Annoncée en octobre dernier, l’externalisation de la gestion des saisines les plus simples de la CNIL vient de faire l’objet d’un appel d’offres. On y apprend que 30 % des plaintes ont trait à Internet et aux télécoms, 21 % au commerce, et que 1 000 des 14 000 saisines annuelles sont transfontalières.
La CNIL vient de lancer un appel d’offres d’ « externalisation de certaines opérations de traitement de saisines » d’un montant estimé à 150 000 euros hors taxes par an (soit 600 000 pour toute la durée des 4 ans du marché).
En octobre dernier, elle avait annoncé vouloir « continuer à gagner en efficacité dans le traitement des dossiers et poursuivre la numérisation de l’institution » afin d’ « améliorer la réponse de la CNIL aux nombreuses saisines des particuliers et des entreprises » en externalisant partiellement le traitement des plaintes simples, et ce au titre d’une expérimentation.
Le nombre de saisines adressées à la CNIL a en effet « connu une croissance importante lors de l’entrée en application du RGPD » :
« Il a ainsi franchi le seuil des 10.000 en 2018. Depuis 2019, il s’est stabilisé autour de 14.000. En 2021, parmi ces 14.000 saisines, plus de 6.000 ont fait l’objet d’une réponse rapide. »
Les 8 000 autres saisines « ont nécessité un traitement plus approfondi » par sa direction de la protection des droits et des sanctions (DPDS), en charge de l’exercice des missions de contrôle a posteriori sur les traitements de données à caractère personnel dévolus à la CNIL.
La CNIL estime que « le stock de saisines pour lesquelles certaines opérations seraient externalisées est d’environ 4 000 unités » par an, chiffre correspondant à l’augmentation due au RGPD. L’autorité ajoute que cette volumétrie, sujette à fluctuation, n’est qu’une estimation et non un engagement contractuel.
Seulement 230 relances d’ « organismes incriminés » en 2021
L’externalisation de ces opérations porte sur des saisines répondant à l’ensemble des critères suivants, liés à l’objet de la saisine, à son auteur, et à l’organisme incriminé. Elles devront ainsi :
- porter sur des points juridiques « identifiés par la CNIL comme stabilisés (absence de question de droit nouvelle) », être clairement formulées pour des motifs simples, et ne viser qu’un seul responsable de traitement, et il ne doit pas s’agir de saisines transontalières ;
- avoir été formulées par des personnes physiques agissant pour ses propres intérêts ou pour ceux d’une personne l’ayant spécialement mandaté à cet effet ;
- viser des organismes qui ne sont pas l’État (notamment ses ministères).
La CNIL se réserve la possibilité de transmettre au prestataire des opérations liées à des saisines ne répondant pas à ces critères, mais pour lesquelles une seule action est à effectuer par le prestataire, tel que l’envoi d’un courrier de relance à l’OI (pour « organisme incriminé », car « mis en cause dans une saisine qui lui a été adressée », précise le glossaire de la CNIL).
En 2021, 230 relances seulement avaient ainsi été envoyées par les services de la CNIL parce que les OI en question n’avaient pas donné suite dans le délai fixé à des courriers d’instructions adressés par l’autorité.
En tout état de cause, le prestataire devra s’engager, à compter de la date d’envoi de la saisine par la CNIL, à effectuer l’ensemble des opérations mentionnées dans un délai inférieur à 1 semaine pour 90 % des saisines et l’inégralité des relances, et dans un délai inférieur à 2 semaines pour 100 % des saisines.
La banalité du traitement « Publik » des saisines de la CNIL
En l’espèce, le prestataire devra donc réceptionner les saisines dans Publik, du nom de l’applicatif métier qui réceptionne les formulaires remplis par les usagers, et qui permet le traitement des demandes transmises au titulaire par la CNIL, puis :
- analyser la complétude des demandes, voire demander des pièces complémentaires à l’auteur de la saisine ;
- analyser les pièces transmises, identifier la problématique via des scripts établis, et retransmettre à la CNIL les saisines n’entrant pas dans les problématiques pré-citées ;
- vérifier voire corriger la qualification de la saisine ;
- envoyer des courriers types à destination de l’auteur de la saisine :
o information du plaignant (IPL) ;
o courrier à l’auteur de la saisine (CR) ;
o clôture (CLA) ; - à destination de l’OI :
o première relance (RS) ;
o dernière relance (DR) ;
o relance unique (RU) ;
o rappel à la loi (RAL) ; - tracer via Publik l’ensemble des opérations de traitement réalisées ;
- mettre à jour le statut de la saisine en fonction de l’état d’avancement du traitement ;
- informer la CNIL à l’issue du traitement de la saisine.
Cette énumération peut paraître fastidieuse, mais elle témoigne tout autant de la banalité du travail quotidien des petites mains de la CNIL que de la somme de démarches à effectuer et des processus mis en place, comme le montre ce schéma de traitement des plaintes, repéré par David Libeau :
