« S’ils m’avaient répondu concrètement, je n’aurais pas fait appel à la CNIL » : les dynamiques relationnelles de l’exercice des droits

Rédigé par Antoine Courmont

 - 

25 février 2022


Qu’est-ce qui conduit les personnes à recourir à la CNIL ? Au-delà du non-respect de leurs droits, les entretiens témoignent que leur décision s’inscrit dans la dynamique de la relation avec l’organisme concerné. 

[Dossier] La protection des données est-elle un sport de riches ?

L’analyse des plaintes menées dans le cadre du cahier IP8 mettait en évidence quatre situations principales conduisant les individus à se mobiliser pour leurs droits auprès de la CNIL : quand leur réputation est menacée par des informations disponibles en ligne, lorsqu’ils sont victimes d’intrusion dans leur sphère privée par de la prospection commerciale, en cas de surveillance sur leur lieu de travail, et enfin l’inscription dans des fichiers nationaux (accidents bancaires, antécédents judiciaires). Cette analyse issue des plaintes reçues par la CNIL pointait également les trois étapes que doivent franchir les personnes pour transformer une expérience individuelle en un litige pour lequel ils vont mobiliser leurs droits :  l’infrastructure de données doit être rendue visible ; l’individu se considérer comme une victime du traitement de données ; et être dans une situation sociale asymétrique qui l’empêche de résoudre le problème par lui-même. 

Les entretiens menés auprès des plaignants confirment - et complètent - ce premier travail. La mobilisation des droits de protection des données personnelles s’inscrit dans des situations sociales particulières et des dynamiques relationnelles. L’exercice des droits est ainsi le produit d’une relation entre une personne et un organisme, qui se déploie dans des contextes particuliers. Toutes les situations de non-respect de leurs droits ne conduisent pas à une plainte auprès de la CNIL. Le recours auprès de la CNIL dépend très largement des interactions entre le plaignant et l’organisme concerné, et, du sens que le premier accorde aux actions et aux discours du second.

Ce dernier point, crucial, invite à dépasser les analyses de la relation entre un individu et un organisme collectant et traitant des données uniquement sous le masque de la domination du second sur le premier. Ces analyses trop réductrices ne prennent pas en compte ce qui se passe dans cet échange, la singularité des situations définies dans les interactions, la dynamique de la relation et le sens que les parties accordent à l’échange. Elles passent notamment sous silence toutes les situations lors desquelles les droits et les demandes des personnes sont respectés par les organismes, ainsi que celles où les individus sont compréhensifs sur les difficultés des entreprises à maîtriser elles-mêmes les données personnelles qu’elles traitent. 

 

Des demandes prises en compte

Si les personnes qui s’adressent à la CNIL n’ont pas réussi à obtenir satisfaction auprès de l’organisme concerné, cela ne doit pas nous faire oublier que l’exercice des droits peut s’opérer de manière fluide. Certains plaignants témoignent ainsi de situations dans lesquelles leurs demandes ont été prise en compte rapidement.

Par exemple, cet homme, engagé dans la suppression de nombreuses informations le concernant disponibles sur Internet, estime avoir contacté entre 100 et 150 sites, depuis trois mois, pour supprimer ses données. « Souvent les entreprises me répondent favorablement et en moins de dix jours. Ils sont souvent coopératifs et compréhensifs. ». (Homme, 25-29 ans, Bac+2/Licence, Cadre et profession intellectuelle supérieure). Autre exemple, cette femme qui, lorsqu’elle reçoit un email de prospection commerciale, contacte quasi-systématiquement le responsable de traitement pour demander la suppression de ses données. « Je leur écris de manière cordiale, pas vindicative. En mode : « Oubliez-moi et on en reste là ». Pour les organismes qui ont pignon sur rue, ça fonctionne généralement sans problème. » (Femme, 25-29 ans, Master et +, Autre). Ces témoignages de personnes, exerçant très régulièrement leurs droits auprès de différents organismes, illustrent le fait que le parcours du droit peut être fluide et rapide.

 

Des plaignants compréhensifs

Par ailleurs, les plaignants sont compréhensifs des difficultés que peuvent rencontrer les entreprises pour collecter et traiter de manière conforme leurs données personnelles. Certains ont par exemple fait l’expérience dans le cadre professionnel de l’investissement technique, juridique et organisationnel nécessaire à la mise en œuvre du RGPD. D’autres peuvent être indulgents compte tenu du contexte (« Au début, j’ai laissé faire. Je me suis dit, c’est la crise, ils essayent de s’en sortir, pourquoi pas. »).

Cette indulgence varie toutefois selon la nature du préjudice, mais également selon l’acteur concerné. Par exemple, ce plaignant (Homme, 40-49 ans, Master et +, Cadre et profession intellectuelle supérieure) se dit tolérant vis-à-vis des erreurs potentielles de sociétés en matière de protection des données personnelles. Pour lui, l’important est la « bonne volonté » démontrée par les organismes pour améliorer leurs pratiques. Or, cette fois, il a décidé de prendre le temps de s’adresser à la CNIL à cause de à cause de « l’attitude particulièrement désinvolte » de l’entreprise qui l’a « choqué ». Il lui semble en effet qu’étant donné « le statut et les moyens dont les grandes entreprises disposent, ce genre de traitement est impardonnable ».

Cette tolérance semble plus marquée pour les petites structures. A l’inverse, le fait qu’une entreprise de taille importante ne respecte pas leurs droits est un facteur supplémentaire de plainte auprès de la CNIL. « Pour les grands groupes, on a envie de leur dire « arrêtez la com et respectez la loi ». (Homme, 40-49 ans, Master et +, Agriculteur exploitant, artisan, commerçant, chef d’entreprise). Par exemple, cette plaignante ne parvient pas à faire cesser les sollicitations commerciales par une grande chaîne commerciale : « Je suis très surprise d’avoir ce problème avec une marque aussi connue. J’aurais été beaucoup plus compréhensive si ça avait été un petit commerçant, un revendeur qui a moins les moyens pour mettre en œuvre. Je ne comprends pas comment une marque comme ça ne parvient pas à respecter le RGPD ! » (Femme, 30-39 ans, Bac+2/Licence, Employé). L’attente envers les grandes entreprises et les marques de premier plan est ainsi plus importante que pour les entreprises de taille plus réduite.

 

Ces témoignages soulignent que, plutôt qu’une lecture rigoriste de l’application du droit des données personnelles, les plaignants définissent, dans le cadre de l’interaction, les manquements acceptables des autres et peuvent trouver des « circonstances atténuantes » à certaines entreprises. Ils tracent une frontière entre les comportements tolérables et les autres. Ils peuvent faire preuve d’indulgence vis-à-vis des organismes fautifs et s’accommodent d’un non-respect de la règle selon les circonstances et les caractéristiques des acteurs impliqués. A l’inverse, ils peuvent avoir un regard critique sur les pratiques d’un organisme au regard d’une attente tenue pour légitime vis-à-vis celui-ci. Il en résulte un recours aux droits qui varie d’une situation à l’autre.

 

L’organisme ne répond pas

Ce sentiment d’injustice est renforcé lorsque l’organisme refuse le dialogue avec les individus et ne manifeste aucune intention de satisfaire leurs demandes d’exercice des droits. L’absence de réponse ou une réponse tardive, malgré leurs relances, de l’organisme concerné conduit dès lors les individus à recourir à la CNIL.

J’ai cherché à les joindre 3 fois. J’ai écrit 2 fois des emails comme il le proposent et je n’ai jamais eu de réponses. J’ai pris une petite heure à chaque fois pour trouver toutes les informations, les captures d’écran, qui pouvaient m’être demandées. C’est déjà arrivé que je vois des sites qui continuaient à m’envoyer des mails mais je leur demandais de supprimer mes données et ça se passait très bien à chaque fois. Là, c’est un peu comme s’il n’y avait plus personne à la barre.  (Femme, 40-49 ans, Master et +, Cadre et profession intellectuelle supérieure)

J’ai souhaité supprimer ce dossier et mes informations (je n’aime pas savoir que ça traîne en ligne). J’ai donc fait une demande de suppression en 2019, une autre en 2020… mais je n’ai jamais eu de retour de la part de l’organisme. Mais ce dernier me renvoie des mails régulièrement (quelques fois par an), ce qui est assez irritant. (Homme, 40-49 ans, Master et +, Cadre et profession intellectuelle supérieure)

 

Les procédures d’exercice des droits sont dysfonctionnelles

Une problématique récurrente a trait aux individus confrontés aux procédures techniques ou administratives mises en place par les organismes. Leurs demandes de désinscription, de suppression ou de correction de leurs données ne sont pas prises en compte malgré les démarches effectuées via les procédures mises en place par les entreprises.

J’ai fait une demande via le formulaire disponible sur le site du laboratoire. Mais rien ne s’est passé. Une fenêtre pop-up a été affichée indiquant que ma demande avait bien été prises en compte. Mais je n’ai jamais été recontacté et je peux toujours me connecter sur leur site avec mes identifiants. (…) Est-ce que c’est un dysfonctionnement matériel ? Est-ce que c’est un problème organisationnel ? Est-ce qu’ils s’en fichent de nos demandes ? Ou juste est-ce qu’ils sont à la ramasse ? Parce qu’il ne suffit pas de mettre un formulaire, d’afficher toutes les informations, s’il n’y a rien derrière, si personne ne traite les demandes, ça ne va pas.  (Homme, 40-49 ans, BAC+2 / licence, Cadre et profession intellectuelle supérieure)

J’ai opt-out de tout sur leur site, et je suis quand même démarché (voire harcelé) par mail, courrier, et même par un prestataire extérieur par téléphone pour me vendre un de leurs produits alors que je suis déjà chez eux. (Homme, 50-59 ans, Master et +, Cadre et profession intellectuelle supérieure)

J’ai accepté le programme de fidélité, mais je leur ai précisé alors que je ne voulais pas recevoir de publicité. Mais ils n’ont pas respecté mes demandes. J’ai reçu quelques jours plus tard des SMS, j’ai répondu Stop SMS, au bout de deux fois, ça a fonctionné et j’ai arrêté d’en recevoir. C’est ensuite que j’ai commencé à recevoir des emails, et beaucoup ! Je reçois un email tous les trois jours depuis juin ! Je clique systématiquement sur Me désabonner, je reçois systématiquement une notification Votre demande a bien été prise en compte, mais ça continue ! J’en reçois toujours. (Femme, 30-39 ans, Bac+2/Licence, Employé)

 

Ces témoignages illustrent la matérialité de l’exercice des droits. Les organismes équipent leurs procédures, de désinscription ou de suppression par exemple, de dispositifs techniques supposés automatiser le contrôle par l’individu sur les informations le concernant. Or, plutôt que de redonner prise à l’individu, ces médiations techniques sont sujettes à des dysfonctionnements ne permettant pas aux personnes d’exercer leurs droits. 

 

Les réponses ne sont pas satisfaisantes

Le recours à la CNIL peut être déclenchée par une réaction « complètement bancale », « à côté de la plaque » ou « prise à la légère » de l’entreprise. Davantage que le manquement constaté, c’est ainsi la dynamique de la relation, l’échange entre le plaignant et l’organisme qui va conduire à la plainte à la CNIL.

J’ai contacté le DPO de XXX par email en lui demandant qu’il me prouve que j’avais donné mon accord. (…) Il m’a répondu à côté de la plaque en me disant que je n’avais pas à m’inquiéter, que mes données étaient traitées en France ou en Europe, mais sans répondre à ma question. Donc, j’ai répondu, et, j’ai demandé à avoir une copie, un export de toutes les données me concernant. (…) Je me suis accroché cette fois ci parce que c’était flagrant que leur réaction était à côté de la plaque. (…) Ça m’a bien énervé d’avoir quelqu’un qui ne répond pas à la question. Par rapport au problème initial, s’ils m’avaient répondu concrètement, je n’aurai probablement pas fait appel à la CNIL. Là, le DPO a essayé de me balader. (Homme, 40-49 ans, BAC+2 / licence, Cadre et profession intellectuelle supérieure)

Quand je leur demande des informations ou quand je leur parle du RGPD, la réponse est d’aller se faire voir. (…) C’est aussi ce qui m’a poussé à déposer plainte auprès de la CNIL, c’est d’être tombé sur des personnes qui ne sont absolument pas dans le dialogue. (Femme, 30-39 ans, Master et +, Cadre et profession intellectuelle supérieure)    

J’ai regardé dans leurs CGU, ils indiquent conserver nos informations un an seulement ! Je les ai contactés, ils m’ont donné comme excuse qu’ils ont eu une panne informatique et qu’ils ont dû restaurer un backup. Alors je veux bien, mais un backup vieux de 15 ans, ils dépassent les bornes ! Ils m’ont envoyé un email d’excuses bidons me disant qu’ils ont supprimé mes données, mais c’est pas suffisant. Le site marchand a vraiment pris ça à la légère. On ne fait pas un backup à partir d’une copie d’il y a 15 ans ! Et qui conserve des données pendant 15 ans ?! (Homme, 60-69 ans, Bac+2/Licence, Retraité)

Je reçois des sollicitations pour de la publicité, et quand je leur demande où ils ont eu mon adresse, ils me répondent systématiquement LinkedIn. Sauf qu’ils ne m’écrivent pas sur mon adresse renseignée sur LinkedIn. Donc ils mentent. J’engage systématiquement des échanges pour savoir d’où viennent mes informations (…), et si on tourne en rond, je dépose plainte à la CNIL. (Homme, 40-49 ans, Bac, Cadre et profession intellectuelle supérieure)

 

L’exercice des droits : une bataille ?

Si elle est attentive aux jugements et au sens attribué par les personnes, l’approche interactionniste suivie dans cet article n’implique pas de minimiser les rapports de pouvoir à l’œuvre dans le processus d’exercice des droits. Au contraire, le discours des plaignants illustre l’asymétrie des situations entre les personnes individuelles et les organismes, qui maîtrisent le terrain de jeu et de dialogue dans lequel se déroule l’exercice des droits (au travers notamment du design des services numériques).

De fait, le vocabulaire employé par les personnes (« bataille », « guerre », « combat », « bagarre ») témoigne que l’exercice des droits peut être une épreuve de force, entre deux parties asymétriques, aux compétences et aux informations inégales. Pour de nombreuses personnes, la plainte à la CNIL est leur dernier recours après avoir épuisé les démarches alternatives. La description des étapes de l’exercice des droits illustre les parcours parfois sinueux pour voir les demandes des personnes exaucées.


Illustration (CC BY 2.0) - spinster cardigan : obstacle


Article rédigé par Antoine Courmont , Chargé d’études prospectives