La lettre ouverte a été mise en ligne par l’association P·U·R·R (Pour un RGPD respecté), une association de loi 1901 créée en octobre 2023 et hébergée par Aeris, bien connu pour ses nombreuses plaintes déposées auprès de la CNIL.
Elle rappelle que le RGPD a été promulgué en mai 2016 et affirme que, « six ans après, nous ne pouvons que constater la défaillance de votre Commission quant à l’exécution des pouvoirs qui lui sont conférés. Les manquements au RGPD, constants et massifs, continuent de prospérer ».
« Malgré des plaintes toujours plus nombreuses, en hausse de plus de 30% chaque année, les sanctions rendues par votre Commission restent désespérément faibles sinon inexistantes, avec moins de 50 sanctions pour 12 000 plaintes, et dépassant à peine le seuil d’un rappel à loi pour au moins la moitié d’entre elles », ajoute la lettre ouverte.
La conclusion est la suivante : « Sans action rapide de la part de votre Commission, nous ne constaterons aucune amélioration de la protection de la vie privée en France, déjà fort mal en point avec plusieurs décennies d’inaction de notre Autorité de Contrôle pourtant supposée la garantir ». Lancé lundi, elle a récolté pour l’instant 359 signatures.
Cette lettre ouverte est la suite d’une première pétition lancée il y a quelques mois qui demandait à la CNIL de « réarmer les citoyens et les DPO face aux violations du RGPD ». Elle dénonçait « la politique délibérée d’inaction mise en œuvre en France par la CNIL », parlait aussi de « politique laxiste » et d’« inaction répressive ». Elle avait réuni près de 5 000 signatures.
Sur X, Aeris explique que « la CNIL l’avait tout simplement rejetée au motif que son auteur travaillait… dans une société de conformité RGPD ». Il s’agit de Guillaume Champeau, qui est pour rappel directeur juridique et DPO chez Olympe.legal. Il était auparavant chez Clever Cloud, Qwant et Numerama.
Puisque la CNIL ferme la porte, Aeris tente de passer par la fenêtre : « On relance donc cette pétition, portée cette fois par une association, PURR, représentant toute personne lésée par le RGPD, essentiellement les Personnes Concernées, mais aussi les DPO et les Responsables de Traitement ».
Ce n’est pas la première passe d’arme entre la CNIL et Aeris. Lors d’une contestation devant le Conseil d’État d’une décision de la Commission, il accusait cette dernière de ne pas remplir « sa mission de veiller au respect du RGPD ».
Il avait alors été rejoint par Morgan Schmiedt d’eWatchers, qui ne mâchait pas ses mots contre l’institution : « Ce n’est pas que des soupçons. La CNIL envoie des messages types sans instruction réelle. Parfois, sans lien avec le manquement relevé. Parfois, avec le nom d’organismes différents, suite à des copiés-collés foireux. Parfois, elle ment ouvertement. Du foutage de gueule ».