Clinfowiki

Commission nationale de l'informatique et des libertés
Protéger les données personnelles, accompagner l'innovation, préserver les libertés individuellesVoir et modifier les données sur Wikidata
Histoire
Fondation
Cadre
Sigle
CNILVoir et modifier les données sur Wikidata
Type
Forme juridique
Autorité administrative ou publique indépendanteVoir et modifier les données sur Wikidata
Domaine d'activité
Administration publique généraleVoir et modifier les données sur Wikidata
Siège
Pays
Coordonnées
Organisation
Membres
20Voir et modifier les données sur Wikidata
Présidente
Secrétaire général
Louis Dutheillet de Lamothe (d)Voir et modifier les données sur Wikidata
Budget
24,3 M ()Voir et modifier les données sur Wikidata
Site web
Identifiants
SIREN
OpenCorporates
data.gouv.fr
Annuaire du service public
Carte

La Commission nationale de l'informatique et des libertés (CNIL) est une autorité administrative indépendante française. La CNIL est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée et informatique, ni aux libertés individuelles ou publiques. Elle exerce ses missions conformément à la loi Loi informatique et libertés du modifiée notamment en 2004 et en 2019.

Historique et contexte

Le , la révélation par le quotidien Le Monde[1],[2],[3] d'un projet gouvernemental tendant à identifier chaque citoyen par un numéro et d'interconnecter, via ce numéro, tous les fichiers de l'administration créa une vive émotion dans l'opinion publique.

Ce projet, connu sous le nom de SAFARI (Système automatisé pour les fichiers administratifs et le répertoire des individus), visait à interconnecter les fichiers nominatifs de l'administration française, notamment par le biais du numéro d'Inscription au répertoire (NIR). Il soulignait les dangers de certaines utilisations de l'informatique et faisait craindre un fichage général de la population. Cette inquiétude a conduit le gouvernement à créer une commission afin qu'elle propose des mesures garantissant que le développement de l'informatique se réalise dans le respect de la vie privée, des libertés individuelles et publiques. Ce projet s'inscrit dans la thématique de la nouvelle gestion publique (new public management), modèle anglais qui prône une libéralisation économique et politique de l'administration. Cette « Commission Informatique et Libertés » proposa, après de larges consultations et débats, de créer une autorité indépendante. C’est ce que fit la loi du en instituant la Commission nationale de l’informatique et des libertés.

Loi de 1978 et modification en 2004

La loi relative à l'informatique, aux fichiers et aux libertés du constitue le fondement de la protection des données à caractère personnel dans les traitements informatiques mis en œuvre sur le territoire français. Elle a été réformée par la loi du , qui transposait, de façon libre, la directive européenne du sur la protection des données à caractère personnel (dir. 95/46/CE). La loi de 2004 allège de façon substantielle les obligations déclaratives des détenteurs de fichiers, accroît les pouvoirs de la CNIL en ce qui concerne les contrôles sur place et les sanctions, et renforce les droits des personnes[4]. Elle a également créé les « Correspondants Informatique et Libertés » (CIL). Il s’agit de professionnels, qui au sein de leur organisme (entreprise, administration ou collectivité locale), veillent au respect de la loi Informatique et Libertés.

Règlement européen sur la protection des données de 2016

Le , la Commission européenne a adopté un projet de règlement européen et de directive réformant le cadre de la protection des données. Le règlement devrait entrer en vigueur dans les deux ans à compter de sa publication après adoption par le Conseil et le Parlement européens dans chaque pays membre de l'Union. En mars 2012, le Groupe de Travail G29 a adopté un avis sur les propositions de réforme présentées par la Commission Européenne. Il se félicite du renforcement des droits des individus, des pouvoirs des autorités de contrôle et des responsabilités des responsables de traitements et sous-traitants. Toutefois, en dépit de ces avancées positives, le G29, comme la CNIL, estiment que le projet de règlement nécessite des éclaircissements et des améliorations[5].

Le règlement général sur la protection des données (RGPD) ainsi que la directive relative à la protection des données à caractère personnel à des fins répressives ont été adoptés le par le Parlement européen[6]. Ses dispositions sont directement applicables dans l'ensemble des 27 États membres de l'Union Européenne à partir du 25 mai 2018[6].

En 2018, plus de 11 000 plaintes ont été déposées auprès de la CNIL, soit une augmentation de 32% sur la période de 7 mois où le RGPD était en vigueur[7].

La loi « Informatique et Libertés » a été mise en conformité et cohérence avec la réglementation européenne successivement par la loi du 20 juin 2018, l'ordonnance du 12 décembre 2018, et plusieurs décrets[8].

Statut et composition

Collège de 18 membres

La commission se compose d’un collège pluraliste de 18 personnalités nommées pour cinq ans renouvelable une fois :

Autorité administrative indépendante

12 des 18 membres sont élus ou désignés par les assemblées ou les juridictions auxquelles ils appartiennent.

Le président de la CNIL est choisi par le président de la République, et sa nomination est soumise à la validation des commissions des Lois de l'Assemblée nationale et du Sénat. Depuis le 1er septembre 2012 et l’adoption des lois organiques et ordinaires relatives au Défenseur des droits, la fonction de président de la CNIL est devenue incompatible avec toute activité professionnelle, tout mandat électif national, tout autre emploi public et toute détention, directe ou indirecte, d'intérêts dans une entreprise du secteur des communications électroniques ou de l'informatique. La fonction de président est désormais un emploi à plein temps.[réf. souhaitée]

La CNIL ne reçoit d’instruction d’aucune autorité. Les ministres, autorités publiques, dirigeants d’entreprises, publiques ou privées, ne peuvent s’opposer à son action.

Les décisions de la CNIL, qui prennent le nom de délibération, peuvent faire l’objet de recours devant le Conseil d'État.

Budget et moyens

Le budget de la CNIL relève du budget de l’État. Le président de la CNIL recrute librement ses collaborateurs, qui ont le statut d'agent contractuel[9]. Il est inscrit au programme budgétaire 08 "Protection des droits et libertés" rattaché aux Services du Premier ministre.

Budget de la CNIL par année
2016[10] 2017[11] 2018[12] 2019[13] 2020[14] 2021[15] 2022[16]
Budget alloué 16 964 049 € 17 161 536 € 16 838 254 € 18 506 734 € 20 143 890 € 21 780 782 € 23 950 763 €
Titre 2 (personnel) 13 842 841 € 14 088 832 € 14 402 426 € 15 162 970 € 16 710 552 € 18 017 267 € 20 000 658 €
Hors titre 2 (fonctionnement, investissement et intervention) 3 121 208 € 3 072 704 € 3 003 136 € 3 343 764 € (auxquels s'ajoutent 180 000 € de réallocation) 3 433 338 € 3 763 515 € 3 950 105 €
Nombre d'emplois par année
2016[17] 2017[18] 2018[19] 2019[20] 2020[21] 2021[22] 2022[23]
Nombre d'emplois (en fin d'année) 195 198 199 215 225 245 270
Proportion de juristes 38 % 36 % 44 % 48 % 34 % 33 % N/A
Proportion d'assistants 22 % 26 % 25 % 22 % 13 % 12 % N/A
Proportion d'ingénieurs et auditeurs des systèmes d'information 12 % 14 % 18 % 19 % 11 % 11 % N/A

Présidents

Présidents de la CNIL Début du mandat Fin du mandat
Pierre Bellet
Jacques Thyraud
Jean Rosenwald
Jacques Fauvet janvier 1999
Michel Gentot
Alex Türk
Isabelle Falque-Pierrotin[24]
Marie-Laure Denis[25]

Secrétaires généraux

Le secrétaire général de la CNIL coordonne et encadre les activités des directions de la CNIL. Il organise également le fonctionnement du Collège et de la formation restreinte.

Secrétaires généraux de la CNIL Début du mandat Fin du mandat
Pierre-Alain Weill[26]
Anne Carblanc[27]
Joël Boyer[28]
Christophe Pallez[29]
Yann Padova[30]
Édouard Geffray[31]
Jean Lessi[32]
Louis Dutheillet de Lamothe[33]

Fonctionnement

Séances plénières et formation restreinte

Les membres du Collège de la CNIL se réunissent en séances plénières quasiment une fois par semaine sur un ordre du jour établi à l’initiative de son président. Une partie importante de ces séances est consacrée à l’examen de projets de loi et de décrets soumis à la CNIL pour avis par le gouvernement. La CNIL autorise également la mise en œuvre de fichiers les plus sensibles, parmi lesquels ceux faisant appel à la biométrie.

Depuis le 25 mai 2018, la formation restreinte peut prononcer des sanctions[34] à l’égard d'organismes qui ne respectent pas le règlement général sur la protection des données (RGPD) de l'Union européenne jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires mondial.

Le , les lois organiques et ordinaires relative au Défenseur des droits ont modifié l’organisation de la formation restreinte. L’article 13 de la loi du modifiée en août 2004 a ainsi été modifié pour prévoir que le président et les deux vice-présidents de la CNIL (lesquels composent son bureau) ne sont plus éligibles à la formation restreinte de la CNIL. Celle-ci est composée d’un président distinct de celui de la formation plénière et de cinq autres membres élus par les 18 membres du Collège. Cette réforme donne aussi une plus grande liberté de publicité des décisions de la CNIL : le bureau peut désormais, sur demande du président, décider de la publicité des mises en demeure, et la formation restreinte dispose, elle, d’une plus grande liberté pour la publication des sanctions.

Activités hors séances plénières

Seuls les dossiers nécessitant une décision ou une prise de position du collège des commissaires sont évoqués lors des séances plénières. En dehors des séances, les commissaires sont chargés de suivre plus particulièrement les secteurs qui leur sont attribués par le président en liaison avec les services. Les commissaires peuvent être chargés de représenter la CNIL dans diverses réunions ou instances, et participer à des missions de contrôle. Les commissaires ayant la qualité de magistrats ou d'anciens magistrats sont seuls habilités à avoir accès aux fichiers de police pour le compte des citoyens concernés (droit d'accès indirect).

La CNIL, dont les moyens ont plus que doublé depuis l'an 2000, s'appuie sur un effectif d'environ 270 agents (en 2022). Pour remplir ses missions, le président de la CNIL, assisté d'un secrétaire général, s’appuie sur différents services organisés au sein de quatre directions : une direction des affaires juridiques, internationales et de l’expertise, une direction des relations avec les usagers et du contrôle, une direction des ressources humaines, financières, informatiques et logistiques, et une direction des études, de l’innovation et de la prospective, créée en 2011.

Dans l’exercice de ses missions, la CNIL répond aux demandes de conseils qui lui sont adressées par des responsables de traitements, instruit les plaintes dont elle est saisie par les citoyens, organise des contrôles sur place. Elle procède également aux vérifications nécessaires dans le cadre du droit d’accès indirect aux fichiers intéressant la sécurité publique et la sûreté de l’État, et délivre à toute personne qui en fait la demande un extrait de la liste des traitements qui lui sont déclarés (« fichier des fichiers »).

Au-delà de ses activités de recensement, de contrôle des fichiers, des réponses faites aux demandes de conseil et de l’instruction des plaintes, la CNIL consacre une partie de son activité à l’information des personnes sur leurs droits et sur leurs obligations. Directement sollicitée par de nombreux organismes ou institutions pour conduire des actions de formation et de sensibilisation à la loi « Informatique et Libertés », la CNIL participe à des colloques, des salons ou des conférences pour informer. La CNIL a déjà organisé 21 rencontres régionales. Il s’agit d’aller périodiquement à la rencontre de l’ensemble des acteurs publics ou privés concernés par la protection des données personnelles, dans une région à l’instar des entreprises et des administrations déconcentrées de l’État. Pour donner plus d’écho à ses décisions ou à ses actions, la CNIL dispose de différents outils de communication : site internet, lettre mensuelle électronique adressée à 36 661 abonnés, rapports annuels, communiqués de presse ainsi qu’une collection de guides pratiques[35], la plupart étant édités uniquement en français, sauf pour les guides sur la sécurité[36] et la gestion des risques[37],[38] qui sont édités en français et en anglais.

Missions

Six missions principales

Informer

La CNIL est investie d’une mission générale d’information des personnes sur leurs droits et leurs obligations. Elle aide les citoyens dans l'exercice de leurs droits. Elle établit chaque année un rapport public rendant compte de l'exécution de sa mission.

Sa feuille de route stratégique 2019-2021[39] prévoit notamment un renforcement de sa visibilité et un large relais de ses positions, auprès du public, de têtes de réseaux (AFCDP[40], réseau SupDPO[41], Conseil national des barreaux[42]…) et des délégués.

Réguler

La CNIL régule et recense les fichiers, autorise les traitements les plus sensibles avant leur mise en place. L'avis de la CNIL doit d’ailleurs être sollicité avant toute transmission au Parlement d'un projet de loi relatif à la protection des données personnelles ; elle doit aussi être sollicitée par le Gouvernement avant d'autoriser les traitements intéressant la sûreté de l'État, la défense ou la sécurité publique. La CNIL établit des normes simplifiées, afin que les traitements les plus courants fassent l'objet de formalités allégées. Elle peut aussi décider de dispenser de toute déclaration des catégories de traitement sans risque pour les libertés individuelles. Elle agit également par voie de recommandations.

Entre 2004 et 2018, la CNIL avait la possibilité de délivrer des labels à des produits ou à des procédures ayant trait à la protection des personnes à l'égard du traitement des données à caractère personnel. Elle a procédé en 2012 à ses premières délivrances de labels dans les secteurs de la formation et de la procédure d'audit, puis mis fin à son activité de labellisation en déployant des certifications[43], après l'entrée en application du RGPD.

Protéger

La CNIL doit veiller à ce que les citoyens soient informés des données contenues dans les traitements les concernant et qu'ils puissent y accéder facilement. Elle reçoit et instruit les plaintes des personnes qui rencontrent des difficultés à exercer leurs droits. Elle exerce, pour le compte des citoyens qui le souhaitent, l'accès aux fichiers intéressant la sûreté de l'État, la défense et la sécurité publique, notamment des services de renseignements et de la police judiciaire.

Contrôler

La CNIL vérifie que la loi est respectée en contrôlant les traitements informatiques. Elle peut de sa propre initiative se rendre dans tout local professionnel et vérifier sur place et sur pièce les fichiers. La Commission use de ses pouvoirs d’investigation pour instruire les plaintes et disposer d'une meilleure connaissance de certains fichiers. La CNIL surveille par ailleurs la sécurité des systèmes d'information en s'assurant que toutes les précautions sont prises pour empêcher que les données ne soient déformées ou communiquées à des personnes non autorisées.

Sanctionner

Lorsqu'elle constate un manquement à la loi, la CNIL peut, après avoir mis en demeure les intéressés de mettre fin à ce manquement, prononcer diverses sanctions : l’avertissement, les sanctions pécuniaires pouvant atteindre 20 000 000 [44], l’injonction de cesser le traitement. Enfin, le Président peut demander en référé à la juridiction compétente d'ordonner toute mesure de sécurité nécessaire. Il peut saisir également le Procureur de la République des violations de la loi dont il a connaissance.

Le , le Conseil d'État a annulé deux sanctions prononcées en 2006 par la CNIL à l’encontre de sociétés effectuant de la prospection commerciale par téléphone. Ces entreprises ayant exercé un recours contre ces sanctions devant le Conseil d'État, ce dernier a estimé que les contrôles doivent être « préalablement autorisés par un juge », à moins que le responsable de l'entreprise ait été « préalablement informé de son droit de s'opposer » au contrôle[45].

Anticiper

La CNIL doit s'attacher à comprendre et anticiper les développements des technologies de l'information afin d'être en mesure d'apprécier les conséquences qui en résultent pour l'exercice des droits et libertés. Elle propose au Gouvernement les mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques. Pour renforcer sa capacité d'anticipation, elle s'est dotée en 2012 d'un comité de la prospective rassemblant des experts extérieurs. Une direction des études, de l’innovation et de la prospective (DEIP) avait été préalablement mise en place en 2011 pour développer la réflexion prospective au sein de la CNIL.

Depuis 2016[46], la CNIL dispose d'un laboratoire d'innovation numérique (LINC), qui a été restructuré en 2021 pour devenir un service à part entière[47].

Droits « informatique et libertés »

Droit d’information

Toute personne peut s’adresser directement à un organisme pour savoir si elle est fichée ou pas.

Droit d’accès

Sauf pour les fichiers relevant du droit d'accès indirect, toute personne peut, gratuitement, sur simple demande avoir accès à l’intégralité des informations la concernant sous une forme accessible (les codes doivent être explicités). Elle peut également en obtenir copie moyennant le paiement, le cas échéant, des frais de reproduction.

Droit de rectification et de radiation

Toute personne peut demander directement que les informations détenues sur elle soient rectifiées (si elles sont inexactes), complétées ou clarifiées (si elles sont incomplètes ou équivoques), mises à jour (si elles sont périmées) ou effacées (si ces informations ne pouvaient pas être légalement collectées par l’organisme concerné).

Droit d’opposition

Toute personne peut s’opposer à ce qu’il soit fait un usage des informations la concernant à des fins publicitaires ou de prospection commerciale ou que ces informations la concernant soient cédées à des tiers à de telles fins. La personne concernée doit être mise en mesure d’exercer son droit d’opposition à la cession de ses données à des tiers dès leur collecte. L’utilisation d’automates d’appels téléphoniques, de fax ou de messages électroniques à des fins publicitaires est interdite si les personnes n’y ont pas préalablement consenti.

Droit d’accès indirect

Toute personne peut demander à la CNIL de vérifier les informations la concernant éventuellement enregistrées dans des fichiers intéressant la sûreté de l’État, la défense ou la sécurité publique (droit d’accès indirect). La CNIL mandate l’un de ses membres magistrats (ou anciens magistrats) afin de vérifier la pertinence, l’exactitude et la mise à jour de ces informations et demander leur rectification ou leur suppression. Avec l’accord du responsable du traitement, les informations concernant une personne peuvent lui être communiquées.

Intelligence artificielle

La CNIL s'est dotée début 2023 d'un service dédié à l'intelligence artificielle[48].

Obligations des responsables du traitement

  • Notifier la mise en œuvre du fichier et ses caractéristiques à la CNIL, sauf cas de dispense prévus par la loi ou par la CNIL.
  • Mettre les personnes concernées en mesure d’exercer leurs droits en les en informant.
  • Assurer la sécurité des informations afin d'empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés n'y aient accès. La loi prévoit une obligation de mesures techniques et d'organisation, une obligation de moyens, dénuée d'obligation de résultat[49],[50],[51],[52].
  • Se soumettre aux contrôles et vérifications sur place de la CNIL et répondre à toute demande de renseignements qu’elle formule dans le cadre de ses missions.

Statistiques

Bilan 2011

La CNIL en 2011 :

  • 385 contrôles ;
  • 65 mises en demeure ;
  • 19 sanctions ;
  • 5 737 plaintes reçues ;
  • 2 099 demandes de droit d'accès indirect (fichiers de police et de gendarmerie) ;
  • 32 743 courriers entrants numérisés ;
  • 82 243 déclarations ;
  • 11 600 appels/mois.

Bilan 2012

La CNIL en 2012[53] :

  • 458 contrôles ; 173 contrôles en vidéoprotection ;
  • 43 mises en demeure ;
  • quatre sanctions ;
  • 6 017 plaintes reçues- ;
  • 3 682 demandes de droit d'accès indirect (fichiers de police et de gendarmerie) ;
  • 140 000 appels reçus ;
  • 10 709 organismes ont désigné un correspondant informatique et libertés.

Bilan 2017

La CNIL en 2017[54] :

  • 341 contrôles ; 47 contrôles ont concerné la vidéoprotection ;
  • 79 mises en demeure ;
  • 14 sanctions ;
  • 8 360 plaintes reçues ;
  • 4 039 demandes de droit d'accès indirect (fichiers de police et de gendarmerie) ;
  • 155 281 appels reçus ;
  • 18 802 organismes ont désigné un correspondant informatique et libertés.

Bilan 2022

La CNIL, indique, pour l'année 2022, les chiffres suivants[55] :

  • 345 contrôles ;
  • 147 mises en demeure ;
  • 21 sanctions, dont 19 amendes pour un montant cumulé de plus de 101 millions d'euros ;
  • 12 193 plaintes ;
  • 6 555 demandes valables d'exercice des droits indirects ;
  • 126 574 appels reçus, dont 49 139 appels répondus lors des permanences téléphoniques ;
  • 18 462 requêtes reçues par voie électronique ;
  • 11 millions de visites sur ses sites web (cnil.fr et linc.cnil.fr) ;
  • 89 841 organismes ayant désigné un délégué à la protection des données.

Bilan 2023

La CNIL indique pour 2023 un record d'activité[56],[57] :

  • 16443 plaintes ;
  • 4600 violations de données ;
  • 340 contrôles ;
  • 168 mises en demeure ;
  • 42 sanctions pour un montant cumulé de 90 millions d'euros.

Protection des données personnelles sur le plan international

L'Allemagne en 1971, la Suède en 1973 et la France en 1978 ont été les trois premiers pays dotés d'une loi informatique et libertés. Ces lois instituent la création d'autorités de contrôle indépendantes.

Certaines structures économiques et politiques internationales s'en sont inspirées, parmi lesquelles l'Organisation de coopération et de développement économiques (OCDE) en 1980, le Conseil de l'Europe en 1981 (Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel) et les Nations unies (ONU) en 1990. En 1995, la Communauté européenne a émis une directive en ce sens, que les pays de l'Union européenne doivent transposer.

Depuis le , une Journée européenne de la protection des données à caractère personnel est organisée par le Conseil de l'Europe et relayée en France par la CNIL[58].

Au niveau de l'Union européenne

L’Union européenne a adopté le une directive destinée à harmoniser au sein des États membres la protection assurée à toute personne quel que soit le lieu où sont opérés les traitements de ses données à caractère personnel.

À ce jour[Quand ?], les trente-et-un États membres de l'Espace économique européen (Union Européenne plus Islande, Liechtenstein, Norvège) disposent d’une loi « informatique et libertés » et d’une autorité de contrôle indépendante.

Groupe de l'article G29

L’article 29 de la directive du sur la protection des données et la libre circulation de celles-ci a institué un groupe de travail de ces vingt-sept « CNIL européennes ». C’est le « groupe de l’article 29 » (G29)[59], par référence à l’article de la Directive 95/46/CE qui l’institue.

Il a pour mission de contribuer à l’élaboration des normes européennes en adoptant des recommandations, de rendre des avis sur le niveau de protection dans les pays tiers et de conseiller la Commission européenne sur tout projet ayant une incidence sur les droits et libertés des personnes physiques à l’égard des traitements de données personnelles. Le G29 se réunit à Bruxelles en séance plénière environ tous les deux mois. Environ quinze sous-groupes composés des collaborateurs des « CNIL européennes » se réunissent régulièrement à Bruxelles pour alimenter les réflexions des membres du G29 en séance plénière et rédiger les avis qui leur seront ensuite soumis pour adoption.

Ses avis sont publiés sur son site[60].

À compter de l'entrée en application du Règlement général sur la protection des données en mai 2018, il est remplacé par le Comité européen de la protection des données.

Administrations équivalentes dans d'autres pays

D’autres pays européens non membres de l’Union ont adopté des lois et des garanties similaires à celles reconnues par les États membres, tels que la Macédoine, les îles anglo-normandes, Monaco, Gibraltar et la Suisse.

Au-delà de l’Europe, des pays tels que le Canada, l’Argentine, l’Australie, la Nouvelle-Zélande, la Corée du Sud, la Tunisie, le Maroc, le Burkina Faso, le Sénégal, le Mali, le Cap Vert, le Ghana, le Madagascar, l'Ile Maurice, le Gabon, le Malawi, la Côte d'Ivoire et le Niger se sont également dotés d’une loi et d’une autorité indépendante de contrôle. D’autres États ont fait le choix d’adopter une législation de garanties, quelquefois limitée au seul secteur public ou à certaines activités du secteur privé, sans toujours instituer une autorité indépendante de contrôle dotée de larges pouvoirs ; il revient alors aux juridictions judiciaires de sanctionner la méconnaissance des droits reconnus. Tel est le cas pour les États-Unis, le Japon, le Paraguay, Taïwan, et la Thaïlande.

Transfert de données

La Directive européenne du 24 octobre 1995 reconnaît le principe selon lequel les données personnelles ne peuvent être transmises hors de l’Union européenne que si l’entreprise destinataire des données ou le pays de destination offre un niveau de protection « adéquat ». C'est le cas d'Andorre, du Canada, de la Suisse, de l'Argentine, de Guernesey, de Jersey, de l'Uruguay, d'Israël, des îles Féroé et de l'île de Man.

Les échanges avec d’autres pays sont possibles seulement :

  • si des Clauses contractuelles types, ou Data Transfer Agreement (DTA), approuvées par la Commission européenne, sont signées entre deux entreprises ou
  • si des Règles internes d'entreprises ou Binding Corporate Rules (BCR) sont adoptées au sein d'un groupe ou,
  • si dans le cas d'un transfert vers les États-Unis, l'entreprise destinataire a adhéré au Privacy Shield ou,
  • si l'une des exceptions prévues par l’article 69 de la loi Informatique et Libertés est invoquée.

La CNIL participe à la conférence mondiale et à la conférence francophone des autorités de protection des données. Elle assure le secrétariat général de l’association des autorités francophones[61].

Exemples d'interventions de la CNIL

La CNIL est par exemple intervenue sur des cas portant préjudice à des personnes figurant dans des fichiers de police: mention ne devant plus y figurer, acte ne devant pas être référencé, personne fichée à tort. La CNIL doit aussi vérifier que l'exploitation privée de données de masse préserve la protection des données de santé personnelles :

Expiration de mention

Monsieur C., 24 ans, mécanicien aéronautique, a souhaité exercer son droit d’accès indirect aux fichiers de police judiciaire, à la suite de la décision de refus de délivrance de son badge aéroportuaire, indispensable à l’exercice de sa profession. Les vérifications effectuées par la CNIL, ont conduit à la suppression de son signalement dans le STIC pour une affaire de « vol simple » dont le délai de conservation, fixé à cinq ans, était expiré.

Acte ne devant pas être référencé

Monsieur P., 35 ans, a sollicité la délivrance d’une carte professionnelle pour exercer dans la sécurité privée. Il a parallèlement saisi la CNIL d’une demande de droit d’accès indirect aux fichiers de police judiciaire. Au terme des vérifications, deux affaires de nature contraventionnelle ont été supprimées du STIC et les deux restantes ont fait l’objet d’une mise à jour par mention des décisions de classement sans suite pour « carence du plaignant » et « préjudice peu important » dont il avait bénéficié. Monsieur P. qui, malgré ces inscriptions, a pu obtenir sa carte professionnelle, ne devrait, dès lors, pas avoir de difficultés à obtenir son renouvellement à l’avenir car il est désormais inconnu administrativement de ce fichier.

Personne fichée à tort

Une personne, fichée à tort, s'était vu écartée d'une candidature pour travailler sur le tarmac de l'aéroport de Roissy-Charles-de-Gaulle. Le temps de corriger les données, l'emploi a été attribué à une autre personne[62].

Monsieur G., 57 ans, commandant de bord depuis plus de vingt ans au sein d’une compagnie aérienne, a été en butte à des difficultés de renouvellement de son badge aéroportuaire. Si ce badge lui a finalement été délivré avec retard, sa validité a été limitée à un an au lieu de trois ans. N’ayant pu obtenir de plus amples explications, Monsieur G. a souhaité exercer son droit d’accès indirect afin de déceler l’origine de ses difficultés. Les vérifications menées par la CNIL ont conduit à la suppression de son enregistrement dans le fichier JUDEX pour une affaire de « travail clandestin, abus de biens sociaux et escroquerie » dans laquelle il n’était pas mis en cause. Monsieur G était juste cité dans la procédure mais ni en tant que mis en cause ni en tant que victime. Lors de l’intégration du compte rendu d’enquêtes dans JUDEX, il y a été intégré à tort comme l’auteur de ces faits, ce qui a été à l’origine de ses difficultés[63].

Protection des données de santé personnelles

IQVIA a noué un partenariat avec 14 000 pharmacies françaises, stocke et traite des données de santé de clients de pharmacies en France. La CNIL qui avait donné un accord, lance une enquête et des contrôles[64],[65],[66].

Reconnaissance faciale

Pour les expériences Reconnaissance faciale et possibles extensions en France[67] ou en Europe et éviter l'avènement d'une société de surveillance, il faut s'assurer que ces projets[68] soient conformes, avec les constitutions, aux règles du RGPD, et qu'ils soient contrôlés[69] par les autorités indépendantes telles que la CNIL.

L'entreprise Clearview AI fait l'objet de plusieurs controverses et procédures judiciaires vis-à-vis des milliards d'images qu'elle a collectées sur Internet[70],[71].

En décembre 2021, La CNIL met en demeure l’entreprise Clearview AI, lui demande de supprimer les données collectées en France et lui enjoint de cesser ce type de pratique sur le territoire français « Clearview AI ne dispose pas non plus d’un intérêt légitime à collecter et utiliser ces données, notamment au regard du caractère particulièrement intrusif et massif du procédé qui permet de récupérer les images présentes sur Internet de plusieurs dizaines de millions d’internautes en France. ». Les activités de l'entreprise font déjà l’objet de multiples enquêtes dans le monde[72]. Clearview n'ayant pas donné suite à la mise en demeure, la CNIL la condamne à une amende de 20 millions d'euros le , auquel elle a deux mois pour se conformer sous peine d'une astreinte de 100 mille euros d'amende supplémentaires par jour de retard[73],[74].

Le Point et son palmarès annuel des hôpitaux et des cliniques

En 2022, la CNIL coupe l’accès à une base de données nécessaire au journal Le Point pour que celui-ci établisse son palmarès annuel des hôpitaux et des cliniques. Elle prend cette décision après que le Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (Cesrees), dépendant des ministères de la Santé et de la Recherche, a émis un avis négatif pour la délivrance des données, étant en désaccord avec la méthodologie de l'enquête du magazine. Dans sa décision, la CNIL« invite » Le Point à modifier sa méthodologie en fonction des remarques du Cesrees afin que soient « corrigés de façon substantielle » ses « biais » méthodologiques. La rédaction du magazine s'étonne qu'« un journal est sommé de faire valider son travail par l'administration »[75],[76].

La société d'exploitation de l'hebdomadaire, SEBDO, a ainsi contesté cette décision devant le Conseil d'État le 23 décembre 2022, pour « excès de pouvoir » et lui demandé d'enjoindre à la CNIL de lui délivrer à titre provisoire une autorisation lui permettant de réaliser ce classement. Cette requête a été rejetée par le Conseil d'État, au principal motif que la décision de la CNIL était régulière[77].

Mises en cause

Le 14 décembre 2007 les locaux de la CNIL ont été occupés une matinée par plusieurs dizaines de personnes qui ont notamment déployé une banderole « Informatique ou libertés, il faut choisir »[78],[79]. Le collectif Pièces et Main d'Œuvre avance, dans un texte d'avril 2007, que la CNIL ne bénéficie que d'une « pseudo-indépendance » et rappelle que « depuis juillet 2004, la loi a décidé que les services de police n'auraient même plus à s'asseoir sur les avis de la CNIL pour créer de nouveaux fichiers. Celle-ci était inaudible et silencieuse, la voici muette. Rien qu'un guichet de police »[80].

En février 2013, Gilles Babinet, « digital champion » du gouvernement français auprès de la Commission européenne, attaque vivement l’autorité dans une interview accordée au magazine L’Usine nouvelle[81]. Au cours de cet entretien, il fustige l’action de la CNIL, l’accusant de pénaliser le développement de l’innovation numérique en France. À ce titre, il dénonce le caractère excessif et obstruant de la régulation pratiquée par l’autorité, trop arcboutée sur la défense des libertés individuelles, et dépeint une administration frileuse en fort décalage avec les aspirations de la société civile en matière d’innovation. Le maire de Nice Christian Estrosi formule en mai 2022 sur la radio Europe 1 des critiques comparables quant aux blocages de la CNIL dans le domaine de la surveillance électronique de masse à des fins sécuritaires, qualifiant la commission d'« espèce d’institution poussiéreuse »[82].

Notes et références

  1. « Safari » ou la chasse aux français », Le Monde,
  2. Philippe BOUCHER, « "Safari" ou la chasse aux français », Le Monde,‎ (lire en ligne)
  3. « A voix nue - Bernard Tricot 1/2 : Parties 1 à 3 (1ère diffusion : 27 à 29/04/1998) », cité dans la partie n°3, sur France Culture (consulté le )
  4. Texte Fondateurs, sur le site de la Cnil
  5. Le G29 adopte un avis sur le projet de règlement européen réformant le cadre général sur la protection des données, sur le site de la Cnil
  6. a et b Communiqué de presse du Parlement Européen - Réforme sur la protection des données: le Parlement approuve de nouvelles règles adaptées à l'ère numérique, , site du Parlement Européen
  7. « Protection des données : pour la présidente de la CNIL, « il y a une prise de conscience mondiale » », Le Monde,‎ (lire en ligne, consulté le )
  8. « Entrée en vigueur de la nouvelle loi « Informatique et Libertés » et de son nouveau décret d’application », sur Cnil.fr, (consulté le )
  9. « Statut et organisation de la CNIL », sur cnil.fr (consulté le )
  10. Commission nationale de l'informatique et des libertés, « Rapport d'activité 2016 » [PDF] (consulté le ), p. 107
  11. Commission nationale de l'informatique et des libertés, « Rapport d'activité 2017 » [PDF], sur cnil.fr (consulté le ), p. 115
  12. Commission nationale de l'informatique et des libertés, « Rapport d'activité 2018 » [PDF], sur cnil.fr (consulté le ), p. 99
  13. Commission nationale de l'informatique et des libertés, « Rapport d'activité 2019 » Accès libre [PDF], sur cnil.fr (consulté le ), p. 112
  14. Commission nationale de l'informatique et des libertés (CNIL), « Rapport d'activité 2020 » [PDF], sur cnil.fr (consulté le ), p. 127
  15. Commission nationale de l'informatique et des libertés (CNIL), « Rapport d'activité 2021 » Accès libre [PDF], sur cnil.fr,
  16. Commission nationale de l'informatique et des libertés (CNIL), « Rapport d'activité 2022 » Accès libre [PDF], sur cnil.fr,
  17. Commission nationale de l'informatique et des libertés, « Rapport d'activité 2016 » [PDF], sur cnil.fr (consulté le ), p. 106
  18. Commission nationale de l'informatique et des libertés, « Rapport d'activité 2017 » [PDF], sur cnil.fr (consulté le ), p. 114
  19. Commission nationale de l'informatique et des libertés, « Rapport d'activité 2018 » Accès libre [PDF], sur cnil.fr (consulté le ), p. 98
  20. Commission nationale de l'informatique et des libertés, « Rapport d'activité 2019 » Accès libre [PDF], sur cnil.fr (consulté le ), p. 111
  21. Commission nationale de l'informatique et des libertés, « Rapport d'activité 2020 » [PDF], sur cnil.fr (consulté le ), p. 126
  22. Commission nationale de l'informatique et des libertés (CNIL), « Rapport d'activité 2021 » Accès libre [PDF], sur cnil.fr, , p. 23
  23. Commission nationale de l'informatique et des libertés (CNIL), « Rapport d'activité 2022 » Accès libre [PDF], sur cnil.fr, , p. 11
  24. Mme Isabelle Falque-Pierrotin est élue Présidente de la CNIL, CNIL.fr.
  25. « Faire respecter le RGPD, principale mission de Marie-Laure Denis, nouvelle présidente de la CNIL », Le Monde,‎ (lire en ligne, consulté le )
  26. Commission nationale de l'informatique et des libertés, « Rapport d'activité 1985 » [PDF] (consulté le ), p. 14
  27. Commission nationale de l'informatique et des libertés, « Rapport d'activité 1992 » [PDF] (consulté le ), p. 12
  28. Commission nationale de l'informatique et des libertés, « Rapport d'activité 1996 » [PDF] (consulté le ), p. 379
  29. « Christophe Pallez est nommé référent déontologue de l’ANSM », sur ANSM,
  30. Christophe Boulay, « Yann Padova est nommé secrétaire général de la CNIL », sur AEF info,
  31. Thibault Chevillard, « Édouard Geffray est nommé secrétaire général de la Cnil », sur AEF info,
  32. Didier Barathon, « Jean Lessi succède à Edouard Geffray comme secrétaire général de la CNIL », sur CIO-Online.com,
  33. « Louis DUTHEILLET DE LAMOTHE est nommé secrétaire général de la CNIL », sur Commission national de l'informatique et des libertés,
  34. « La procédure de sanction », sur cnil.fr
  35. Les guides, sur le site cnil.fr
  36. [PDF]+(en) Security of personal data, sur le site cnil.fr
  37. [PDF] (en) Methodology for privacy risks methodology, sur le site cnil.fr
  38. [PDF] (en) Measures for privacy risks treatment, sur le site cnil.fr
  39. Feuille de route stratégique 2019-2021 de la CNIL
  40. Discours de Marie-Laure Denis à l'AFCDP du 14 janvier 2020
  41. Article de la CNIL du 30 janvier 2019
  42. Article de la CNIL du 14 juin 2019
  43. Article de la CNIL "Transition vers le RGPD : des labels à la certification" du 23 février 2018
  44. « Sanction », sur cnil.fr (consulté le )
  45. « Annulation de deux sanctions par le Conseil d’État : la CNIL prend acte et réaffirme son ambition en matière de contrôle sur place, article sur le »(Archive.orgWikiwixArchive.isGoogleQue faire ?), sur Cnil.fr
  46. Commission nationale de l'informatique et des libertés (CNIL), « Le laboratoire d’innovation numérique de la CNIL publie son programme de recherche 2022/2023 » Accès libre, sur cnil.fr,
  47. Commission nationale de l'informatique et des libertés, « Rapport d'activité 2021 » Accès libre [PDF], sur cnil.fr, , p. 31
  48. « Numérique : la Cnil se dote d'un nouveau service dédié à l'intelligence artificielle » Accès libre, France Info, (consulté le )
  49. La sécurité des données personnelles, sur le site cnil.fr
  50. [PDF] Guide gérer les risques sur les libertés et la vie privée, sur le site cnil.fr
  51. [PDF] Mesures pour traiter les risques sur les libertés et la vie privée, sur le site cnil.fr
  52. Enquête : des données médicales confidentielles accessibles sur le web, Thomas Duvernoy et Leila Minano, Actu Soins, 4 février 2013
  53. [PDF] Protéger les données Personnelles, accompagner l’innovation, préserver les libertés individuelles, sur le site cnil.fr
  54. « Rapport d'activité 2017 de la CNIL », sur cnil.fr, (consulté le )
  55. Commission nationale de l'informatique et des libertés (CNIL), « Rapport d'activité 2022 » Accès libre [PDF], sur cnil.fr,
  56. « Données personnelles : la CNIL a enregistré un record de plaintes en 2023 » Accès libre, Les Échos, (consulté le )
  57. « Sanctions et mesures correctrices : la CNIL présente le bilan 2023 de son action répressive » Accès libre, CNIL, (consulté le )
  58. « Conseil de l'Europe 28 janvier Journée de la protection des données »(Archive.orgWikiwixArchive.isGoogleQue faire ?), sur coe.int
  59. (en) Article 29 Working Party, sur le site europa.eu, consulté le
  60. (en) Opinions and recommendations, sur le site europa.eu, consulté le
  61. Site de l'association francophone des autorités de protection des données personnelles, sur le site de AFAPDP
  62. Ouest-France, 15 juillet 2008, page 5. Faits rapportés par Alex Türk, président de la CNIL.
  63. (en) « Bad track-records! » (consulté le ).
  64. Florian Reynaud, « « Cash Investigation » : la CNIL réagit à la diffusion de l’émission et annonce des contrôles sur la collecte de données de santé », sur LeMonde.fr, (consulté le )
  65. Alice Vitard, « Données de santé, pharmacies et IQVIA : qui doit informer les clients ? », sur usine-digitale.fr, (consulté le )
  66. David Legrand, « Données des pharmacies et IQVIA : la CNIL s'explique et va mener des contrôles », sur nextinpact.com, (consulté le )
  67. « Le gouvernement envisage une expérimentation de la reconnaissance faciale dans des lieux publics », sur francetvinfo.fr, .
  68. Macéo Croppo, « Reconnaissance faciale en France : quelle place dans la politique de sécurité intérieure ? », sur portail-ie.fr, .
  69. « Reconnaissance faciale : pour un débat à la hauteur des enjeux », sur cnil.fr, .
  70. Emma Confrere, « Reconnaissance faciale : la société Clearview AI accusée de «surveillance de masse illégale» », Le Figaro, (consulté le )
  71. Samuel Kahn, « Reconnaissance faciale: Clearview fait scandale avec ses 3 milliards de visages «aspirés» », sur Le Figaro, (consulté le )
  72. Florian Reynaud, « La CNIL met en demeure l’entreprise de reconnaissance faciale Clearview », sur Le Monde, (consulté le ).
  73. Jean-Marc Manach, « RGPD : Clearview AI condamné à 20 millions d'euros d'amende, pour la 3e fois », sur Next INpact, (consulté le ).
  74. Agence France-Presse, « Reconnaissance faciale : la CNIL condamne Clearview AI à une amende de 20 millions d’euros », sur Le Monde, (consulté le ).
  75. Étienne Gernelle, Quand l’État et la Cnil censurent l’information sur notre système de santé, lepoint.fr, 10 novembre 2022
  76. Le Point accuse la Cnil de l’empêcher de réaliser son classement des hôpitaux 2022, larevuedudigital.com, 10 novembre 2022
  77. Légifrance, « Conseil d'État, 10ème - 9ème chambres réunies, 30/06/2023, 469964 » Accès libre, sur legifrance.gouv.fr,
  78. « La Cnil occupée par des manifestants », The Inquirer, 14 décembre 2007.
  79. « La CNIL occupée par une centaine de personnes », tempsreel.nouvelobs.com, 13 février 2008.
  80. « L’invention du « sécuritaire » ou la liquidation de la gauche militante », Pièces et Main d'Œuvre, 20 avril 2007
  81. « Pour Gilles Babinet, "il faut fermer la Cnil, c’est un ennemi de la Nation" », sur usinenouvelle.com.
  82. Marc Rees, « Une « espèce d'institution poussiéreuse » : Christian Estrosi (66 ans) s’attaque à la CNIL (44 ans) », sur nextinpact.com, (consulté le )

Voir aussi

Sur les autres projets Wikimedia :

Bibliographie

Document utilisé pour la rédaction de l’article : document utilisé comme source pour la rédaction de cet article.

Articles connexes

Concepts

Organismes publics

Réglementation

Documentaire

Liens externes