIL impossible à traiter pour les destinataires.

"La CNIL confondait nos entreprises. La demande d'effacement concernait l'entreprise A, l'hébergement l'entreprise B. Les sociétés n'avaient aucun lien entre elles. On a dû batailler avec nos avocats pour leur faire entendre raison....à nos frais."

La CNIL s’en prend à la liberté de la presse

Certains agents de la CNIL ne semblent pas respecter la liberté de la presse et des médias en adressant des missives leur enjoignant de supprimer les mentions, pourtant publiques, des protagonistes dans les articles de presse des médias concernés.
 

En droit, l’article 17.1 du RGPD concerne le droit à l’effacement des données personnelles :

Seulement, le point 17.3 du même règlement relatif à la protection des données indique que les points 17.1 et 17.2 ne sont pas applicables “dans la mesure où ce traitement est nécessaire [...] à l'exercice du droit à la liberté d'expression et d’information”.

Pourtant d’après les témoignages recueillis auprès de blogueurs, rédacteurs en chef de médias, acteurs de la presse, certains courriers adressés par la CNIL semblent plus proches de l’intimidation que du strict respect du RGPD.

"Nous avons été pratiquement harcelés par la CNIL. En 2021, ils nous ont adressé des courriers auxquels nous avons répondu avec notre avocat. Puis, plus de nouvelles, nous pensions le dossier terminé. 4 ans plus tard, en 2025, nous recevons à nouveau des courriers plutôt virulents de la part de leurs services concernant les mêmes plaintes avec tout un tas d'incohérences. On s'est même demandé si l'agent de la CNIL n'était pas de la famille des plaignants."
 

En outre, une jurisprudence constante de la Cour de cassation concernant les abus de la liberté d'expression, indique qu’ils ne peuvent être réprimés que par la loi du 29 juillet 1881 (Cass. civ. 1, 6 octobre 2011, n° 10-18.142, FS-P+B+I).
 

Pour rappel, la liberté de la presse et des médias est légiféré par la Loi de 1881 qui précise notamment :
 

“tout journal ou écrit périodique peut être publié, sans autorisation au préalable.”

et
 

“Tout média à le droit de publier librement et sans contrôle préalable.”

En France, les journaux et médias sont protégés :
 

• Protection contre la censure avant publication
• Liberté d'expression garantie
• Liberté d'opinion protégée
• Liberté d'information assurée
• Droit de refuser toute pression
• Droit de ne pas divulguer ses sources

La CNIL n’a pas la légitimité pour intervenir en matière de droit de la presse dont dépendent les journaux, les blogs et les médias en général.

La CNIL autorise l’hébergement des données médicales des Français chez Microsoft

Il est assez étonnant que la Commission Nationale de l'Informatique et des Libertés ait donné son accord afin que les données de santé des citoyens français soient hébergées sans leur consentement aux États-Unis par l’intermédiaire de Microsoft.

Pourtant c’est effectivement le cas.

La CNIL a donné son accord pour centraliser les données de santé des Français dans un “entrepôt” virtuel hébergé chez Microsoft.

Qu’est-ce qui ne tourne pas rond à la Commission Nationale de l'Informatique et des Libertés pour à la fois incriminer injustement des entreprises Françaises respectueuses de la réglementation ; tout en acceptant le transfert des données des patients Français chez Microsoft ?

Cela d’autant plus qu’il existe des acteurs Français ou Européen à l’instar d’OVH ou de Clever Cloud en capacité de répondre à ces besoins de stockage sécurisés.

Ce deux poids, deux mesures montre à quel point nos institutions françaises, même gardiennes de nos données, sont déconnectées de la réalité où s’appliquent pourtant leurs réglementations.
 

Mieux, un rapport du Sénat indique explicitement que Monsieur Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a précisé que l’entreprise américaine n’est pas en mesure de garantir la souveraineté des données des citoyens français qu’elle héberge :

Lorsque la commission Sénatoriale a cherché à savoir si les données des citoyens Français ainsi hébergées chez Microsoft pourraient être transmises à des autorités étrangères sans l’accord des autorités Françaises, le directeur des affaires publiques et juridiques de Microsoft France répond simplement : 

“Je ne peux pas le garantir”.

La CNIL a pourtant donné son accord.

Des représailles de la CNIL ?

Compte tenu de son rapport particulier à la liberté d’expression et aux droits de la Presse, devons-nous maintenant attendre une mise en demeure de la CNIL pour avoir dénoncé ces pratiques ?