La CNIL : l’autorité protectrice des données personnelles en France
La CNIL est la Commission Nationale de l’Informatique et des Libertés, elle a été créée par la loi Informatique et Libertés du 6 janvier 1978.
Cette commission est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques (mais aussi papiers) qu’ils soient publics ou privés.
Elle veille à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte « ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». A l’heure du RGPD, la mise en conformité constitue l’objectif prioritaire du régulateur qu’est la CNIL.
La CNIL : un organe issu de la loi Informatique et Libertés (1978)
Avant de parler de la CNIL, il faut revenir sur les besoins ayant amené à la loi Information et Liberté de 1978, puis à sa création.
Tout a commencé lorsque l’affaire SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus) a été dévoilée. Cette affaire est née d’un article de Philippe Boucher dans le Monde du 21 mars 1974 intitulé « Safari ou la chasse aux Français ». Dans cet article il porte à la connaissance des Français le projet du gouvernement, tenu secret, appelé Safari. Ce projet avait pour but l’interconnexion des fichiers administratifs via le numéro de sécurité sociale. L’idée toute simple, mais liberticide, était donc de croiser les fichiers de l’administration française, afin de créer un « méga-fichier », et ainsi tout savoir, de chaque citoyen.
Il existait déjà des lois à l’étranger sur la question des données personnelles comme le « Data Act » en Suède (1973) ou le « Privacy Act » aux États-Unis (1974), mais aucune en France à part certains articles sur le respect à la vie privée (article 9 du Code Civil).
L’affaire Safari va porter l’attention sur le besoin d’une législation spécifique car elle alerte l’opinion publique sur la menace de l’informatique pour la vie privée.
Le 1er Ministre Pierre Messmer instaure par le décret du 8 novembre 1974 la Commission Informatique et Libertés chargée de penser une réglementation sur l’utilisation des moyens informatique puis la Loi Informatique et Libertés (1978).
Quels sont les buts poursuivis par cette loi ? A l’époque, il s’agit surtout d’éviter une informatisation incontrôlée des administrations centrales qui menaceraient la vié privée et la liberté individuelle. Mais il s’agit aussi et surtout de rassurer l’opinion afin d’éviter un blocage social du développement de l’informatique en France qui aurait pu la placer derrière ses homologues européens sur le sujet. C’est notamment par l’institution de la CNIL que cela va être possible.
La CNIL a été ainsi investie d’une mission générale d’information des droits que reconnaît cette fameuse loi Informatique et Libertés. Aujourd’hui, c’est la CNIL qui publie les lignes directrices sur les données personnelles, les cookies, la transparence des traitements, etc.
Aujourd’hui, le Règlement Général sur la Protection des Données (RPGD) a été transposé dans cette même loi Informatique et libertés et les droits qu’il confère avec lui, donnant alors un plus grand rôle à la CNIL.
La CNIL est une Autorité Administrative Indépendante (AAI)
En effet, la CNIL a un statut particulier c’est une Autorité Administrative Indépendante (AAI). Une AAI est une autorité administrative qui n’est pas soumise à l’autorité du gouvernement ou d’un ministre particulier. Les autorités administratives indépendantes sont, selon le Conseil d’État, dans une décision de 2001, des « organismes administratifs qui agissent au nom de l’État et disposent d’un réel pouvoir, sans pour autant relever de l’autorité du gouvernement ».Ces AAI permettent de s’assurer que le gouvernement n’interfère pas trop directement dans certains secteurs d’activités. C’est pourquoi il existe en France plusieurs exemples d’autres AAI : l’AMF pour les marchés financiers, le CSA pour l’audiovisuel, DDD pour la défense des droits, l’ARCEP pour la presse ou encore l’ANJ pour les jeux.Une AAI doit donc respecter son indépendance, c’est pourquoi la CNIL est composée de 18 membres élus ou nommées de différentes entités.
Les missions de la CNIL sont de quatre types concernant son rôle de gardien des données personnelles :
- Informer/protéger : la CNIL répond à toutes demandes de particulier ou de professionnel pour l’exercice de leurs droits. Notamment les droits issus du RGPD comme le droit d’accès, le droit à la portabilité, droit d’opposition etc. Elle conduit aussi des actions de communication et de formation/sensibilisation au RGPD.
- Conseiller : la CNIL aide à la mise en conformité en accompagnant différents acteurs.
- Anticiper : innovation et prospective. La CNIL met en place des veilles pour détecter et analyser les nouvelles technologies ou nouveaux usages. Elle a d’ailleurs un laboratoire. Cette anticipation s’inscrit dans une logique de Privacy by design.
- Contrôler/sanctionner a posteriori : en tant qu’AAI la CNIL peut contrôler différents organismes, s’il ressort de ce contrôle que ces organismes ont fait preuve de manquement concernant les données personnelles alors elle peut décider de les mettre en demeure ou les sanctionner de différentes manières.
Elle a bénéficié, avant l’entrée en jeu du RGPD, d’un élargissement de son pouvoir et de l’étendue de sa protection par le biais de deux lois : la loi du 6 août 2004 et la loi du 7 octobre 2016 dite « Pour une République Numérique ».
Les pouvoirs de la CNIL
La CNIL contrôle et sanctionne
Elle dispose d’un certain nombre de pouvoirs par délégation de l’État pour contrôler et sanctionner.
– Contrôle : la CNIL peut se déplacer et exercer un contrôle sur place (elle peut se déplacer dans les locaux) des traitements de données personnelles.
– Avertissement : Cela concerne la nouvelle « mesure corrective » prévue par le RGPD, introduite en France par la loi relative à la protection des données personnelles qui a été promulguée le 20 juin 2018. Cette loi adapte la loi « Informatique et libertés » du 6 janvier 1978 au « paquet européen de protection des données ». L’anticipation permet d’avertir un organisme que le traitement qu’il souhaite mettre en place a de fortes chances de méconnaître les textes applicables.
– Les mises en demeures : La CNIL, et notamment sa Présidente actuelle, a la possibilité de mettre en demeure « des organismes qui ne respectent pas des dispositions du RGPD ou de la loi de se mettre en conformité dans un délai imparti. Ces mises en demeure peuvent être rendues publiques selon la gravité des manquements constatés ou du nombre de personnes concernées ». Cela a été le cas notamment sur la récente application « StopCOVID » et donc le Ministre de la Santé.
– Sanctions : Si un responsable de traitement ne respecte toujours pas les textes, la CNIL peut prononcer des sanctions à l’égard des responsables de traitement. Ses sanctions sont prononcées par la formation restreinte de la CNIL (5 membres dont un Président distinct du Président de la CNIL).
Les différentes sanctions pouvant être infligées par la CNIL
Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :
- Prononcer un rappel à l’ordre ;
- Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire les demandes d’exercice des droits des personnes, y compris sous astreinte ;
- Prononcer une amende administrative.
Avec l’entrée en vigueur du RGPD, le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial ! En vérité, cette amende peut être infligée seulement en cas de « non-respect des principes fondamentaux du RGPD », dans le cas de non-respect des « obligations du responsable de traitement ou du sous-traitant » l’amende peut atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.
Cette décision peut être rendue publique ou non, l’organisme a deux mois suite à la décision pour former un recours devant le Conseil d’État.
L’une de ses affaires la plus médiatisée a été celle entre la CNIL et le géant Google. En effet, en janvier 2019, la formation restreinte de la CNIL décidait de prononcer une sanction de 50 millions d’euros à l’encontre de Google en application du RGPD pour « manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité ». Sanction finalement validée par le Conseil d’État dans une décision du 18 juin 2020.