Que fait la CNIL ?
Depuis 2020 et la création de 0D, nous avons adressé, conjointement avec des personnes physiques concernées, nombre de plaintes à la CNIL pour instruction. Violation de données, traitements illicites… Depuis, aucune de nos plaintes, pourtant dûment renseignées et documentées, n’a abouti.
Sur onze plaintes principales à la CNIL, une a permis de décoincer la situation à l’amiable avec le responsable de traitements, trois sont encore en attente, et 7 ont été classées.
La dernière en date mérite qu’on s’y attarde. Il s’agit d’une plainte pour usage de données biométriques, sans consentement (article 9 du RGPD). En effet, un professionnel a ordre de visiter en 2021, dans le cadre de son travail, un Datacentre en région parisienne. A l’entrée on lui demande son empreinte palmaire (la forme des mains). S’il refuse, il ne peut pas travailler et se met en défaut avec son employeur. Pour éviter cela il n’a d’autre choix que de donner ses mains à un appareil. De plus, dans le document qui lui est remis, il est précisé que l’entreprise est détenue par une société mère aux USA, et que le traitement des ses données biométrique pourra se faire aux USA. Pour rappel, le transfert de données vers les USA avant le 10 juillet 2023 et donc à date du traitement, était illégal selon la CJUE, et a même déjà été condamné par la CNIL (dont les liens renvoient maintenant automatiquement vers le fait que les transferts sont légaux, la belle affaire).
Il n’y a donc pas de doute, il y a transfert illégal de données à date, traitement de données biométriques sans consentement possible, l’infraction est nette.
Voici donc la réponse de la CNIL sur cette plainte : « Votre demande a été traitée. Elle sera supprimée de cet espace dans 6 mois. » Et rien d’autre. Pour preuve :
Vous lisez bien. « Demande reçue » … « Plainte close » … « Votre demande a été traitée » … mais aucun traitement au milieu. Pas une explication rien. Et ce n’est pas un cas isolé. Une autorité de contrôle de complaisance, voilà le point de vue de notre Association. Tristesse pour nos données personnelles et nos libertés publiques.
Mais y croyions-nous vraiment ? Malheureusement oui, un peu.