La CNIL – dans une décision critiquable du 20 décembre 2022, singulièrement rendue contre l’avis de son Rapporteur- décidait de ne pas sanctionner “LUSHA Ltd”, une société américaine de “Growth Hacking” qui avait pourtant “aspiré” à leur insu et pendant plusieurs années, l’intégralité des informations et données -pour certaines intimes et très sensibles- figurant aux fiches “contacts” des smartphones de millions de français utilisateurs de ses applications Android/iOS (SIMPLER, DIALER, EASY CLEANER, EASY CONTACTS…) en ce, suivant le(s) niveau(x) de détail(s) inscrit(s) : nom, prénom, photographie du contact, numéro(s) de mobile, adresses du domicile personnel / professionnel, appartenance à un groupe de contacts spécifiques, affiliation à un réseau social (WHATSAPP, FACEBOOK, INSTAGRAM, TWITTER..), adresse(s) e-mail personnelle(s) et professionnelle(s), identifiant de réseau social, surnom/pseudo, lien de filiation avec d’autres contacts, profession exercée (psychiatre, psychothérapeute, oncologue, diététicien, addictologue, neurologue, avocat pénaliste…), date d’anniversaire et autres notes associées (commentaires libres et éléments de personnalité spécifiques du contact…), etc… – afin de les revendre par la suite à quiconque voudra bien lui payer la somme moyenne de 1 dollar le binôme d’informations “numéro de téléphone mobile – adresse e-mail”.
Dans le même temps – paradoxalement et de façon inédite pour une décision de “non-lieu à sanction” – la CNIL ordonnait que cette délibération soit rendue publique en communiquant à son propos et en la publiant sur son site web et sur le site web de Légifrance (service public de diffusion du droit) au prétexte “[qu’]il apparai[ssait] opportun que l’ensemble des utilisateurs des applications en cause soient informés que les traitements mis en œuvre par la société Lusha ne sont pas soumis au RGPD” (sic).
La qualification “souverainement” orientée et réductrice des termes du débat par la formation restreinte – en ce qui concerne notamment les «personnes concernées», les traitements «concernés», «l’exécution d’un contrat de services», les «finalités du traitement», les «responsables de traitement» et la «présence/absence d’un représentant de LUSHA sur le territoire de l’Union»- a artificiellement circonscrit les limites de ce débat à l’envi pour aboutir à ce résultat de «non-lieu» rendu après plus de quatre années d’instruction, contre l’Avis de son Rapporteur.
Cette position inédite de la CNIL dans l’affaire LUSHA s’inscrit à contre-courant de son actualité du moment, à savoir, ses engagements pris dans le cadre de son plan d’action “Applications mobiles” présenté un mois avant la décision LUSHA et aux termes duquel “le smartphone, terminal personnel par définition, relève de la sphère privée et intime. Il est essentiel pour chacun de pouvoir contrôler les données auxquelles les applications mobiles ont accès. Pour autant à l’heure actuelle, les traitements de données peuvent être opaques. En particulier, les informations sur l’existence de collectes de données et les raisons pour lesquelles celles-ci sont collectées sont souvent peu claires. De même, l’utilisateur peut avoir des difficultés à comprendre la nature des autorisations qui lui sont demandées, ce qui complique l’expression de ses choix” (sic) – Plan d’Action CNIL “Applications mobiles – Pour protéger votre vie privée” présenté le 24 novembre 2022.
L’extraterritorialité du RGPD est l’une des meilleures armes de l’Union contre le pillage de nos données personnelles par des acteurs hors UE tentant de se mettre – ou faisant plutôt mine de se mettre – hors de sa portée. Par sa décision zélée voulant s’afficher comme le reflet d’une analyse juridique rigoureuse et exemplaire de la lettre du RGPD, la CNIL semble avoir omis que «le juridique sans le politique» ou «la lettre sans l’esprit» n’est que bagatelle.
CNIL * SAN-2022-024 du 20 décembre 2022
ANALYSE CRITIQUE
