CNIL : Genèse et Missions de la Commission Nationale de l'Informatique et des Libertés

La CNIL (Commission nationale de l’informatique et des libertés) est une autorité administrative dont la création résulte de la loi du 6 janvier 1978 sur l’informatique. Depuis son installation, peu de Français savent concrètement à quoi elle sert.

Qu'est-ce que la CNIL ?

Alors, qu’est-ce que la CNIL ? Quelles sont ses missions ? Jusqu’où s’étendent ses prérogatives ? La Commission Nationale de l’Informatique et des Libertés (CNIL) est une institution créée pour que l’évolution de l’informatique respecte les droits à la vie privée des citoyens. En tant qu’autorité publique, elle assure la conformité des usages qui sont faits des outils informatiques avec les lois françaises. Elle agit au nom de l’État sans être sous sa tutelle.

Missions Principales de la CNIL

Son rôle est d’alerter et de conseiller le grand public. La CNIL est l’organe régulateur des données personnelles en France. La première mission de la CNIL est de renseigner le public sur la protection des données personnelles. De plus, l’autorité de régulation veille à ce que les particuliers et les professionnels aient un certain niveau de contrôle sur le traitement subi par leurs informations personnelles. Ici, la CNIL joue un rôle de conseiller. Elle donne des avis et fait des recommandations au législateur sur des projets de loi ou de décrets relatifs à la protection des données personnelles.

Anticipation des enjeux futurs

Face à une société en constante digitalisation, la CNIL doit anticiper les enjeux futurs de la protection de la vie privée.

Pouvoirs et Prérogatives de la CNIL

La prérogative de contrôle de la CNIL lui permet de s’assurer du respect de la loi. Ainsi, elle effectue des contrôles auprès des particuliers et de l’administration publique et privée. Ces vérifications portent sur toutes les problématiques liées au traitement ou à la gestion de données personnelles, dont elle est saisie. Certains contrôles peuvent aboutir à des sanctions à l’endroit des personnes ou structures concernées. La CNIL, à travers la formation restreinte, est en droit de rappeler à l’ordre, d’enjoindre une mise en conformité du traitement, suspendre ou limiter le flux de données.

Lire aussi: L'affaire Christian Labouysse

Dans l’exercice de sa mission de protection de la vie privée, la CNIL a déjà prononcé différentes sanctions, notamment contre des entreprises.

Exemples de Sanctions Prononcées

• Le 2 août 2018, une sanction pécuniaire de 50 000 euros a été prononcée à l’encontre de la société Dailymotion. Le motif est le manquement à son obligation de sécurisation des données personnelles de ses utilisateurs. Une quantité importante d’informations personnelles avait fuité après une attaque subie par la plateforme.
• La formation restreinte de la CNIL réunie en session le 25 juillet 2018 a prononcé une amende de 180 000 euros contre Active Assurances pour avoir insuffisamment protégé les données des utilisateurs de son site web. Suite à la plainte d’un client de l’entreprise, la CNIL a effectué un contrôle qui a relevé que les mesures de protection des données individuelles des clients sur le site web d’Active Assurances étaient insuffisantes.

Contraintes et Limites de la CNIL

Malgré les prérogatives que la CNIL possède pour accomplir ses missions, elle doit faire avec certaines contraintes qui sont loin d’être négligeables. De nombreux cas d’infractions sont dus à l’ignorance de la loi informatique et libertés par les acteurs. Par exemple, une étude de Trend Micro a révélé que pour 67% des cadres d’entreprises, la date de naissance d’un client n’est pas considérée comme une donnée personnelle.

Depuis 2009, la Commission nationale de l’informatique et des libertés a vu ses pouvoirs s’amenuiser. Contrairement au passé, elle ne peut plus effectuer de contrôle sans en informer la structure concernée. Lorsque l’entreprise s’y oppose, la CNIL doit alors recueillir l’autorisation d’un juge pour justifier la vérification.

En réalité, le pouvoir de régulation ou d’intervention de la CNIL est géographiquement limité. Par exemple, le droit à l’oubli sur les moteurs de recherche n’est pas mondial. Un arrêt du Conseil d’État a restreint la portée géographique du droit à l’oubli sur l’Union européenne. Cet arrêt a annulé une sanction délivrée par la CNIL en 2016 contre Google.

Désormais, lorsqu’un internaute français souhaite supprimer certaines informations personnelles le concernant sur un moteur de recherche, cela sera effectif uniquement pour les requêtes effectuées depuis les pays de l’UE.

Lire aussi: L'histoire de Caroline Pons

Évolution et Adaptations de la CNIL

Les prérogatives de la CNIL ont évolué en miroir du développement des nouvelles technologies, de la puissance informatique et de la convoitise des données personnelles détenues par les responsables de traitement. C’est pourquoi, renforcer les droits des personnes physiques quant à l’utilisation de leurs informations et garantir la sécurité de leurs données par une transparence et une responsabilisation représente l’un des enjeux majeurs du XXIe siècle. Dans cette perspective, la CNIL dispose de nombreux leviers dont celui du contrôle.

Au début des années 1970, alors que l’informatique connaît ses premiers balbutiements, le projet gouvernemental « Safari » suscite une vive émotion en France. Il est en effet question de traiter les données personnelles se rapportant à l’ensemble des individus composant la société française au moyen d’un unique méga fichier détenu par le ministère de l’Intérieur.

En 1975, le rapport Tricot, entrepris à la demande du gouvernement pour éclairer ce risque liberticide, aboutira à la promulgation la loi n° 78-17 du 6 janvier 1978. Cette loi a pour objectifs initiaux de prévenir une hyper informatisation des administrations centrales qui risquerait de porter atteinte à la vie privée et aux libertés individuelles d’une part, et d’apaiser l’opinion française pour la rassurer vis-à-vis du développement de l’informatique d’autre part.

Son article 1er dispose que « l’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Quarante ans plus tard, le nouveau règlement européen du 27 avril 2016 qui entrera en application le 25 mai 2018 (RGPD) énonce que « toute personne physique a droit à la protection de ses données à caractère personnel » et fait de cette protection un droit fondamental.

La loi Informatique et libertés a également donné naissance à la Commission nationale informatique et liberté (Cnil), première autorité administrative indépendante (AAI) chargée de veiller au respect des principes posés par la loi. Elle est aujourd’hui composée de dix-huit membres qui ne reçoivent aucune instruction d’aucune autorité et dont le président est élu par ses pairs.

Lire aussi: Passeport : Erreur Parents, Agir

En effet, bien plus qu’une simple révolution technique, l’open data et le développement du numérique constituent une véritable « révolution anthropologique ».

Missions et Attributions de la CNIL

Si la Cnil est institutionnellement un organe de contrôle, l’on s’aperçoit très vite, en étudiant les textes qui la régissent, que ses prérogatives vont aujourd’hui bien au-delà.

La loi n° 78-17 relative à l’informatique, aux fichiers et aux libertés constitue le socle de la protection des données à caractère personnel en France. Afin de contrer les risques issus de la démocratisation de l’informatique au secteur privé (à toutes les entreprises puis à tous les individus), cette loi a été modifiée à plusieurs reprises, notamment le 6 août 2004 et le sera prochainement du fait de la publication du règlement européen.

Ainsi en août 2004, le champ d’application de la loi s’est trouvé élargi à d’autres supports que les stricts traitements automatisés de données à caractère personnel. La compétence de la Cnil, pour s’assurer du bon respect de la loi Informatique et libertés, est étendue aux fichiers non automatisés (manuels/papiers), notamment ceux contenant des données sensibles, aux images et aux sons ainsi qu’aux systèmes vidéo de surveillance privée.

En août 2004, le focus a également été mis sur la protection de données considérées comme sensibles, que le traitement soit public ou privé.

Principes clés pour la protection des données

Issus des textes successifs qu’ils l’ont façonnée, plusieurs grands principes permettent à la Cnil de s’assurer que les responsables de fichiers, automatisés ou non, traitent les données à caractère personnel conformément à la loi Informatique et libertés. Leurs esprits et contenus sont suffisamment larges pour leur permettre de s’adapter aux évolutions technologiques futures. Ainsi, chaque responsable de traitement, sous peine de sanctions pénales et/ou de sanctions prononcées par la Cnil doit les observer.

1. Tout traitement de données à caractère personnel doit reposer sur une finalité licite et déterminée.
2. Le consentement des personnes doit être recherché ou satisfaire à d’autres conditions comme le respect d’une obligation légale, l’exécution d’une mission de service public, d’un contrat etc.
3. La collecte des données doit être pertinente et non excessive au regard de la finalité poursuivie.
4. Les droits des personnes doivent être portés à leur connaissance par le responsable de traitement et être appliqués.
5. La sécurité des données doit être garantie par le responsable de traitement, lequel doit mettre en œuvre toute mesure technique et organisationnelle permettant d’éviter que les informations ne soient volées, transformées, détruites ou que des tiers non autorisés y aient accès.

Les quatre rôles principaux de la CNIL

1. Elle autorise d’abord l’existence des traitements/fichiers préalablement à leur mise en œuvre. Ainsi plusieurs formalités préalables, graduées selon la sensibilité des informations détenues par les fichiers, ont été instaurées : de la déclaration pour les traitements ne détenant pas de données personnelles à caractère sensible à l’autorisation ou l’avis pour les fichiers contenant des données réputées sensibles par la loi.
2. En second lieu, la Cnil informe et protège. À noter que la loi Lemaire du 7 octobre 2016 et le règlement européen, en écho, renforcent ces droits.
3. En troisième lieu, la Cnil conseille et accompagne la conformité auprès des opérateurs publics et privés qui traitent des données à caractère personnel.
4. En quatrième lieu, la Cnil anticipe et innove sans cesse face aux progrès, usages et contraintes issus des nouvelles technologies de l’information et de la communication susceptibles d’avoir des incidences sur la vie privée des personnes.

Le passage d’une informatique verticale (où les informations étaient détenues par quelques fichiers et un ordinateur central) à une informatique horizontale (où les données peuvent être interconnectées et s’échanger), a obligé les législateurs à penser une réglementation articulant protection de la vie privée et détention légitime, par des tiers, d’information sur autrui.

Par l’existence de ces formalités préalables, la Cnil oblige le responsable, préalablement à la création des fichiers, à penser l’intégralité des enjeux et obligations concernant le/les traitement(s) qu’il souhaite mettre en œuvre. Son pouvoir réglementaire permet également à la Cnil d’élaborer des normes simplifiées, cadres de référence auxquels les responsables de traitement s’engagent à se conformer.

Les offices notariales n’échappent pas à ce contrôle a priori du fait qu’elles traitent des données à caractère personnel, dont certaines sont sensibles aux yeux de la loi. Elles se voient d’ailleurs dotées de textes de références auxquels elles doivent souscrire.

Ainsi la norme simplifiée n° 055 ou l’autorisation unique n° 006 encadrent la pratique des traitements notariés. Les données pouvant être collectées et enregistrées sont énumérées par ces cadres de références. Les personnels habilités à accéder directement aux informations contenues dans le traitement de données à caractère personnel sont également énumérés.

Par ailleurs, depuis 2005, date de création de cette fonction, la Cnil a encouragé la désignation de Cil, les forme et les accompagne dans leurs missions. Véritable relais de la Cnil auprès du responsable de traitement, le Cil s’assure du respect de la loi pendant toute la durée du traitement, tient le registre des traitements à jour, sensibilise aux enjeux de la loi, conseille et alerte.

Le contrôle peut avoir lieu sur place, sur pièces, sur audition ou en ligne. Le procureur de la République territorialement compétent est prévenu du contrôle en amont. Les agents de la Cnil, munis d’une lettre de mission, peuvent accéder à l’ensemble des locaux professionnels entre 6 heures et 21 heures et être accompagnés d’experts le cas échéant. L’entrave à leur action constitue un délit pénal puni d’un an d’emprisonnement et/ou de 15 000 € d’amende.

Afin de séparer les pouvoirs d’instruction et de sanction, la loi de 2011 relative au Défenseur des droits a confié les fonctions de déclenchement des poursuites, de contrôle et de mise en demeure au président de la Cnil et celles de jugement et de sanction à une formation restreinte composée de six membres de la Cnil. Cette organisation est critiquée par une partie des professionnels du droit qui n’apprécie pas que le pouvoir de juger et de sanctionner soit confié à une commission plutôt qu’aux juridictions répressives.

En 2016, 430 contrôles ont été effectués dont 101 en ligne et 94 contrôles relatifs à la vidéo. En effet, devant le nombre considérable d’atteintes aux données à caractère personnel et à la loi Informatique et libertés, force est d’admettre qu’il est impossible pour la Cnil de poursuivre toutes ces infractions, sauf à se doter de moyens humains qu’elle ne pourrait juguler.

Son efficacité réside alors dans un choix politique, celui de « frapper fort pour l’exemple », afin de dissuader les infractions à la loi et de pousser les responsables de traitement à se mettre en conformité.

Avec la prochaine application du règlement européen, les formalités préalables devraient s’effacer au profit d’une logique de responsabilité et de transparence dite « d’accountability ». Les contrôles réalisés par la Cnil devraient par conséquent s’orienter davantage vers des contrôles a posteriori. Dès mai 2018, il appartiendra à tous les responsables de traitement mis en cause de démontrer leur conformité à l’ensemble des dispositions de la loi Informatique et libertés, laquelle aura été revisitée suite aux apports du règlement.

Ils devront prouver qu’ils ont bien cartographié l’ensemble des traitements mis en œuvre et qu’ils sont bien organisés et structurés (sécurité logique/sécurité informatique/mesures organisationnelles/mesures techniques) pour protéger les données.

La formation restreinte de la CNIL est composée de 5 membres et d’un Président distinct du Président de la CNIL. Elle peut prononcer diverses sanctions à l’égard des responsables de traitement qui ne respecteraient pas la loi.

Avec le RGPD (Règlement Général sur la Protection des Données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.

La CNIL (Commission Nationale de l’Informatique et des Libertés) voit le jour le 6 janvier 1978 à travers la loi Informatique et Libertés dont le but initial était de veiller à protéger les données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés sur le territoire français.

C’est également une autorité administrative indépendante (AAI) c’est-à-dire un organisme public qui agit au nom de l’Etat et qui est chargée de statuer sur les litiges ou les plaintes qui lui sont soumis. La CNIL peut procéder à des contrôles sur la mise en œuvre de la loi. En cas de manquement à la loi, elle a le pouvoir de mise en demeure et de prononcer des sanctions.

Pour faire face à cette polémique, le gouvernement a dû prendre des mesures pour garantir que le développement informatique se ferait dans le respect des libertés et de la vie privée et créa ainsi la « Loi Informatique et Liberté » qui deviendra en 1978 la CNIL (Commission Nationale de l’Informatique et des Libertés), une autorité administrative indépendante qui veillera à ce que « l’informatique ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

En 1995 l’Europe vote une nouvelle directive pour harmoniser la protection des données personnelles des citoyens. Les années 2000 marquent le début d’une ère où les données n’ont désormais plus de frontières !

En 2003 la loi n° 2004-801 du 6 août 2004, modifiant la loi de 1978, lui confère un rôle plus important puisqu’elle renforce son pouvoir de contrôle, lui octroie un pouvoir de sanction de nature quasi-juridictionnelle, un droit de veto pour les traitements de données à caractère sensible et créé des correspondants informatique et libertés. Désormais le fait de s’opposer à un contrôle de la CNIL est puni d’un an d’emprisonnement et de 15 000 euros d’amende, de quoi tenir les entreprises à carreaux !

En 2004, la loi « Informatique et Libertés » subit une modification, la notion de « données à caractère personnel » remplace les « informations nominatives » de 1978.

Pour répondre à ces inquiétudes, la CNIL décide de taper du poing sur la table et d’en faire son bouc émissaire à travers de nouvelles recommandations applicable dès le 1er avril 2021. Dès lors, c’est le début d’une ère de révolution dans le monde des médias et Internet : d’une part, car pour certaines entreprises, c’est le principe même de leur fonctionnement qui est remis en question ; et d’autre part, car c’est une incompréhension émergente du côté des internautes.

Le Règlement sur la protection des données personnelles (RGPD) est entré en vigueur le 25 mai 2018. Ce règlement européen succède en France à Loi Informatique et Libertés pour encadrer juridiquement la collecte, le stockage et l’utilisation de nos données.

Victor Demiaux : Si l’on réglemente l’utilisation des données personnelles en 1978, c’est bien parce que l’on craint qu’elles soient utilisées au détriment de l’individu et des libertés. Cette chronologie est liée à celle de l’informatisation de l’État, qui explose dans les années 1960 : Sécurité sociale, INSEE, administration fiscale etc. Le scandale SAFARI, qui éclate en 1974, est l’occasion d’une prise de conscience.

Victor Demiaux : Cette crainte est d’abord une crainte à l’égard de l’usage des données personnelles par l’État. À l’époque, seul ce dernier disposait de la capacité à collecter et traiter de grandes masses de données pour surveiller les individus mais aussi éventuellement prendre des décisions automatisées les concernant.

Victor Demiaux : La France a inscrit dans son droit une conception exigeante de la protection des données personnelles, mettant la personne au centre. Cette conception est aussi celle qui s’est imposée globalement en Europe.

tags: #CNIL #date #de #création