Face à la multiplication des fuites de données en France, l’association PURR a adressé une lettre ouverte d’une rare virulence à la Commission nationale de l’informatique et des libertés. Elle accuse l’autorité de régulation d’inaction chronique, réclame des sanctions réellement dissuasives et appelle à une refonte complète de ses pratiques, au nom de la protection des citoyens.
Dans une lettre ouverte adressée fin novembre à la présidente de la Commission nationale de l’informatique et des libertés, l’association PURR – Pour Un RGPD Respecté – dénonce ce qu’elle qualifie d’échec structurel de la régulation française en matière de protection des données personnelles. Créée en octobre 2023 et basée à Chevilly-Larue, cette organisation loi 1901 dont les mentions légales et pages officielles ne nomment pas explicitement les fondateurs ou membres initiaux si ce n’est un certain aeris, qui se présente comme un « Groupe crypto-terroriste individuel auto-radicalisé sur le darknet digital » affirme pallier les carences d’une autorité qui, selon elle, « faillit à sa mission depuis près de dix ans ».
Le contexte est celui d’une série noire de cyberattaques. Depuis deux ans, plus de 150 incidents majeurs de fuites de données auraient été recensés, exposant des millions de Français à des risques d’escroquerie, de phishing, d’usurpation d’identité, voire d’atteintes physiques. L’association cite notamment le piratage de Free en octobre 2024, qui a concerné près de 19 millions de clients, plusieurs incidents chez SFR en 2024 et 2025, ou encore la fuite touchant 3,5 millions de foyers via le dispositif Pass’Sport du ministère des Sports en décembre 2025. À cela s’ajoute la récente cyberattaque visant le ministère de l’Intérieur, ou plus récemment celles qui ont frappé la CAF et La Poste.
Pour PURR, la responsabilité est clairement identifiée. Depuis 2016, la CNIL refuserait d’entrer dans une logique de sanctions systématiques, à l’exception de quelques dossiers emblématiques présentés comme des alibis. « Votre Commission est en grande partie directement responsable de ces fuites de données, de par son inaction chronique », écrit l’association, affirmant signaler « presque quotidiennement » des manquements restés sans suites. Cette absence de réponse inciterait les entreprises à sous-investir dans la cybersécurité, convaincues qu’elles ne risquent aucune amende significative.
L’association s’appuie sur les propres constats de la CNIL, qui reconnaîtrait un déficit d’environ 60 % des investissements nécessaires pour assurer une protection minimale des systèmes d’information. Un chiffre qui, selon PURR, illustre l’inefficacité dissuasive actuelle du cadre de contrôle.
Au-delà des failles techniques, la lettre pointe une autre dérive : la conservation prolongée de données obsolètes. À l’occasion de centaines de demandes d’accès effectuées pour des personnes concernées, PURR affirme avoir constaté l’absence quasi systématique de cloisonnement et d’archivage. Des données vieilles de plusieurs décennies resteraient stockées et exposées, en contradiction avec les principes mêmes du règlement général sur la protection des données.
La relation entre la CNIL et les citoyens est également sévèrement critiquée. PURR dénonce des délais de traitement pouvant atteindre huit ans pour certaines plaintes, souvent conclues par des classements sans suite ni mesures correctrices. « Cessez de vous moquer des Personnes Concernées », écrit l’association, reprochant à l’autorité de renvoyer les victimes à leur propre protection, notamment en les incitant à souscrire des cyberassurances.
La communication institutionnelle de la CNIL est jugée culpabilisante, voire déconnectée des réalités. Conseiller l’anonymat sur des applications de rencontre ou réduire les citoyens à une « occasion manquée » lors d’événements de sensibilisation relèverait, selon PURR, d’une incompréhension profonde des usages numériques contemporains.
Face à ce qu’elle décrit comme une « défaillance massive », l’association réclame des contrôles d’ampleur nationale et des amendes réellement dissuasives. À défaut, prévient-elle, les entreprises continueront d’arbitrer en défaveur de la sécurité, transformant chaque citoyen en cible potentielle. La lettre ouverte, conçue comme une pétition, entend désormais mobiliser au-delà du cercle des experts, pour replacer la protection des données personnelles au cœur du débat public.
Source : Lettre ouverte de l’association PURR à la présidente de la CNIL – 29 novembre 2025
