La CNIL a aidé la société VALIUZ à réaliser un profilage de masse des Français, mais refuse de l’assumer

eWatchers

#surveillance #technopolice #profilage #CNIL #Valiuz

Article mis en ligne le 29 avril 2024

La Commission française a accompagné gratuitement une société à agréger les données des clients de nombreuses enseignes françaises, au détriment des Français qu’elle est censée protéger.

La CNIL a pour missions de s’assurer du bon respect des lois et réglementations relatives à la protection des données par les organismes et d’informer, ou conseiller, ces organismes. Si les mesures punitives et coercitives de la CNIL sont relativement connues, particulièrement grâce aux sanctions publiques à l’encontre des acteurs américains, ses travaux de conseil ou d’accompagnement le sont beaucoup moins. Ils sont pourtant très importants, car ils permettent à certains organismes privilégiés de bénéficier de ressources publiques et d’obtenir une certaine immunité.

La CNIL ne communique pas publiquement la liste des heureux élus, ni la nature des activités réalisées. (...)

’une société dénommée Valiuz avait notamment bénéficié des ressources et des compétences pointues de la Commission. Cette société, inconnue du grand public, connaît très bien la population française et se vante même de « connaître probablement 100 % des foyers français » grâce à sa capacité d’agrégation des données de toutes les sociétés de son principal actionnaire, la famille Mulliez, une (très) riche famille française qui possède de nombreuses enseignes en France, notamment Auchan, Décathlon, Leroy Merlin, Boulanger, Kiabi, Electro Dépôt, Norauto, Saint Maclou, Alinea, Flunch, Pimkie, Jules, Bizzbee, Top Office et bien d’autres.

L’accompagnement d’une telle entreprise pendant des mois par la CNIL interroge. (...)

l’enquête menée a permis de découvrir que la CNIL œuvre de manière douteuse, voire illégale, pour garder le secret sur ses activités et ne pas justifier ses choix, au détriment des Français qu’elle est censée protéger.

La découverte hasardeuse des travaux de la CNIL au bénéfice de la société Valiuz (...)

Une plainte[2] a alors été déposée à la CNIL pour que la société Boulanger fournisse une information claire et compréhensible, pour que la société obtienne le consentement préalable de ses clients avant de traiter leurs données à caractère personnel à des fins de publicité ciblée et pour que la société informe ses clients que leurs données ont été divulguées à des sociétés tierces sans leur consentement préalable.

Cette plainte a été clôturée par la CNIL trois mois plus tard, en avril 2022. (...)

L’accompagnement offert par la CNIL aux organismes

Dans sa réponse, la CNIL a également précisé que les modalités de cet « accompagnement » offert à la société Valiuz sont expliquées dans une « charte d’accompagnement des professionnels » disponible en ligne (...)

En résumé, il y a trois types d’accompagnement : un accompagnement général, un accompagnement sectoriel et un accompagnement individuel. (...)

L’accès (très compliqué) aux travaux de la CNIL (...)

Bref, la CNIL n’a manifestement toujours pas tout dit et ne souhaite pas le faire, puis les quelques documents transmis sont peu exploitables, ce qui est inacceptable. Le tribunal administratif de Paris a donc été saisi le 11 mars 2024 (...)

Le CNIL doit rendre des comptes

Cette histoire a montré que la CNIL recourt à des manœuvres douteuses, qui sont contraires à ses engagements et contraires à ses missions : ne pas instruire une plainte sous prétexte que la société concernée est accompagnée, communiquer de fausses informations, omettre volontairement de communiquer certaines informations et transmettre des documents de manière éparse, sans respecter les délais légaux.

La difficulté d’accéder aux documents détenus par la CNIL est également incompatible avec son statut d’autorité administrative indépendante (...)

La CNIL ne devrait pas accompagner Valiuz, mais la sanctionner

Au final, l’accompagnement de la CNIL auprès de Valiuz a-t-il permis d’apporter une meilleure information aux Français sur la manière dont leurs données sont agrégées en masse puis utilisées, ou a-t-il permis à la société de traiter les données des Français en respectant mieux ses obligations en matière de protection des données  ? On peut en douter.

Postérieurement au démarrage de cet accompagnement, de nombreux sites de l’« alliance » Valiuz, à l’instar du site de Boulanger, apportaient encore une information contestable aux internautes. Les modalités de dépôt des cookies de ces sites, qui utilisaient notamment les cookies de Valiuz, étaient aussi condamnables. La CNIL s’est toutefois contentée de « rappeler leurs obligations légales » aux sociétés concernées et s’est, pour le moment, abstenue d’instruire les autres plaintes concernant Valiuz.

Puis, quand on voit que dans la demande d’accompagnement « renforcé » d’avril 2023 de Valiuz, la société indique que l’une des « principales problématiques » à laquelle la société est confrontée est la « base légale des traitements », c’est-à-dire le fondement légal qui justifie l’existence même des traitements, il y a de quoi être inquiet. (...)

La société Valiuz cherche donc encore toujours une façon de justifier ses traitements « de profilage à grande échelle » à des fins de « prospection commerciale », et cherche même a connaître les « limites dans lesquelles la base légale de l’intérêt légitime peut être utilisée », c’est-à-dire que la société cherche à savoir dans quelle mesure elle peut se passer du consentement des personnes et justifier ses traitements intrusifs de données par ses propres intérêts, probablement commerciaux.

Pour conclure, il est peut-être bon de rappeler que la CNIL devrait agir dans l’intérêt général, c’est-à-dire communiquer les documents lorsqu’on lui demande, traiter correctement les plaintes qu’elle reçoit, bannir les profilages de masse de la population française et enfin, s’abstenir d’aider des entreprises réalisant des traitements instrusifs, particulièrement lorsqu’ils bénéficient à un seul et même actionnaire, dont la fortune est l’une des plus grandes du pays.

Le contrat d’engagement républicain, outil de mise au pas du monde associatif

Créé afin de lutter contre « l’islamisme radical » et « tous les séparatismes », le contrat d’engagement républicain (CER) n’a, à ce jour, jamais en réalité été invoqué à l’égard d’associations confessionnelles, qu’elles soient islamistes ou liées à d’autres mouvements radicaux ou séparatistes, révèle un décompte réalisé par l’Observatoire des libertés associatives.

Et sur les vingt-quatre cas relevés, seuls trois portent sur des faits liés à la religion musulmane au sein d’associations telles qu’une section locale du Planning familial, accusée d’avoir représenté une femme voilée sur une affiche, une MJC, à laquelle on a reproché d’avoir embauché des femmes voilées, et une association d’aide aux femmes, accusée sans preuve de « prosélytisme religieux ».

Pour le reste, le CER, que les associations doivent obligatoirement signer lorsqu’elles demandent une subvention, a été brandi à l’égard de l’association Alternatiba Poitiers accusée de « désobéissance civile » ; d’une association d’aide aux mal-logé·es, l’Atelier populaire d’urbanisme (APU), dont une salariée est accusée de violences verbales envers des agents municipaux ; d’une association d’aide aux immigré·es ayant appelé à une manifestation contre les violences policières interdites ; d’une télévision associative, Canal Ti Zef à Brest, mobilisée dans la lutte contre l’évacuation d’un squat ; ou encore d’une compagnie de théâtre, la compagnie Arlette Moreau à Poitiers, ayant moqué son préfet. (...)

Lors de l’adoption de la loi séparatisme, à l’été 2021, des député·es de l’opposition et des responsables associatifs avaient déjà alerté sur les risques d’un détournement du CER dans un but de répression politique. (...)

Parler de détournement du CER est excessif. Lorsqu’on relit les débats parlementaires, on se rend en effet compte que la majorité assumait, dès le départ, le fait de ne pas viser exclusivement les associations séparatistes radicales mais toute association ayant recours à certains modes d’action liés à la désobéissance civile. (...)

Pourtant, malgré ce champ d’application particulièrement large, le contrat d’engagement républicain est en partie un échec pour le gouvernement. « Le bilan est encore loin d’être concluant », constatait un rapport d’évaluation du Sénat publié au mois de mars, qui soulignait le peu de cas de mobilisation du CER – quatre selon le rapport – et des modalités d’application disparates en fonction des collectivités. « Cette loi ne fait peur à personne. Surtout pas aux islamistes », assénait même sa rapporteuse, Jacqueline Eustache-Brinio.

Comment le gouvernement s’est lui-même piégé (...)

En créant ce contrat, le gouvernement s’est en quelque sorte piégé lui-même. Il n’existe pas en effet de droit à la subvention pour les associations. Chaque collectivité dispose de ce fait d’un droit discrétionnaire en matière d’attribution et elle peut refuser ou accorder telle ou telle subvention sans avoir à se justifier.

En créant le CER, la loi séparatisme a créé un nouvel acte administratif qui offre une prise juridique, un recours possible pour les associations. Or, dans la seule décision visant directement le CER rendue à ce jour, le tribunal administratif de Poitiers a rejeté la demande du préfet de la Vienne visant à obtenir le remboursement d’une subvention versée à l’association Alternatiba pour avoir tenu un atelier de désobéissance civile.

D’autres recours lancés ces derniers mois devraient permettre de préciser cette jurisprudence naissante. (...)

il n’est par exemple qu’évoqué à l’oral dans une réunion ou dans un mail ou brandit comme une menace, sans que l’on sache s’il est vraiment à l’origine d’une sanction à non.

Au mois d’août dernier, Le Monde révélait ainsi qu’il existe une « liste rouge » d’associations basées dans la région du plateau de Millevaches qui seraient privées de subventions par la préfecture sans que cela leur ait été officiellement notifié, leur ôtant ainsi toute possibilité de recours.

Plus récemment, une association d’aide aux immigré·e·s, l’Asti du Petit-Quevilly en Seine-Maritime, s’est vu « rappeler » ses engagements par la préfecture pour avoir appelé à une manifestation contre les violences policières interdite. Celle-ci a transmis cet « avertissement » aux partenaires financiers, dont la métropole de Rouen, qui a en conséquence suspendu l’examen des demandes de subvention de l’Asti. (...)

« Il y a chez certaines collectivités une profonde incompréhension du CER, qui est utilisé à tort et à travers, et notamment comme un moyen de pression, de régulation des relations avec les associations », analyse Claire Thoury, présidente du Mouvement associatif, une organisation regroupant environ 700 000 associations, et qui avait publié, en janvier 2023, un premier bilan de l’application du CER. (...) « Le CER a désormais un effet presque plus symbolique que pratique », ajoute Julien Talpin, chercheur en science politique au CNRS et l’un des fondateurs, en 2019, de l’Observatoire des libertés associatives. « On peut penser que certaines associations n’oseront plus aborder certains sujets comme les violences policières ou en ce moment le conflit israélo-palestinien. Le problème est de réussir à objectiver ces effets indirects et diffus et cette autocensure. » (...)

« Il y a donc une dissonance entre ce que prétend défendre le CER et les conséquences de son application à certaines associations, pointe-t-elle. Cela ne fait en outre qu’ajouter de la confusion à ce que sont les valeurs républicaines. » (...)

L’entrée en vigueur du CER est en outre intervenue dans un contexte de défiance croissante entre le monde associatif et les autorités. « Nous sommes en fait dans un contexte de dérive générale », affirme Claire Thoury. (...)

« Il y a également eu récemment le maire de Saint-Raphaël qui impose à toutes les associations touchant des subventions de participer aux manifestations patriotiques de la ville. C’est hallucinant ! », s’indigne la présidente du Mouvement associatif. (...)

« Les associations ne sont pas là pour faire plaisir aux pouvoirs publics, insiste Claire Thoury. Ce n’est pas leur mission. Mais l’inverse non plus ! Une association peut très bien s’opposer à une collectivité sur un sujet précis et être en accord sur un autre. C’est ce qu’on appelle un contre-pouvoir et c’est tout simplement le cours normal de la vie démocratique. » (...)

Source

Dans la même rubrique