La Quadrature du Net tient parole : elle attaque la CNIL pour sa frilosité à appliquer le RGPD

Le 14 août se tiendra une audience devant le Conseil d’État. La Quadrature du Net veut contraindre la CNIL à appliquer le RGPD sous toutes ses dimensions et ne plus accorder de périodes transitoires.

La Quadrature du Net a donc tenu parole. N’ayant pas réussi à convaincre la CNIL de se montrer à la hauteur des exigences inscrites dans le Règlement général sur la protection des données (RGPD), l’association de défense des libertés individuelles sur Internet passe à l’attaque. Le lundi 29 juillet, elle a déposé devant le Conseil d’État un recours pour torpiller les récentes orientations de l’institution.

Dans le collimateur de la Quadrature du Net figure en effet la décision de la Commission nationale de l’informatique et des libertés concernant les cookies que déposent les sites web sur l’ordinateur des internautes lorsqu’ils visitent leurs pages. Avec le RGPD, il est en principe nécessaire d’obtenir au préalable l’accord explicite et éclairé de l’internaute avant de déposer quoi que ce soit.

quadrature
La Quadrature du Net avait adressé ses mises en garde. // Source : Num

Sauf que la CNIL a décidé d’aménager un régime spécial temporaire et assoupli pour les cookies et autres traceurs. Concrètement, les sites peuvent continuer à considérer que la poursuite de la navigation sur le site vaut consentement de l’internaute jusqu’au courant de l’année 2020. Ce n’est qu’après ce délai que les règles changeront et qu’il faudra bel et bien recueillir le consentement à la sauce RGPD.

« Une période d’adaptation, s’achevant 6 mois après la publication de la future recommandation, sera laissée aux acteurs afin de leur donner le temps d’intégrer les nouvelles règles », écrit ainsi la CNIL dans ses lignes directrices du 18 juillet. Cette future recommandation doit être publiée au premier trimestre 2020. Au plus tard, donc, la bascule se ferait au cours du second semestre 2020.

ASSEZ DE PÉRIODES TRANSITOIRES

C’est ce calendrier qu’attaque la Quadrature du Net, pas les nouvelles lignes directrices ou les futures recommandations. En effet, l’association rappelle que le RGPD, qui a été adopté en 2016, a bénéficié d’une première période d’adaptation de deux ans (le texte est appliqué depuis 2018) ainsi que d’une première année de contrôle de la CNIL aménagée, afin de ne pas tomber trop vite sur les retardataires.

La Quadrature du Net rappelle qu’en avril 2018, un mois avant l’entrée en vigueur réelle du RGPD, l’instance des CNIL européennes rappelait que l’action de faire défiler une page ou de naviguer sur un site « ne satisfait pas à l’exigence d’un acte positif clair ». Au contraire, il faut une action volontaire et sans ambiguïté. En somme, les sites ont eu assez de temps pour se mettre en conformité, il est temps d’appliquer la loi.

« La justification avancée par la CNIL d’ « exigence juridique de prévisibilité » ne tient donc aucunement : les acteurs de l’Internet ont eu plus de deux ans pour se conformer à ces nouvelles obligations. La lettre du RGPD est parfaitement claire, déjà expliquée en long, en large et en travers : la protection de nos libertés fondamentales ne peut connaître aucun nouveau sursis », déclare l’association.

Dans cette action devant le Conseil d’État, la Quadrature du Net a à ses côtés Caliopen, une autre association qui travaille depuis 2013 sur un projet de messagerie afin de tenir compte des révélations d’Edward Snowden sur la surveillance de masse. Le Conseil d’État, saisi en référé-suspension, va donc tenir une audience le 14 août prochain et, en principe, rendre une décision dans les semaines suivantes.