La CNIL est le gendarme des données personnelles en France. Découvrez tout ce que vous devez savoir sur cette institution, son rôle, ses missions, son histoire et son fonctionnement.
La CNIL, ou Commission Nationale de l’Informatique et des Libertés est l’autorité française de protection des données. Son rôle est de s’assurer que l’informatique soit utilisée en France de manière éthique.
Plus précisément, elle veille à ce que cette technologie soit au service du citoyen plutôt qu’à ce qu’elle lui nuise. Elle prête aussi attention à ce que l’informatique ne porte pas atteinte aux droits de l’homme, aux libertés individuelles ou publiques.
En effet, avec l’essor d’innovations comme l’internet des objets, les réseaux sociaux, les smartphones ou l’intelligence artificielle, la technologie est plus présente que jamais dans nos vies. Si elle simplifie et agrémente largement nos quotidiens, elle représente aussi une menace.
Chaque individu génère désormais de vastes quantités de données personnelles. Ces données sont convoitées par les pouvoirs publics, les entreprises privées et même les criminels. Le rôle de la CNIL est donc aussi de veiller à ce que ces données soient protégées.
Depuis l’entrée en vigueur du RGPD dans l’Union européenne, la CNIL est aussi chargée de faire respecter ce règlement de protection des données. Dans le cas contraire, elle est en mesure d’infliger de lourdes amendes.
L’histoire de la CNIL
La création de la CNIL est liée au projet SAFARI ou Système automatisé pour les fichiers administratifs et le répertoire des individus. À travers ce projet, le gouvernement français avait l’intention d’attribuer un numéro d’identification à chaque citoyen. Ce procéder permet ainsi d’interconnecter tous ses fichiers administratifs. Ce projet fut révélé le 21 mars 1974 par le journal Le Monde créa ainsi une vive polémique.
En fait, les Français craignaient la mise en place d’un fichage général, et se révoltèrent contre cette initiative. Le gouvernement français entendait, à travers ce projet, attribuer un numéro d’identification à chaque citoyen. Le but était d’interconnecter tous ses fichiers administratifs. La France fut donc l’un des premiers pays à prendre conscience de cette problématique devenue mondiale.
C’est ainsi que la Commission Informatique et Libertés fut créée par le gouvernement, afin de proposer des mesures. Après de longues années de consultations et de débats, la CIL proposa de créer une autorité administrative indépendante : la CNIL. Cette commission fut créée par la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Cette loi posait les bases de la protection des données personnelles. Cela explique pourquoi la France est très attachée à ce sujet contrairement à des pays comme la Chine ou les États-Unis. Elle a été réformée le 6 août 2004, afin d’y transposer la directive européenne du 24 octobre 1995 sur la protection des données à caractère personnel.
Quelques années plus tard, le 25 janvier 2012, la Commission européenne adopte le projet de Règlement Européen pour la Protection des Données. Son but consiste à standardiser les pratiques de confidentialité des données dans les 28 pays de l’UE. Le RGPD entre en vigueur le 25 mai 2018.
La composition de la CNIL
La CNIL est composée d’un collège de 18 personnalités. Celles-ci sont nommées pour cinq ans, renouvelables une fois.
Parmi ces 18 personnalités, on compte deux députés, deux sénateurs, deux membres du Conseil économique, social et environnemental, deux conseillers d’État, deux conseillers à la Cour de cassation, deux conseillers maîtres à la Cour des comptes.
Enfin, cinq personnalités qualifiées : trois sont désignées par décret, une par le Président de l’Assemblée nationale et une par le Président du Sénat. La dernière personnalité est un membre de la Commission d’accès aux documents administratifs.
Sur les 18 membres, 12 sont donc élus ou désignés par les assemblées et les juridictions auxquelles ils appartiennent. La CNIL se charge ensuite d’élire son président parmi les différents membres. Ce dernier ne doit exercer aucune autre activité professionnelle, mandat électif et ne doit détenir aucun intérêt dans une entreprise informatique.
Pour mener à bien ses missions, le Président peut s’appuyer sur les services répartis en quatre directions : affaires juridiques, internationales et expertise; relations avec les usagers et contrôle; ressources humaines, financières, informatiques et logistiques; études, innovation et prospective.
Quel est le budget de la CNIL et quels sont ses pouvoirs ?
En 2017, le budget de la CNIL s’élevait à 17 161 536 €. À la fin de l’année, elle comptait 198 emplois. Le Président est en effet autorisé à choisir des collaborateurs bénéficiant du statut d’agents contractuels.
Il convient de préciser qu’aucune autre autorité ne peut donner d’instruction à la CNIL. Nul ne peut s’opposer à son action, pas même les ministres ou les autorités publiques. En revanche, il est possible de faire appel devant le Conseil d’État face à ses délibérations.
Comment fonctionne la CNIL ?
Le fonctionnement de la CNIL suit une procédure stricte. Une fois par semaine, les membres se réunissent en séances plénières autour d’un ordre du jour défini par le Président.
Les séances sont principalement dédiées à l’examen de projets de lois soumis à la CNIL par le gouvernement. Depuis l’entrée en vigueur du RGPD, la CNIL s’occupe aussi de prononcer des sanctions contre les organisations qui enfreignent le règlement.
En dehors de ces séances plénières, les commissaires s’occupent de suivre les secteurs qui leur sont attribués par le Président. Ils peuvent représenter la CNIL lors de réunion diverses et participer à des missions de contrôles.
La CNIL se charge aussi de répondre aux demandes de conseil des responsables de traitement. Elle instruit les plaintes des citoyens, et organise des contrôles sur place. Concernant les fichiers intéressant la sécurité publique et la sûreté de l’état, elle effectue les vérifications pour le droit d’accès indirect.
Enfin, c’est elle qui fournit à quiconque en fait la demande la liste un extrait de la liste des traitements qui lui sont déclarés. Elle joue également un rôle d’information des personnes sur leurs droits et leurs obligations liées à la loi informatique et libertés ou au RGPD.
Quelles sont les six missions de la CNIL ?
La CNIL a six missions principales. Sa première mission consiste à « informer ». Elle doit informer les personnes sur leurs droits et obligations, et aider les citoyens à exercer leurs droits.
La deuxième mission de la commission concerne la réglementation. La CNIL se charge d’identifier les fichiers, d’autoriser les traitements sensibles ou de les interdire. Elle doit être saisie avant que tout projet de loi relatif à la protection des données personnelles soit transmis au Parlement.
Elle établit également des normes pour faciliter les traitements les plus courants. Depuis 2004, elle délivre des labels à des produits ou des procédures liés au traitement des données.
La troisième mission de la CNIL vise à « protéger » les citoyens et leurs données personnelles. Elle doit veiller à ce que les citoyens soient informés du traitement de leurs données et puissent y accéder facilement. Elle reçoit et instruit les plaintes à ce sujet.
La quatrième mission consiste à « contrôler » le traitement des données pour vérifier que la loi est respectée. À tout moment, la CNIL peut se rendre dans les locaux d’une entreprise. Cette visite permet de vérifier les fichiers et la sécurité des systèmes informatiques et des pratiques de traitement des données.
La CNIL a pour cinquième mission de « sanctionner » toute infraction à la loi. La sanction peut être un avertissement, l’injonction d’une mesure de sécurité, la saisie du procureur de la République, ou une sanction pécuniaire pouvant atteindre 3 millions d’euros.
Depuis l’adoption du RGPD en Europe, la CNIL peut prononcer des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. En janvier 2019, elle a d’ailleurs infligé une amende record de 50 millions d’euros à Google.
Enfin, la dernière mission de la CNIL a pour objectif « d’anticiper » les évolutions et les changements des technologies informatiques. Ceci afin d’être en mesure d’appréhender leurs conséquences sur les droits et libertés. Des mesures législatives ou réglementaires peuvent alors être proposées au gouvernement afin d’adapter la protection des libertés et de la vie privée à ces évolutions.
CNIL : comment se conformer au RGPD
Selon la CNIL, la mise en conformité au RGPD peut se traduire en 4 étapes essentielles : recensement des traitements, triage des données, respect des droits des utilisateurs et sécurisation de leurs données.
Le recensement consiste à enregistrer toute collecte et tout traitement des données dites personnelles afin d’avoir une vue précise à tout instant de ces activités.
Ensuite, le triage quant à lui devra permettre d’éliminer les données non pertinentes, conformes à la législation et supprimées une fois qu’elles ne sont plus nécessaires.
Afin de garantir le respect des droits de tous les administrés, il faudra les informer dès que l’on recueille des données à caractère personnel. De plus, il faudra mettre à leur disposition des outils simples pour gérer eux-mêmes les informations qu’ils souhaitent divulguer.
Enfin, la sécurisation des données devra garantir que les informations sensibles collectées ne sortent pas des bases de l’organisation. Ici, la CNIL précise que le niveau de complexité des systèmes mis en place devra être proportionnel aux risques possibles liés aux données.
Pour une entreprise, se conformer à ces exigences ne sera pas toujours évident. Faire appel à un cabinet d’avocats spécialisé en données personnelles et RGPD constitue l’option la plus simple. En plus d’un accompagnement lors de la démarche de mise en conformité, le cabinet pourra aussi mieux interpréter la législation et préconiser les meilleures solutions. Cliquez ici pour en savoir plus.
Les différentes sanctions que la CNIL peut infliger
La CNIL sanctionne les infractions constatées dans le cadre de la loi ou du RGPD. Après une phase de confrontation, elle peut prendre une ou plusieurs mesures. D’abord, elle adresse une lettre ouverte de rappel à l’ordre suivie d’une ordonnance de mise en conformité. Cette dernière peut être accompagnée de peines d’amendes susceptibles d’atteindre 100.000 euros pour chaque jour de retard.
En outre, la CNIL peut limiter provisoirement ou définitivement la portée du traitement avant de procéder au retrait de la certification ou l’autorisation. Par ailleurs, elle a le droit de suspendre la transmission des informations vers un destinataire se trouvant dans un autre pays ou vers une institution internationale.
Il ne faut pas oublier que la CNIL a le pouvoir de refuser d’approuver les règlements d’entreprise contraignants (BCR) ou appliquer une sanction administrative. Cette dernière n’excède pas les 10 millions d’euros ce qui correspond à 2 % du CA annuel de la société. Pour les violations les plus importantes, cette somme peut monter jusqu’à 20 millions d’euros soit 4 % du CA annuel mondial.
La commission restreinte se réserve le droit de faire connaître au public le jugement qu’elle prend. Elle peut aussi décider de publier cette décision dans les revues, les journaux et les médias qu’elle désigne, aux frais des organisations sanctionnées.
La CNIL dans le contexte européen et international
La France fut l’un des premiers pays à voter pour une loi » informatique et liberté « , en 1978. Auparavant, elle fut précédée par l’Allemagne en 1971 et par la Suède en 1973. Ces trois pays ont donc dû mettre en place une autorité de contrôle indépendante.
Désormais, la protection des données est une préoccupation majeure à l’échelle européenne, et les 31 États membres de l’Espace Economique Européen ont une loi informatique et libertés et une autorité de protection similaire à la CNIL.
Dès 1995, l’Union européenne a adopté une directive visant à harmoniser la protection des données, quel que soit le lieu où elles sont traitées. C’est l’article 29 de cette directive du 24 octobre qui a institué un groupe de travail des 27 » CNIL européennes « . On l’appelle le » groupe de l’article 29 « ou » G29 « .
Le rôle de ce groupe est de contribuer à l’élaboration de normes européennes par l’adoption de recommandations et l’émission d’avis sur le niveau de protection des pays tiers. Pour tout projet lié au traitement de données personnelles, la Commission européenne demande conseil au G29. Le groupe se réunit tous les deux mois à Bruxelles en séance plénière.
Depuis le 28 janvier 2007, une Journée européenne de la protection des données à caractère personnel est organisée par le Conseil de l’Europe. En France, cette journée est relayée par la CNIL.
Bien évidemment, la protection des données et de la vie privée n’est pas une problématique limitée à l’UE. De nombreux autres pays ont adopté des lois similaires. En Europe, on peut citer la Macédoine, les îles anglo-normandes, Monaco, Gibraltar et la Suisse.
C’est également le cas de pays hors Europe comme le Canada, l’Argentine, l’Australie, la Nouvelle-Zélande, la Corée du Sud, la Tunisie, le Maroc, le Burkina Faso, le Sénégal, le Mali, le Cap-Vert, le Ghana, Madagascar, l’Ile Maurice, le Gabon, le Malawi, la Côte d’Ivoire et le Niger. Ces pays disposent d’une loi informatique et liberté et d’une autorité de contrôle similaire à la CNIL.
Les critiques à l’égard de la CNIL
La CNIL fait l’objet de diverses critiques. Elle est parfois accusée de soutenir le gouvernement et d’oublier son rôle de premier de protection des droits des citoyens.
On lui reproche aussi souvent de ne pas être suffisamment sévère en cas de violation de confidentialité des données. À l’internationale, la CNIL a été critiquée pour avoir tenté d’imposer le » droit à l’oubli « dans les résultats de recherche web à l’échelle mondiale. En 2016, Google a contesté une décision liée au droit à l’oubli en dénonçant un risque d’abus par des gouvernements » moins ouverts et démocratiques « .
En France aussi, la CNIL ne fait pas toujours l’unanimité. Le 14 décembre 2007, ses locaux ont été occupés durant toute une matinée par plusieurs dizaines de manifestants. Ils ont déployé une banderole » Informatique ou libertés, il faut choisir « .
L’autorité de protection des données est parfois critiquée pour ne pas être véritablement indépendante, notamment dans un texte publié en avril 2007 par le collectif » Pièces et Main d’Oeuvre « .
La CNIL a aussi été critiquée en 2013 par Gilles Babinet, le » digital champion » du gouvernement français auprès de la Commission européenne. Dans une interview accordée au magazine » L’Usine nouvelle « , l’intéressé a accusé la CNIL de pénaliser le développement de l’innovation numérique en France par sa régulation excessive.
La CNIL contre les GAFAM
D’un certain point de vue, les intérêts de la CNIL et ceux des GAFAM sont radicalement opposés. Alors que l’autorité française a pour rôle de protéger la vie privée des citoyens, l’idéal des géants américains de la technologie serait au contraire de connaître chaque internaute jusqu’aux moindres détails de son intimité.
Pour cette raison, la CNIL est naturellement en perpétuelle confrontation avec les GAFAM. Dès l’entrée en vigueur du RGPD, l’autorité a imposé une amende de 50 millions d’euros à Google. Un record à l’époque.
Google et Amazon sanctionnés sur les cookies publicitaires
Ce n’était toutefois qu’un début. En décembre 2020, la CNIL a infligé une amende historique de 100 millions d’euros à Google. De même, Amazon a écopé d’une amende de 35 millions d’euros.
Les deux colosses américains sont accusés de ne pas avoir respecté la législation sur les cookies aussi appelés traceurs publicitaires. En effet, des cookies sont téléchargés sur les ordinateurs des internautes sur Google.fr et Amazon.fr sans consentement préalable.
En outre, il a été jugé les bandeaux d’informations affichés sur ces sites ne présentent pas » d’informations suffisamment claires pour que l’internaute sache ce à quoi servent ces cookies et la façon dont il peut les refuser « .
Malgré leurs protestations, les deux entreprises disposent de trois mois pour se conformer aux exigences de la CNIL. Dans le cas contraire, elles devront payer 100 000 euros supplémentaires par jour de retard.
La sanction infligée par le gendarme français est basée sur la législation antérieure au RGPD. Dorénavant, les règles sont encore plus strictes et un bouton doit permettre de refuser instantanément tous les cookies d’un site web. Les entreprises ne se conformant pas à cette obligation seront sanctionnées à partir du 1er avril 2021…
Apple attaqué sur le ciblage publicitaire
De même, en mars 2021, le groupe France Digitale rassemblant plus de 1800 startups et investisseurs français du numérique a porté plainte contre Apple auprès de la CNIL. La firme californienne est accusée de ne pas respecter le RGPD concernant les publicités ciblées.
En effet, la personnalisation des publicités est activée par défaut sur les divers services d’Apple comme l’App Store, Apple News ou l’application Bourse. Or, cette pratique est contraire au règlement européen.
Les entreprises de France Digitale estiment qu’il est injuste qu’Apple ne respecte pas les règles quand les startups françaises y sont contraintes. Il s’agit aussi d’une façon pour ces entreprises d’inviter Apple à débattre sur la nouvelle mesure d’encadrement du suivi publicitaire, App Tracking Transparency, prochainement introduite avec iOS 14.5.
Cette nouveauté est très critiquée. Pour cause, les éditeurs d’applications qui voudront suivre l’activité des utilisateurs à des fins de ciblage publicitaires devront obtenir leur accord par une notification. Beaucoup jugent qu’il s’agit pour Apple de s’octroyer un avantage sur le marché de la pub en handicapant les autres entreprises.
De son côté, Apple affirme que les accusations sont fausses. La Pomme assure qu’elle respecte la loi, car elle ne cible pas des utilisateurs individuels, mais des » segments » d’au moins 5000 personnes.
Les priorités de la CNIL pour 2021
Sur l’ensemble de l’année 2020, la CNIL a annoncé avoir mené 6500 enquêtes dont 247 procédures formelles de contrôle.
À présent, le gendarme des données personnelles annonce ses priorités pour 2021. Les thématiques des données de santé, de la cybersécurité des sites web, et du respect des règles sur les Cookies et les traçeurs publicitaires feront l’objet d’une attention toute particulière.
Les données de santé étaient déjà une priorité pour 2020, mais le contexte sanitaire oblige naturellement à poursuivre les contrôles à ce sujet. Rappelons que les données de santé de 500 000 Français ont » fuité » début février 2021. L’application » Tousanticovid « a aussi suscité des doutes et des craintes auprès de la CNIL.
Le ciblage publicitaire était également déjà à l’honneur en 2020, mais la CNIL compte là aussi étendre et multiplier ses contrôles. En revanche, la cybersécurité du web français sera sur le devant de la scène pour la première fois.
L’autorité compte notamment surveiller les formulaires de recueils de données personnelles, l’utilisation du protocole HTTPS, et la conformité aux recommandations sur les mots de passe. En 2020, la CNIL a reçu 2825 signalements concernant des sites web mal sécurisés.
Par ailleurs, l’organisme compte mettre les bouchées doubles pour trouver des méthodes de protection contre les rançongiciels. Les attaques au ransomware entraînent de nombreuses fuites de données depuis le début 2020…
- Partager l'article :