GUISSMO
Asking CNIL for GDPR / RGPD help
Back in February 2023, I registered to this website for career consultants, related to the context of my work. Once their job as consultants were done, I wanted to delete my account as I believed there was no reason for them to keep my data.
So while tidying my online accounts back in December 2023: I looked for the “delete account” button. I spent a good amount of time looking for it until I realized there was none. I was quite annoyed because I am of the opinion that deleting one’s account and data should be as easy as creating it. So I had to email the company to manually delete my account:
My Initial Email: Delete My Personal Data
Sujet: Demande de suppression de compte conformément au RGPD
Bonjour,
J’espère que vous allez bien. Je me permets de vous contacter afin de demander la suppression de mon compte sur votre plateforme. Malheureusement, je n’ai pas trouvé de moyen évident de le faire via la page de profil.
Je tiens à souligner que, conformément au Règlement général sur la protection des données (RGPD), je souhaite exercer mon droit à l’effacement de mes données personnelles. Je vous prie donc de bien vouloir supprimer l’intégralité de mes informations de votre base de données.
Voici les détails de mon compte : XXX
Je vous remercie de traiter ma demande dans les plus brefs délais et de me confirmer par retour d’e-mail une fois la suppression effectuée.
Je reste à votre disposition pour toute information complémentaire.
Cordialement
I could have written toutes mes salutations distinguées but as this story progresses, my salutations for them became less and less distinguées.
Their Reply: Send Us More Personal Data
Nous faisons suite à votre demande relative à la suppression des données à caractère personnel vous concernant, mise en œuvre dans le cadre de l’exercice du droit à l’effacement tel qu’il est défini à l’article 17 du règlement européen (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
Their reply was basically “sure we will do it” but then you have to prove to us that you’re really the owner of the account you’re trying to delete. That’s fair for them to do. Like, you shouldn’t be able to delete someone else’s account, especially if that website is vital for their online presence.
According to them, to PROVE that I am actually who I say I am, I must either send them a copy of my ID (i.e. my passport) by SNAIL MAIL or by uploading it to another website.
Afin de nous permettre de traiter votre demande, nous vous invitons à nous fournir au plus tôt une copie de pièce d’identité : Soit par voie postale : XXX Soit par l’intermédiaire du lien ci-joint : XXX
So I have to give more data to delete my data?
My Reply: A Crash Course on GDPR Concepts
At this point, I felt that the person on the other end is not going to budge with the above arguments. I’m not even sure they understood the spirit of the GDPR.
I did my research and ended up with a reply arguing my case with the relevant explanations of the concepts:
Minimisation des Données : Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
First, they have to minimize the data they are keeping on me. And I would argue that the data that they should keep on me is none because I have expressed I am no longer interested in keeping my account. And besides, I did the consultation with them.
Proportionnalité : Les données à caractère personnel doivent être exactes et, lorsque cela est nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder.”
Second, I argue that asking a copy of my passport is excessive and that they should just see that I’m using my email.
Facilité d’exercice des droits : Les organisations sont généralement tenues de faciliter l’exercice des droits de protection des données par les individus, y compris le droit à l’effacement. Le GDPR souligne l’importance de fournir des informations claires aux individus sur leurs droits et de s’assurer que le processus d’exercice de ces droits est simple et direct.
Third, I argue that it is too difficult to exercise my rights.
I was also tempted to say — why would anyone ELSE want to spend this amount of time to delete my account that I have not used for several months now. But I chose not to as it was not going to help me sound like a rational person.
Their Reply: Quoting GDPR Articles To Back Their Claims
L’article 5(1)(f) du RGPD nous impose de satisfaire à des obligations de sécurité dans le traitement des données. Une suppression des données étant définitive, il nous faut nous assurer que la demande émane bien de la personne concernée.
They said that deletion of data is definitive and they have to assure that the request came from the person concerned.
I don’t know but the only verified data they had on my was my email. I could have faked my first and last name on their platform. And an impostor could easily just fake an identity card. They don’t know what the real one looks like. How are they going to cross-reference it?
De plus, l’article 12(6) du RGPD dispose : « …lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée aux articles 15 à 21, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée. »
According to the passage they are quoting, if the person responsible for treating the data has reasonable doubts that the person requesting the deletion is an impostor, then they could ask more supplemental information to verify the identity of the concerned person.
I don’t know where their doubts came from, or how reasonable they are. The only scenario I could think of is that they thought someone hacked my email and the hacker decided it is worth their time to delete my account in this rather unimportant online service. I can understand the doubt. But I doubt that’s reasonable.
Oh, and they also said something that I did not know existed. They told me that once I cooperated with them, they will give me a certificate saying that my data were indeed deleted:
Dès que cette vérification est effectuée, nous procéderons à la suppression de vos données et nous vous transmettrons une attestation de suppression.
Can I Talk To Your Manager?
The company’s C-levels’ emails were accessible but I did not think it would be neither necessary nor useful to let them know about their privacy officers’ replies.
Instead, I looked for the commission which helps citizens enforce their privacy. So I found CNIL:
The CNIL (Commission Nationale de l’Informatique et des Libertés) is the French data protection authority that has the following key responsibilities:
Protecting the rights and freedoms of individuals with respect to the processing of their personal data. The CNIL ensures that citizens can effectively access their data contained in any processing operation.
Accompanying professionals in their compliance efforts and helping individuals to control their personal data and exercise their rights. The CNIL provides guidance and support to organizations on data protection regulations.
Carrying out communication and education activities towards the general public and professionals to raise awareness about data protection issues. The CNIL responds to requests from individuals and professionals, and provides educational tools.
So this seemed like the organization I need!
CNIL To The Rescue
At this point, most people would probably have just left it alone. But the audacity of this company to double down on their quite unreasonable GDPR protocol really rubbed me the wrong way.
I went to the CNIL website and they have this interactive form to figure out if it’s within their jurisdiction. My situation was so absurd that it wasn’t even in the list. So I used other cases.
To be honest I was not sure whether or not I really had a case but I explained it.
A few days later, someone from CNIL actually responded!
Au vu des éléments que vous nous avez communiqués, je vous informe que vous pouvez, si vous le souhaitez, nous adresser une plainte afin que la CNIL intervienne à l’appui de votre demande. Pour cela, nous vous remercions de bien vouloir utiliser notre service en ligne de dépôt de plainte accessible depuis notre site web www.cnil.fr. Je vous précise que pour l’instruction de votre plainte, il convient de joindre à celle-ci la copie des échanges (courriers, courriels) que vous avez eus avec l’organisme concerné.
Mme X
The Complaint
On the same day that I received the reply, I made the complaint.
Aujourd’hui, le 2 février 2024, j’ai reçu un e-mail de Mme X m’informant que je pouvais adresser une plainte afin que la CNIL intervienne à l’appui de ma demande.
To prevent infinite loops, I made sure to say that Mme X told me I have a case.
I sent all the email exchanges as PDF using their webform.
CNIL Reply: We Need More Deets
Three days later, CNIL replied that my wording did not readily imply what the GDPR problem was.
La formulation de votre plainte ne permet pas d’identifier un éventuel manquement à la réglementation relative à la protection des données, nous ne sommes donc pas en mesure d’intervenir sur la base des éléments fournis. Il vous appartient donc de préciser vos griefs liés à la protection des données et de nous indiquer le sujet sur lequel vous souhaitez que la CNIL intervienne en apportant des éléments matérialisant l’existence d’une atteinte à la réglementation.
My Reply
Three hours after, I had a reply for them.
Refuser de supprimer mon compte signifie que mes données resteront inutilement sur leurs serveurs. Cela expose inutilement mes informations privées chez eux, et je compte sur vous pour m’aider à éliminer cette vulnérabilité.
I told them that refusing to delete my account implies that my data stays uselessly on their servers — to eventually be leaked if their security gets weakened at some point.
Selon eux, ils ne peuvent pas le fermer car ils veulent s’assurer que la personne essayant de fermer le compte est la même personne qui l’a ouvert. Les seules données qu’ils m’ont demandées lors de mon inscription sont mon adresse e-mail.
I told them that I used the same email I used to register to contact them to delete the account and all the other absurdities in reasoning that the company gave me.
CNIL Reply
One week later:
Votre demande a été transmise au service de l’exercice des droits et des plaintes de la CNIL.
At this point, I know it was the waiting game. And indeed I was right. Two months after, the CNIL gave me an update:
Vous avez saisi la Commission Nationale de l’Informatique et des Libertés (CNIL) d’une plainte à l’encontre de l’organisme XXX. Les services de la CNIL sont intervenus à l’appui de votre plainte en rappelant la réglementation relative à la protection des données à Il est donc procédé à la clôture de votre dossier.
The wording is a bit strange but it seems like I won. Or rather, privacy won?
Just Making Sure
Part of the last message from CNIL included the possibility that if their intervention did not solve the problem, I should come back and complain again.
Si malgré cette intervention vous constatez que la problématique persiste, nous vous invitons à revenir vers nos services en nous saisissant d’une nouvelle plainte, par voie postale ou électronique en utilisant notre téléservice de plainte en ligne https://www.cnil.fr/fr/plaintes, et en y joignant tout élément utile à son instruction (nous vous invitons à également y mentionner le numéro de ce dossier). La CNIL examinera alors s’il convient de mener de plus amples investigations.
I did confirm with the company by sending them one final email saying “Could you please give me the certificate of deletion?
Est-ce que vous pouvez m’envoyer l’attestation de suppression des données pour confirmer que vous avez bien supprimer tous les données associé au compte XXX?
And they did. I should eventually frame this certificate to commemorate the four months of back-and-forths.
Or just project it on my DIY digital eInk photo frame.
I wish deleting your data was not this complicated. It took someone who was crazy enough to dedicate time and effort to make sure privacy rights were more than just lip service.