How to effectively evade the GDPR and the reach of the DPA (PART 2)

This is a post in a series of posts :
  1. How to effectively evade the GDPR  and the reach of the DPA - PART1
  2. How to deal with the DPA of Luxembourg - the CNPD <-- Interesting in the context of this post.
  3. Why Schrems is wrong

Instruction is a YCombinator funded startup profiling and selling personal data of millions of European Data Subjects. That YCombinator is funding what is obviously an illegal business is beyond my understanding but out of the context of this blog post.
  • has no legal basis to process my personal data
  • In order to ask access to your data, asks for a signed letter in which you confirm certain personal data under perjury of law. The reason they are doing that is ironically because they don't know whether you really are who you claim to be, which is rooted in the fact that the collection of the data is unlawful in the first place.
I issued a complaint against via the CNPD and in order for it to take less than a year for the CNPD to come back (like last time), I have added in my complaint that they are based in the US and are operating in violation of the GDPR (Election of an EU Representative).

The CNPD claims that it has no power to investigate (in the US - duh). A simple google search confirms the collection of data, which does not require you to be physically in the US. Furthermore, confirms it in their Email (See screenshot) responds to a DSAR request

So after my complaint, the CNPD came back in record time with the following, arguing they have no legal power to investigate in the US. My personal opinion: This is a red herring. All you need to investigate is to use Google and your Webbrowser. You can do that from Luxembourg.


La Commission nationale pour la protection des données (CNPD) revient à votre réclamation du 8 juillet 2020 relative à votre demande d’accès concernant vos données à caractère personnel traitées par le site « », et plus particulièrement à vos courriels datés du 28 juillet et 1er août 2020.

Nous vous informons qu’un premier examen de votre réclamation a confirmé que le responsable du traitement est situé aux Etats-Unis d’Amérique, comme mentionné par ailleurs dans vos courriels susmentionnés.

Au sujet des responsables du traitement établis dans des pays tiers, comme les Etats-Unis d’Amérique, nous souhaitons attirer votre attention sur le considérant (116) du RGPD qui précise que: « Lorsque des données à caractère personnel franchissent les frontières extérieures de l'Union, cela peut accroître le risque que les personnes physiques ne puissent exercer leurs droits liés à la protection des données, notamment pour se protéger de l'utilisation ou de la divulgation illicite de ces informations. De même, les autorités de contrôle peuvent être confrontées à l'impossibilité d'examiner des réclamations ou de mener des enquêtes sur les activités exercées en dehors de leurs frontières. Leurs efforts pour collaborer dans le contexte transfrontalier peuvent également être freinés par les pouvoirs insuffisants dont elles disposent en matière de prévention ou de recours, par l'hétérogénéité des régimes juridiques et par des obstacles pratiques tels que le manque de ressources. »

Dans le cas de votre réclamation cela signifie que, bien qu’il nous soit possible de communiquer avec le responsable du traitement, nous ne disposons pas des pouvoirs de mener des enquêtes et de faire appliquer les décisions que nous serions amenés à prendre sur le territoire des Etats-Unis d’Amérique.

Nous vous informons dès lors que nous traitons votre réclamation dans une perspective de collaboration du responsable du traitement, compte tenu du fait que nous ne disposons pas du pouvoir d’imposer à ce responsable du traitement des actions en vue d’améliorer ses pratiques en matière de protection des données, avec pour conséquence qu’il nous serait impossible de poursuivre votre réclamation de manière effective en cas d’absence de collaboration du responsable du traitement.

En restant à votre disposition pour tout renseignement complémentaire, nous vous prions d’agréer, Monsieur Zoller, l’expression de nos sentiments distingués.


Translation (via

The National Commission for Data Protection (CNPD) goes back to your complaint of 8 July 2020 concerning your request for access to your personal data processed by the "" site, and more specifically to your e-mails dated 28 July and 1 August 2020.

We would like to inform you that a first examination of your complaint has confirmed that the data controller is located in the United States of America, as also mentioned in your above-mentioned e-mails.

As regards controllers established in third countries, such as the United States of America, we would like to draw your attention to recital (116) of the GDPMR which states that: 'When personal data cross the external borders of the Union, this may increase the risk that individuals may not be able to exercise their data protection rights, in particular to protect themselves against unlawful use or disclosure of such information. Similarly, supervisory authorities may be faced with the impossibility to investigate complaints or activities outside their borders. Their efforts to work together in the cross-border context may also be hampered by insufficient preventive or remedial powers, heterogeneous legal regimes and practical obstacles such as lack of resources. »

In the case of your complaint, this means that, although we may communicate with the data controller, we do not have the authority to investigate and enforce any decisions we may make in the United States of America.

We therefore inform you that we are processing your complaint on the basis of cooperation from the data controller, given that we do not have the power to impose actions on the data controller to improve its data protection practices, with the result that it would be impossible for us to pursue your complaint effectively if the data controller did not cooperate.

Please do not hesitate to contact us if you require any further information, Mr. Zoller, for which we thank you.

I have taken the decision to formally complain to the German Regulator (as has not chosen an EU Representative, there is no one shop mechanism that should apply). I will keep you updated on progress - if any.