Accueil🇫🇷Chercher

Commission nationale de l'informatique et des libertés

La Commission nationale de l'informatique et des libertés (CNIL) est une autorité administrative indépendante française. La CNIL est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle exerce ses missions conformément à la loi no 78-17 du modifiée notamment en 2004 et en 2019.

Commission nationale de l'informatique et des libertés
Protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles
Histoire
Fondation
Cadre
Sigle
CNIL
Type
Forme juridique
Autorité administrative ou publique indépendante
Domaine d'activité
Administration publique générale
Siège
Pays
Coordonnées
48° 52′ 12″ N, 2° 20′ 24″ E
Organisation
Membres
19
Présidente
Secrétaire général
Louis Dutheillet de Lamothe (d)
Budget
24 313 680 € ()
Site web
Carte

Historique et contexte

Le , la révélation par le quotidien Le Monde[1] - [2] - [3] d'un projet gouvernemental tendant à identifier chaque citoyen par un numéro et d'interconnecter, via ce numéro, tous les fichiers de l'administration créa une vive émotion dans l'opinion publique.

Ce projet, connu sous le nom de SAFARI (Système automatisé pour les fichiers administratifs et le répertoire des individus), visait à interconnecter les fichiers nominatifs de l'administration française, notamment par le biais du numéro d'Inscription au répertoire (NIR). Il soulignait les dangers de certaines utilisations de l'informatique et faisait craindre un fichage général de la population. Cette inquiétude a conduit le gouvernement à créer une commission afin qu'elle propose des mesures garantissant que le développement de l'informatique se réalise dans le respect de la vie privée, des libertés individuelles et publiques. Ce projet s'inscrit dans la thématique de la nouvelle gestion publique (new public management), modèle anglo saxon qui prône une libéralisation économique et politique de l'administration. Cette « Commission Informatique et Libertés » proposa, après de larges consultations et débats, de créer une autorité indépendante. C’est ce que fit la loi du en instituant la Commission nationale de l’informatique et des libertés.

Loi de 1978 et modification en 2004

La loi relative à l'informatique, aux fichiers et aux libertés du constitue le fondement de la protection des données à caractère personnel dans les traitements informatiques mis en œuvre sur le territoire français. Elle a été réformée par la loi du , qui transposait, de façon libre, la directive européenne du sur la protection des données à caractère personnel (dir. 95/46/CE). La loi de 2004 allège de façon substantielle les obligations déclaratives des détenteurs de fichiers, accroît les pouvoirs de la CNIL en ce qui concerne les contrôles sur place et les sanctions, et renforce les droits des personnes[4]. Elle a également créé les « Correspondants Informatique et Libertés » (CIL). Il s’agit de professionnels, qui au sein de leur organisme (entreprise, administration ou collectivité locale), veillent au respect de la loi Informatique et Libertés.

Règlement européen sur la protection des données de 2016

Le , la Commission européenne a adopté un projet de règlement européen et de directive réformant le cadre de la protection des données. Le règlement devrait entrer en vigueur dans les deux ans à compter de sa publication après adoption par le Conseil et le Parlement européens dans chaque pays membre de l'Union. En mars 2012, le Groupe de Travail G29 a adopté un avis sur les propositions de réforme présentées par la Commission Européenne. Il se félicite du renforcement des droits des individus, des pouvoirs des autorités de contrôle et des responsabilités des responsables de traitements et sous-traitants. Toutefois, en dépit de ces avancées positives, le G29, comme la CNIL, estiment que le projet de règlement nécessite des éclaircissements et des améliorations [5].

Le règlement général sur la protection des données (RGPD) ainsi que la directive relative à la protection des données à caractère personnel à des fins répressives ont été adoptés le par le Parlement européen[6]. Ses dispositions sont directement applicables dans l'ensemble des 27 États membres de l'Union Européenne à partir du 25 mai 2018[6].

En 2018, plus de 11 000 plaintes ont Ă©tĂ© dĂ©posĂ©es auprès de la CNIL, soit une augmentation de 32% sur la pĂ©riode de 7 mois oĂą le RGPD Ă©tait en vigueur[7].

La loi « Informatique et Libertés » a été mise en conformité et cohérence avec la réglementation européenne successivement par la loi du 20 juin 2018, l'ordonnance du 12 décembre 2018, et plusieurs décrets[8].

Statut et composition

Collège de 18 membres

La commission se compose d’un collège pluraliste de 18 personnalités nommées pour cinq ans renouvelable une fois :

Autorité administrative indépendante

12 des 18 membres sont élus ou désignés par les assemblées ou les juridictions auxquelles ils appartiennent.

La CNIL élit son Président parmi ses membres. Depuis le 1er septembre 2012 et l’adoption des lois organiques et ordinaires relatives au Défenseur des droits, la fonction de Président de la CNIL est devenue incompatible avec toute activité professionnelle, tout mandat électif national, tout autre emploi public et toute détention, directe ou indirecte, d'intérêts dans une entreprise du secteur des communications électroniques ou de l'informatique. La fonction de Président est désormais un emploi à plein temps.

La CNIL ne reçoit d’instruction d’aucune autorité. Les ministres, autorités publiques, dirigeants d’entreprises, publiques ou privées, ne peuvent s’opposer à son action.

Les décisions de la CNIL, qui prennent le nom de délibération, peuvent faire l’objet de recours devant le Conseil d'État.

Budget et moyens

Le budget de la CNIL relève du budget de l’État. Le président de la CNIL recrute librement ses collaborateurs, qui ont le statut d'agent contractuel[9]. Il est inscrit au programme budgétaire 08 "Protection des droits et libertés" rattaché aux Services du Premier ministre.

Budget de la CNIL par année
2016[10] 2017[11] 2018[12] 2019[13] 2020[14]
Budget alloué 16 964 049 € 17 161 536 € 16 838 254 € 18 506 734 € 20 143 890 €
Titre 2 (personnel) 13 842 841 € 14 088 832 € 14 402 426 € 15 162 970 € 16 710 552 €
Hors titre 2 (fonctionnement, investissement et intervention) 3 121 208 € 3 072 704 € 3 003 136 € 3 343 764 € (auxquels s'ajoutent 180 000 € de réallocation) 3 433 338 €
Nombre d'emplois par année
2016[15] 2017[16] 2018[17] 2019[18] 2020[19]
Nombre d'emplois (en fin d'année) 195 198 199 215 225
Proportion de juristes 38 % 36 % 44 % 48 % 34 %
Proportion d'assistants 22 % 26 % 25 % 22 % 13 %
Proportion d'ingénieurs et auditeurs des systèmes d'information 12 % 14 % 18 % 19 % 11 %

Présidents

Présidents de la CNILDébut du mandatFin du mandat
Pierre Bellet
Jacques Thyraud
Jean Rosenwald
Jacques Fauvet janvier 1999
Michel Gentot
Alex TĂĽrk
Isabelle Falque-Pierrotin[20]
Marie-Laure Denis[21]

Secrétaires généraux

Le secrétaire général de la CNIL coordonne et encadre les activités des directions de la CNIL. Il organise également le fonctionnement du Collège et de la formation restreinte.

Secrétaires généraux de la CNILDébut du mandatFin du mandat
Joël Boyer
Christophe Pallez
Yann Padova
Édouard Geffray
Jean Lessi[22]
Louis Dutheillet de Lamothe [23]

Fonctionnement

Séances plénières et formation restreinte

Les membres de la CNIL se réunissent en séances plénières quasiment une fois par semaine sur un ordre du jour établi à l’initiative de son président. Une partie importante de ces séances est consacrée à l’examen de projets de loi et de décrets soumis à la CNIL pour avis par le gouvernement. La CNIL autorise également la mise en œuvre de fichiers les plus sensibles, parmi lesquels ceux faisant appel à la biométrie.

Depuis le 25 mai 2018, la formation restreinte peut prononcer des sanctions[24] à l’égard d'organismes qui ne respectent pas le règlement général sur la protection des données (RGPD) de l'Union européenne jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires mondial.

Le , les lois organiques et ordinaires relative au Défenseur des droits ont modifié l’organisation de la formation restreinte. L’article 13 de la loi du modifiée en août 2004 a ainsi été modifié pour prévoir que le Président et les deux Vice-Présidents de la Commission (lesquels composent son bureau) ne sont plus éligibles à la formation restreinte de la CNIL. Celle-ci est composée d’un président distinct de celui de la formation plénière et de cinq autres membres élus par les 18 membres du Collège. Cette réforme donne aussi une plus grande liberté de publicité des décisions de la CNIL : le bureau peut désormais, sur demande du président, décider de la publicité des mises en demeure, et la formation restreinte dispose, elle, d’une plus grande liberté pour la publication des sanctions.

Activités hors séances plénières

Seuls les dossiers nécessitant une décision ou une prise de position du collège des commissaires sont évoqués lors des séances plénières. En dehors des séances, les commissaires sont chargés de suivre plus particulièrement les secteurs qui leur sont attribués par le Président en liaison avec les services. Les commissaires peuvent être chargés de représenter la CNIL dans diverses réunions ou instances, et participer à des missions de contrôle. Les commissaires ayant la qualité de magistrats ou d'anciens magistrats sont seuls habilités à avoir accès aux fichiers de police pour le compte des citoyens concernés (droit d'accès indirect).

La CNIL, dont les moyens ont plus que doublé depuis l'an 2000, s'appuie sur un effectif de 174 agents (au ). Pour remplir ses missions, le Président de la CNIL, assisté d'un secrétaire général, s’appuie sur différents services organisés au sein de quatre directions : une direction des affaires juridiques, internationales et de l’expertise, une direction des relations avec les usagers et du contrôle, une direction des ressources humaines, financières, informatiques et logistiques, et une direction des études, de l’innovation et de la prospective, créée en 2011.

Dans l’exercice de ses missions, la CNIL répond aux demandes de conseils qui lui sont adressées par des responsables de traitements, instruit les plaintes dont elle est saisie par les citoyens, organise des contrôles sur place. Elle procède également aux vérifications nécessaires dans le cadre du droit d’accès indirect aux fichiers intéressant la sécurité publique et la sûreté de l’État, et délivre à toute personne qui en fait la demande un extrait de la liste des traitements qui lui sont déclarés (« fichier des fichiers »).

Au-delĂ  de ses activitĂ©s de recensement, de contrĂ´le des fichiers, des rĂ©ponses faites aux demandes de conseil et de l’instruction des plaintes, la CNIL consacre une partie de son activitĂ© Ă  l’information des personnes sur leurs droits et sur leurs obligations. Directement sollicitĂ©e par de nombreux organismes ou institutions pour conduire des actions de formation et de sensibilisation Ă  la loi “informatique et libertĂ©s”, la CNIL participe Ă  des colloques, des salons ou des confĂ©rences pour informer. La CNIL a dĂ©jĂ  organisĂ© 21 rencontres rĂ©gionales. Il s’agit d’aller pĂ©riodiquement Ă  la rencontre de l’ensemble des acteurs publics ou privĂ©s concernĂ©s par la protection des donnĂ©es personnelles, dans une rĂ©gion Ă  l’instar des entreprises et des administrations dĂ©concentrĂ©es de l’État. Pour donner plus d’écho Ă  ses dĂ©cisions ou Ă  ses actions, la CNIL dispose de diffĂ©rents outils de communication : site internet, lettre mensuelle Ă©lectronique adressĂ©e Ă  36 661 abonnĂ©s, rapport annuel, communiquĂ©s de presse ainsi qu’une collection de guides pratiques[25], la plupart Ă©tant Ă©ditĂ©s uniquement en français, sauf pour les guides sur la sĂ©curitĂ©[26] et la gestion des risques[27] - [28] qui sont Ă©ditĂ©s en français et en anglais.

Missions

Informer

La CNIL est investie d’une mission générale d’information des personnes sur leurs droits et leurs obligations. Elle aide les citoyens dans l'exercice de leurs droits. Elle établit chaque année un rapport public rendant compte de l'exécution de sa mission.

Sa feuille de route stratégique 2019-2021[29] prévoit notamment un renforcement de sa visibilité et un large relais de ses positions, auprès du public, de têtes de réseaux (AFCDP[30], réseau SupDPO[31], Conseil national des barreaux[32]…) et des délégués.

RĂ©guler

La CNIL régule et recense les fichiers, autorise les traitements les plus sensibles avant leur mise en place. L'avis de la CNIL doit d’ailleurs être sollicité avant toute transmission au Parlement d'un projet de loi relatif à la protection des données personnelles ; il doit aussi être sollicité par le Gouvernement avant d'autoriser les traitements intéressant la sûreté de l'État, la défense ou la sécurité publique. La CNIL établit des normes simplifiées, afin que les traitements les plus courants fassent l'objet de formalités allégées. Elle peut aussi décider de dispenser de toute déclaration des catégories de traitement sans risque pour les libertés individuelles. Elle agit également par voie de recommandations.

Entre 2004 et 2018, la CNIL avait la possibilité de délivrer des labels à des produits ou à des procédures ayant trait à la protection des personnes à l'égard du traitement des données à caractère personnel. Elle a procédé en 2012 à ses premières délivrances de labels dans les secteurs de la formation et de la procédure d'audit, puis mis fin à son activité de labellisation en déployant des certifications[33], après l'entrée en application du RGPD.

Protéger

La CNIL doit veiller à ce que les citoyens soient informés des données contenues dans les traitements les concernant et qu'ils puissent y accéder facilement. Elle reçoit et instruit les plaintes des personnes qui rencontrent des difficultés à exercer leurs droits. Elle exerce, pour le compte des citoyens qui le souhaitent, l'accès aux fichiers intéressant la sûreté de l'État, la défense et la sécurité publique, notamment des services de renseignements et de la police judiciaire.

ContrĂ´ler

La CNIL vérifie que la loi est respectée en contrôlant les traitements informatiques. Elle peut de sa propre initiative se rendre dans tout local professionnel et vérifier sur place et sur pièce les fichiers. La Commission use de ses pouvoirs d’investigation pour instruire les plaintes et disposer d'une meilleure connaissance de certains fichiers. La CNIL surveille par ailleurs la sécurité des systèmes d'information en s'assurant que toutes les précautions sont prises pour empêcher que les données ne soient déformées ou communiquées à des personnes non autorisées.

Sanctionner

Lorsqu'elle constate un manquement Ă  la loi, la CNIL peut, après avoir mis en demeure les intĂ©ressĂ©s de mettre fin Ă  ce manquement, prononcer diverses sanctions : l’avertissement, les sanctions pĂ©cuniaires pouvant atteindre 20 000 000 €[34], l’injonction de cesser le traitement. Enfin, le PrĂ©sident peut demander en rĂ©fĂ©rĂ© Ă  la juridiction compĂ©tente d'ordonner toute mesure de sĂ©curitĂ© nĂ©cessaire. Il peut saisir Ă©galement le Procureur de la RĂ©publique des violations de la loi dont il a connaissance.

Le , le Conseil d'État a annulé deux sanctions prononcées en 2006 par la CNIL à l’encontre de sociétés effectuant de la prospection commerciale par téléphone. Ces entreprises ayant exercé un recours contre ces sanctions devant le Conseil d'État, ce dernier a estimé que les contrôles doivent être « préalablement autorisés par un juge », à moins que le responsable de l'entreprise ait été « préalablement informé de son droit de s'opposer » au contrôle[35].

Anticiper

La CNIL doit s'attacher à comprendre et anticiper les développements des technologies de l'information afin d'être en mesure d'apprécier les conséquences qui en résultent pour l'exercice des droits et libertés. Elle propose au Gouvernement les mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques. Pour renforcer sa capacité d'anticipation, elle s'est dotée en 2012 d'un comité de la prospective rassemblant des experts extérieurs. Une direction des études, de l’innovation et de la prospective (DEIP) avait été préalablement mise en place en 2011 pour développer la réflexion prospective au sein de la CNIL.

Droit d’information

Toute personne peut s’adresser directement à un organisme pour savoir si elle est fichée ou pas.

Droit d’accès

Sauf pour les fichiers relevant du droit d'accès indirect, toute personne peut, gratuitement, sur simple demande avoir accès à l’intégralité des informations la concernant sous une forme accessible (les codes doivent être explicités). Elle peut également en obtenir copie moyennant le paiement, le cas échéant, des frais de reproduction.

Droit de rectification et de radiation

Toute personne peut demander directement que les informations détenues sur elle soient rectifiées (si elles sont inexactes), complétées ou clarifiées (si elles sont incomplètes ou équivoques), mises à jour (si elles sont périmées) ou effacées (si ces informations ne pouvaient pas être légalement collectées par l’organisme concerné).

Droit d’opposition

Toute personne peut s’opposer à ce qu’il soit fait un usage des informations la concernant à des fins publicitaires ou de prospection commerciale ou que ces informations la concernant soient cédées à des tiers à de telles fins. La personne concernée doit être mise en mesure d’exercer son droit d’opposition à la cession de ses données à des tiers dès leur collecte. L’utilisation d’automates d’appels téléphoniques, de fax ou de messages électroniques à des fins publicitaires est interdite si les personnes n’y ont pas préalablement consenti.

Droit d’accès indirect

Toute personne peut demander à la CNIL de vérifier les informations la concernant éventuellement enregistrées dans des fichiers intéressant la sûreté de l’État, la défense ou la sécurité publique (droit d’accès indirect). La CNIL mandate l’un de ses membres magistrats (ou anciens magistrats) afin de vérifier la pertinence, l’exactitude et la mise à jour de ces informations et demander leur rectification ou leur suppression. Avec l’accord du responsable du traitement, les informations concernant une personne peuvent lui être communiquées.

Intelligence artificielle

La CNIL s'est dotée début 2023 d'un service dédié à l'intelligence artificielle[36].

Obligations des responsables du traitement

  • Notifier la mise en Ĺ“uvre du fichier et ses caractĂ©ristiques Ă  la CNIL, sauf cas de dispense prĂ©vus par la loi ou par la CNIL.
  • Mettre les personnes concernĂ©es en mesure d’exercer leurs droits en les en informant.
  • Assurer la sĂ©curitĂ© des informations afin d'empĂŞcher qu’elles soient dĂ©formĂ©es, endommagĂ©es ou que des tiers non autorisĂ©s n'y aient accès. La loi prĂ©voit une obligation de mesures techniques et d'organisation, une obligation de moyens, dĂ©nuĂ©e d'obligation de rĂ©sultat[37] - [38] - [39] - [40].
  • Se soumettre aux contrĂ´les et vĂ©rifications sur place de la CNIL et rĂ©pondre Ă  toute demande de renseignements qu’elle formule dans le cadre de ses missions.

Bilan 2017

La CNIL en 2017[41] :

  • 341 contrĂ´les ; 47 contrĂ´les ont concernĂ© la vidĂ©oprotection ;
  • 79 mises en demeure ;
  • 14 sanctions ;
  • 8 360 plaintes reçues ;
  • 4 039 demandes de droit d'accès indirect (fichiers de police et de gendarmerie) ;
  • 155 281 appels reçus ;
  • 18 802 organismes ont dĂ©signĂ© un correspondant informatique et libertĂ©s.

Bilan 2012

La CNIL en 2012[42] :

  • 458 contrĂ´les ; 173 contrĂ´les en vidĂ©oprotection ;
  • 43 mises en demeure ;
  • quatre sanctions ;
  • 6 017 plaintes reçues- ;
  • 3 682 demandes de droit d'accès indirect (fichiers de police et de gendarmerie) ;
  • 140 000 appels reçus ;
  • 10 709 organismes ont dĂ©signĂ© un correspondant informatique et libertĂ©s.

Bilan 2011

La CNIL en 2011 :

  • 385 contrĂ´les ;
  • 65 mises en demeure ;
  • 19 sanctions ;
  • 5 737 plaintes reçues ;
  • 2 099 demandes de droit d'accès indirect (fichiers de police et de gendarmerie) ;
  • 32 743 courriers entrants numĂ©risĂ©s ;
  • 82 243 dĂ©clarations ;
  • 11 600 appels/mois.

Protection des données personnelles sur le plan international

L'Allemagne en 1971, la Suède en 1973 et la France en 1978 ont été les trois premiers pays dotés d'une loi informatique et libertés. Ces lois instituent la création d'autorités de contrôle indépendantes.

Certaines structures économiques et politiques internationales s'en sont inspirées, parmi lesquelles l'Organisation de coopération et de développement économiques (OCDE) en 1980, le Conseil de l'Europe en 1981 (Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel) et les Nations unies (ONU) en 1990. En 1995, la Communauté européenne a émis une directive en ce sens, que les pays de l'Union européenne doivent transposer.

Depuis le , une Journée européenne de la protection des données à caractère personnel est organisée par le Conseil de l'Europe et relayée en France par la CNIL[43].

Au niveau de l'Union européenne

L’Union européenne a adopté le une directive destinée à harmoniser au sein des États membres la protection assurée à toute personne quel que soit le lieu où sont opérés les traitements de ses données à caractère personnel.

À ce jour, les trente-et-un États membres de l'Espace économique européen (Union Européenne plus Islande, Liechtenstein, Norvège) disposent d’une loi « informatique et libertés » et d’une autorité de contrôle indépendante.

Groupe de l'article G29

L’article 29 de la directive du sur la protection des données et la libre circulation de celles-ci a institué un groupe de travail de ces vingt-sept « CNIL européennes ». C’est le « groupe de l’article 29 » (G29)[44], par référence à l’article de la Directive 95/46/CE qui l’institue.

Il a pour mission de contribuer à l’élaboration des normes européennes en adoptant des recommandations, de rendre des avis sur le niveau de protection dans les pays tiers et de conseiller la Commission européenne sur tout projet ayant une incidence sur les droits et libertés des personnes physiques à l’égard des traitements de données personnelles. Le G29 se réunit à Bruxelles en séance plénière tous les deux mois environ. Environ quinze sous-groupes composés des collaborateurs des « CNIL européennes » se réunissent régulièrement à Bruxelles pour alimenter les réflexions des membres du G29 en séance plénière et rédiger les avis qui leur seront ensuite soumis pour adoption.

Ses avis sont publiés sur son site[45].

À compter de l'entrée en application du Règlement général sur la protection des données en mai 2018, il est remplacé par le Comité européen de la protection des données.

Administrations Ă©quivalentes dans d'autres pays

D’autres pays européens non membres de l’Union ont adopté des lois et des garanties similaires à celles reconnues par les États membres, tels que la Macédoine, les îles anglo-normandes, Monaco, Gibraltar et la Suisse.

Au-delà de l’Europe, des pays tels que le Canada, l’Argentine, l’Australie, la Nouvelle-Zélande, la Corée du Sud, la Tunisie, le Maroc, le Burkina Faso, le Sénégal, le Mali, le Cap Vert, le Ghana, le Madagascar, l'Ile Maurice, le Gabon, le Malawi, la Côte d'Ivoire et le Niger se sont également dotés d’une loi et d’une autorité indépendante de contrôle. D’autres États ont fait le choix d’adopter une législation de garanties, quelquefois limitée au seul secteur public ou à certaines activités du secteur privé, sans toujours instituer une autorité indépendante de contrôle dotée de larges pouvoirs ; il revient alors aux juridictions judiciaires de sanctionner la méconnaissance des droits reconnus. Tel est le cas pour les États-Unis, le Japon, le Paraguay, Taïwan, et la Thaïlande.

Transfert de données

La Directive européenne du 24 octobre 1995 reconnaît le principe selon lequel les données personnelles ne peuvent être transmises hors de l’Union européenne que si l’entreprise destinataire des données ou le pays de destination offre un niveau de protection « adéquat ». C'est le cas d'Andorre, du Canada, de la Suisse, de l'Argentine, de Guernesey, de Jersey, de l'Uruguay, d'Israël, des îles Féroé et de l'île de Man.

Les échanges avec d’autres pays sont possibles seulement :

  • si des Clauses contractuelles types, ou Data Transfer Agreement (DTA), approuvĂ©es par la Commission europĂ©enne, sont signĂ©es entre deux entreprises ou
  • si des Règles internes d'entreprises ou Binding Corporate Rules (BCR) sont adoptĂ©es au sein d'un groupe ou,
  • si dans le cas d'un transfert vers les États-Unis, l'entreprise destinataire a adhĂ©rĂ© au Privacy Shield ou,
  • si l'une des exceptions prĂ©vues par l’article 69 de la loi Informatique et LibertĂ©s est invoquĂ©e.

La CNIL participe à la conférence mondiale et à la conférence francophone des autorités de protection des données. Elle assure le secrétariat général de l’association des autorités francophones[46].

Exemples d'interventions de la CNIL

La CNIL est par exemple intervenue sur des cas portant préjudice à des personnes figurant dans des fichiers de police: mention ne devant plus y figurer, acte ne devant pas être référencé, personne fichée à tort. La CNIL doit aussi vérifier que l'exploitation privée de données de masse préserve la protection des données de santé personnelles :

Expiration de mention

Monsieur C., 24 ans, mécanicien aéronautique, a souhaité exercer son droit d’accès indirect aux fichiers de police judiciaire, à la suite de la décision de refus de délivrance de son badge aéroportuaire, indispensable à l’exercice de sa profession. Les vérifications effectuées par la CNIL, ont conduit à la suppression de son signalement dans le STIC pour une affaire de « vol simple » dont le délai de conservation, fixé à cinq ans, était expiré.

Acte ne devant pas être référencé

Monsieur P., 35 ans, a sollicité la délivrance d’une carte professionnelle pour exercer dans la sécurité privée. Il a parallèlement saisi la CNIL d’une demande de droit d’accès indirect aux fichiers de police judiciaire. Au terme des vérifications, deux affaires de nature contraventionnelle ont été supprimées du STIC et les deux restantes ont fait l’objet d’une mise à jour par mention des décisions de classement sans suite pour « carence du plaignant » et « préjudice peu important » dont il avait bénéficié. Monsieur P. qui, malgré ces inscriptions, a pu obtenir sa carte professionnelle, ne devrait, dès lors, pas avoir de difficultés à obtenir son renouvellement à l’avenir car il est désormais inconnu administrativement de ce fichier.

Personne fichée à tort

Une personne, fichée à tort, s'était vu écartée d'une candidature pour travailler sur le tarmac de l'aéroport de Roissy-Charles-de-Gaulle. Le temps de corriger les données, l'emploi a été attribué à une autre personne[47].

Monsieur G., 57 ans, commandant de bord depuis plus de vingt ans au sein d’une compagnie aérienne, a été en butte à des difficultés de renouvellement de son badge aéroportuaire. Si ce badge lui a finalement été délivré avec retard, sa validité a été limitée à un an au lieu de trois ans. N’ayant pu obtenir de plus amples explications, Monsieur G. a souhaité exercer son droit d’accès indirect afin de déceler l’origine de ses difficultés. Les vérifications menées par la CNIL ont conduit à la suppression de son enregistrement dans le fichier JUDEX pour une affaire de « travail clandestin, abus de biens sociaux et escroquerie » dans laquelle il n’était pas mis en cause. Monsieur G était juste cité dans la procédure mais ni en tant que mis en cause ni en tant que victime. Lors de l’intégration du compte rendu d’enquêtes dans JUDEX, il y a été intégré à tort comme l’auteur de ces faits, ce qui a été à l’origine de ses difficultés[48].

Protection des données de santé personnelles

IQVIA a nouĂ© un partenariat avec 14 000 pharmacies françaises, stocke et traite des donnĂ©es de santĂ© de clients de pharmacies en France. La CNIL qui avait donnĂ© un accord, lance une enquĂŞte et des contrĂ´les[49] - [50] - [51].

Reconnaissance faciale

Pour les expériences Reconnaissance faciale et possibles extensions en France[52] ou en Europe et éviter l'avènement d'une société de surveillance, il faut s'assurer que ces projets[53] soient conformes, avec les constitutions, aux les règles du RGPD, et qu'ils soient contrôlés[54] par les autorités indépendantes telles que la CNIL.

L'entreprise Clearview AI fait l'objet de plusieurs controverses et procédures judiciaires vis-à-vis des milliards d'images qu'elle a collectées sur Internet[55] - [56].

En dĂ©cembre 2021, La CNIL met en demeure l’entreprise Clearview AI, lui demande de supprimer les donnĂ©es collectĂ©es en France et lui enjoint de cesser ce type de pratique sur le territoire français « Clearview AI ne dispose pas non plus d’un intĂ©rĂŞt lĂ©gitime Ă  collecter et utiliser ces donnĂ©es, notamment au regard du caractère particulièrement intrusif et massif du procĂ©dĂ© qui permet de rĂ©cupĂ©rer les images prĂ©sentes sur Internet de plusieurs dizaines de millions d’internautes en France. ». Les activitĂ©s de l'entreprise font dĂ©jĂ  l’objet de multiples enquĂŞtes dans le monde[57]. Clearview n'ayant pas donnĂ© suite Ă  la mise en demeure, la CNIL la condamne Ă  une amende de 20 millions d'euros le , auquel elle a deux mois pour se conformer sous peine d'une astreinte de 100 mille euros d'amende supplĂ©mentaires par jour de retard[58] - [59].

Le Point et son palmarès annuel des hôpitaux et des cliniques

En 2022, la CNIL coupe l’accès à une base de données nécessaire au journal Le Point pour que celui-ci établisse son palmarès annuel des hôpitaux et des cliniques. Elle prend cette décision après que le Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (Cesrees), dépendant des ministères de la Santé et de la Recherche, a émis un avis négatif pour la délivrance des données, étant en désaccord avec la méthodologie de l'enquête du magazine. Dans sa décision, la Cnil « invite » Le Point à modifier sa méthodologie en fonction des remarques du Cesrees afin que soient « corrigés de façon substantielle » ses « biais » méthodologiques. La rédaction du magazine s'étonne qu'« un journal est sommé de faire valider son travail par l'administration »[60] - [61].

Mises en cause

Le 14 décembre 2007 les locaux de la CNIL ont été occupés une matinée par plusieurs dizaines de personnes qui ont notamment déployé une banderole « Informatique ou libertés, il faut choisir »[62] - [63]. Le collectif Pièces et Main d'Œuvre avance, dans un texte d'avril 2007, que la CNIL ne bénéficie que d'une « pseudo-indépendance » et rappelle que « depuis juillet 2004, la loi a décidé que les services de police n'auraient même plus à s'asseoir sur les avis de la CNIL pour créer de nouveaux fichiers. Celle-ci était inaudible et silencieuse, la voici muette. Rien qu'un guichet de police »[64].

En février 2013, Gilles Babinet, « digital champion » du gouvernement français auprès de la Commission européenne, attaque vivement l’autorité dans une interview accordée au magazine L’Usine nouvelle[65]. Au cours de cet entretien, il fustige l’action de la CNIL, l’accusant de pénaliser le développement de l’innovation numérique en France. À ce titre, il dénonce le caractère excessif et obstruant de la régulation pratiquée par l’autorité, trop arcboutée sur la défense des libertés individuelles, et dépeint une administration frileuse en fort décalage avec les aspirations de la société civile en matière d’innovation. Le maire de Nice Christian Estrosi formule en mai 2022 sur la radio Europe 1 des critiques comparables quant aux blocages de la CNIL dans le domaine de la surveillance électronique de masse à des fins sécuritaires, qualifiant la commission d'« espèce d’institution poussiéreuse »[66].

Au cours de l'élection présidentielle de 2017, la CNIL reconnaît[67] que les logiciels de gestion de contacts militants comme Knockin, développé par Hatis, sont trop récents pour être étudiés en amont. En février 2017, la CNIL blanchit néanmoins l'application[68].

Notes et références

  1. « Safari » ou la chasse aux français », Le Monde,
  2. Philippe BOUCHER, « "Safari" ou la chasse aux français », Le Monde,‎ (lire en ligne)
  3. « A voix nue - Bernard Tricot 1/2 : Parties 1 à 3 (1ère diffusion : 27 à 29/04/1998) », cité dans la partie n°3, sur France Culture (consulté le )
  4. Texte Fondateurs, sur le site de la Cnil
  5. Le G29 adopte un avis sur le projet de règlement européen réformant le cadre général sur la protection des données, sur le site de la Cnil
  6. Communiqué de presse du Parlement Européen - Réforme sur la protection des données: le Parlement approuve de nouvelles règles adaptées à l'ère numérique, , site du Parlement Européen
  7. « Protection des données : pour la présidente de la CNIL, « il y a une prise de conscience mondiale » », Le Monde,‎ (lire en ligne, consulté le )
  8. « Entrée en vigueur de la nouvelle loi « Informatique et Libertés » et de son nouveau décret d’application », sur Cnil.fr, (consulté le )
  9. « Statut et organisation de la CNIL », sur cnil.fr (consulté le )
  10. Commission nationale de l'informatique et des libertés, « Rapport d'activité 2016 » [PDF] (consulté le ), p. 107
  11. Commission nationale de l'informatique et des libertés, « Rapport d'activité 2017 » [PDF], sur cnil.fr (consulté le ), p. 115
  12. Commission nationale de l'informatique et des libertés, « Rapport d'activité 2018 » [PDF], sur cnil.fr (consulté le ), p. 99
  13. Commission nationale de l'informatique et des libertés, « Rapport d'activité 2019 » Accès libre [PDF], sur cnil.fr (consulté le ), p. 112
  14. Commission nationale de l'informatique et des libertés (CNIL), « Rapport d'activité 2020 » [PDF], sur cnil.fr (consulté le ), p. 127
  15. Commission nationale de l'informatique et des libertés, « Rapport d'activité 2016 » [PDF], sur cnil.fr (consulté le ), p. 106
  16. Commission nationale de l'informatique et des libertés, « Rapport d'activité 2017 » [PDF], sur cnil.fr (consulté le ), p. 114
  17. Commission nationale de l'informatique et des libertés, « Rapport d'activité 2018 » Accès libre [PDF], sur cnil.fr (consulté le ), p. 98
  18. Commission nationale de l'informatique et des libertés, « Rapport d'activité 2019 » Accès libre [PDF], sur cnil.fr (consulté le ), p. 111
  19. Commission nationale de l'informatique et des libertés, « Rapport d'activité 2020 » [PDF], sur cnil.fr (consulté le ), p. 126
  20. Mme Isabelle Falque-Pierrotin est élue Présidente de la CNIL, CNIL.fr.
  21. « Faire respecter le RGPD, principale mission de Marie-Laure Denis, nouvelle présidente de la CNIL », Le Monde,‎ (lire en ligne, consulté le )
  22. Jean LESSI est nommé secrétaire général de la CNIL, CNIL.fr, .
  23. Louis DUTHEILLET DE LAMOTHE est nommé secrétaire général de la CNIL, CNIL.fr, .
  24. « La procédure de sanction », sur cnil.fr
  25. Les guides, sur le site cnil.fr
  26. [PDF]+(en) Security of personal data, sur le site cnil.fr
  27. [PDF] (en) Methodology for privacy risks methodology, sur le site cnil.fr
  28. [PDF] (en) Measures for privacy risks treatment, sur le site cnil.fr
  29. Feuille de route stratégique 2019-2021 de la CNIL
  30. Discours de Marie-Laure Denis Ă  l'AFCDP du 14 janvier 2020
  31. Article de la CNIL du 30 janvier 2019
  32. Article de la CNIL du 14 juin 2019
  33. Article de la CNIL "Transition vers le RGPD : des labels à la certification" du 23 février 2018
  34. « Sanction », sur cnil.fr (consulté le )
  35. « Annulation de deux sanctions par le Conseil d’État : la CNIL prend acte et réaffirme son ambition en matière de contrôle sur place, article sur le », sur Cnil.fr
  36. Modèle {{Lien web}} : paramètre « titre » manquant. https://www.francetvinfo.fr/internet/numerique-la-cnil-se-dote-d-un-nouveau-service-dedie-a-l-intelligence-artificielle_5841221.html Accès libre, France Info, (consulté le )
  37. La sécurité des données personnelles, sur le site cnil.fr
  38. [PDF] Guide gérer les risques sur les libertés et la vie privée, sur le site cnil.fr
  39. [PDF] Mesures pour traiter les risques sur les libertés et la vie privée, sur le site cnil.fr
  40. Enquête : des données médicales confidentielles accessibles sur le web, Thomas Duvernoy et Leila Minano, Actu Soins, 4 février 2013
  41. « Rapport d'activité 2017 de la CNIL », sur cnil.fr, (consulté le )
  42. [PDF] Protéger les données Personnelles, accompagner l’innovation, préserver les libertés individuelles, sur le site cnil.fr
  43. « Conseil de l'Europe 28 janvier Journée de la protection des données », sur coe.int
  44. (en) Article 29 Working Party, sur le site europa.eu, consulté le
  45. (en) Opinions and recommendations, sur le site europa.eu, consulté le
  46. Site de l'association francophone des autorités de protection des données personnelles, sur le site de AFAPDP
  47. Ouest-France, 15 juillet 2008, page 5. Faits rapportés par Alex Türk, président de la CNIL.
  48. (en) « Bad track-records! » (consulté le ).
  49. Florian Reynaud, « « Cash Investigation » : la CNIL réagit à la diffusion de l’émission et annonce des contrôles sur la collecte de données de santé », sur LeMonde.fr, (consulté le )
  50. Alice Vitard, « Données de santé, pharmacies et IQVIA : qui doit informer les clients ? », sur usine-digitale.fr, (consulté le )
  51. David Legrand, « Données des pharmacies et IQVIA : la CNIL s'explique et va mener des contrôles », sur nextinpact.com, (consulté le )
  52. « Le gouvernement envisage une expérimentation de la reconnaissance faciale dans des lieux publics », sur francetvinfo.fr, .
  53. Macéo Croppo, « Reconnaissance faciale en France : quelle place dans la politique de sécurité intérieure ? », sur portail-ie.fr, .
  54. « Reconnaissance faciale : pour un débat à la hauteur des enjeux », sur cnil.fr, .
  55. Emma Confrere, « Reconnaissance faciale : la société Clearview AI accusée de «surveillance de masse illégale» », Le Figaro, (consulté le )
  56. Samuel Kahn, « Reconnaissance faciale: Clearview fait scandale avec ses 3 milliards de visages «aspirés» », sur Le Figaro, (consulté le )
  57. Florian Reynaud, « La CNIL met en demeure l’entreprise de reconnaissance faciale Clearview », sur Le Monde, (consulté le ).
  58. Jean-Marc Manach, « RGPD : Clearview AI condamné à 20 millions d'euros d'amende, pour la 3e fois », sur Next INpact, (consulté le ).
  59. Agence France-Presse, « Reconnaissance faciale : la CNIL condamne Clearview AI à une amende de 20 millions d’euros », sur Le Monde, (consulté le ).
  60. Étienne Gernelle, Quand l’État et la Cnil censurent l’information sur notre système de santé, lepoint.fr, 10 novembre 2022
  61. Le Point accuse la Cnil de l’empêcher de réaliser son classement des hôpitaux 2022, larevuedudigital.com, 10 novembre 2022
  62. « La Cnil occupée par des manifestants », The Inquirer, 14 décembre 2007.
  63. « La CNIL occupée par une centaine de personnes », tempsreel.nouvelobs.com, 13 février 2008.
  64. « L’invention du « sécuritaire » ou la liquidation de la gauche militante », Pièces et Main d'Œuvre, 20 avril 2007
  65. « Pour Gilles Babinet, "il faut fermer la Cnil, c’est un ennemi de la Nation" », sur usinenouvelle.com.
  66. Marc Rees, « Une « espèce d'institution poussiéreuse » : Christian Estrosi (66 ans) s’attaque à la CNIL (44 ans) », sur nextinpact.com, (consulté le )
  67. M. R. et Juilette Droze, « Comment les sarkozystes collectent des informations sur vous », RMC,‎ (lire en ligne, consulté le ).
  68. « La CNIL blanchit l'appli de Sarkozy, mais pas sa campagne - La Lettre A », La Lettre A,‎ (lire en ligne, consulté le ).

Voir aussi

Bibliographie

Document utilisé pour la rédaction de l’article : document utilisé comme source pour la rédaction de cet article.

Concepts

Organismes publics

RĂ©glementation

Documentaire

Liens externes

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.