La CNIL (Commission nationale de l’informatique et des libertés) est une autorité administrative dont la création résulte de la loi du 6 janvier 1978 sur l’informatique. Depuis son installation, peu de Français savent concrètement à quoi elle sert. Alors, qu’est-ce que la CNIL ? Quelles sont ses missions ? Jusqu’où s’étendent ses prérogatives ? Découvrez les réponses dans ce guide.
Qu’est-ce que la CNIL ?
La Commission Nationale de l’Informatique et des Libertés (CNIL) est une institution créée pour que l’évolution de l’informatique respecte les droits à la vie privée des citoyens. En tant qu’autorité publique, elle assure la conformité des usages qui sont faits des outils informatiques avec les lois françaises. Elle agit au nom de l’État sans être sous sa tutelle. Son rôle est d’alerter et de conseiller le grand public. Elle dispose également de pouvoirs de contrôle et de sanction.
Quelles sont les missions de la CNIL ?
La CNIL est l’organe régulateur des données personnelles en France. Pour atteindre son but, quatre grandes missions lui ont été assignées :
- Informer et protéger les droits ;
- Accompagner et conseiller les professionnels pour leur mise en conformité ;
- Anticiper et innover ;
- Contrôler et sanctionner.
Informer et protéger les droits
La première mission de la CNIL est de renseigner le public sur la protection des données personnelles. Pour y arriver, elle se sert de différents médias pour diffuser des contenus relatifs à l’éducation numérique.
De plus, l’autorité de régulation veille à ce que les particuliers et les professionnels aient un certain niveau de contrôle sur le traitement subi par leurs informations personnelles. Dans ce sens, tous les citoyens peuvent adresser une plainte à la commission concernant la réputation en ligne, le commerce, les ressources humaines ainsi que la banque et le crédit.
Accompagner et conseiller
Ici, la CNIL joue un rôle de conseiller. Elle donne des avis et fait des recommandations au législateur sur des projets de loi ou de décrets relatifs à la protection des données personnelles. À l’endroit des professionnels et des entreprises, l’organisme apporte un accompagnement spécifique (une boîte à outils complète) pour qu’ils se conforment aux exigences de la loi en matière de gestion des données personnelles.
Anticiper et innover
Face à une société en constante digitalisation, la CNIL doit anticiper les enjeux futurs de la protection de la vie privée. Pour ce faire, le comité de prospective et le LINC (laboratoire de l’innovation numérique de la CNIL) jouent un rôle avant-gardiste en menant des réflexions sur les questions de société nées des avancées technologiques.
Contrôler et sanctionner
La prérogative de contrôle de la CNIL lui permet de s’assurer du respect de la loi. Ainsi, elle effectue des contrôles auprès des particuliers et de l’administration publique et privée. Ces vérifications portent sur toutes les problématiques liées au traitement ou à la gestion de données personnelles, dont elle est saisie. Elles peuvent être faites sur place, sur convocation ou en ligne.
Certains contrôles peuvent aboutir à des sanctions à l’endroit des personnes ou structures concernées. La CNIL, à travers la formation restreinte, est en droit de rappeler à l’ordre, d’enjoindre une mise en conformité du traitement, suspendre ou limiter le flux de données. Des amendes administratives ou pécuniaires allant jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires annuel pour le cas d’une entreprise, peuvent être prononcées.
Quelques actions concrètes positives de la CNIL
Dans l’exercice de sa mission de protection de la vie privée, la CNIL a déjà prononcé différentes sanctions, notamment contre des entreprises. Deux mesures coercitives ont fait école et méritent d’être soulignées : les affaires Dailymotion et Active Assurances.
Le 2 août 2018, une sanction pécuniaire de 50 000 euros a été prononcée à l’encontre de la société Dailymotion. Le motif est le manquement à son obligation de sécurisation des données personnelles de ses utilisateurs. Une quantité importante d’informations personnelles avait fuité après une attaque subie par la plateforme. Ces données concernaient 82,5 millions d’adresses email et 18,3 millions de mots de passe chiffrés.
La formation restreinte de la CNIL réunie en session le 25 juillet 2018 a prononcé une amende de 180 000 euros contre Active Assurances pour avoir insuffisamment protégé les données des utilisateurs de son site web. Suite à la plainte d’un client de l’entreprise, la CNIL a effectué un contrôle qui a relevé que les mesures de protection des données individuelles des clients sur le site web d’Active Assurances étaient insuffisantes. Tout le monde pouvait avoir accès aux informations relatives à des infractions et aux données sensibles (copies de permis de conduire, de cartes grises, des relevés d’identité bancaire) des clients de la société.
Les limites et contraintes de la CNIL
Malgré les prérogatives que la CNIL possède pour accomplir ses missions, elle doit faire avec certaines contraintes qui sont loin d’être négligeables. Il y a entre autres l’ignorance de la loi, la limitation de ses pouvoirs, ainsi que les contraintes géographiques.
L’ignorance de ce que dit la loi
De nombreux cas d’infractions sont dus à l’ignorance de la loi informatique et libertés par les acteurs. Par exemple, une étude de Trend Micro a révélé que pour 67% des cadres d’entreprises, la date de naissance d’un client n’est pas considérée comme une donnée personnelle. Il en est de même pour les adresses email (21%) et les adresses postales (32%).
Des pouvoirs limités par le Conseil d’État en 2009
Depuis 2009, la Commission nationale de l’informatique et des libertés a vu ses pouvoirs s’amenuiser. Contrairement au passé, elle ne peut plus effectuer de contrôle sans en informer la structure concernée. Lorsque l’entreprise s’y oppose, la CNIL doit alors recueillir l’autorisation d’un juge pour justifier la vérification. Cela limite dans une certaine mesure l’efficacité de ses contrôles, car les données numériques sont fragiles et peuvent être trafiquées.
Les contraintes géographiques
En réalité, le pouvoir de régulation ou d’intervention de la CNIL est géographiquement limité. Plus précisément, l’organisme n’a pas autorité sur la gestion des données à caractère personnel hors du territoire de l’Union européenne.
Par exemple, le droit à l’oubli sur les moteurs de recherche n’est pas mondial. Un arrêt du Conseil d’État a restreint la portée géographique du droit à l’oubli sur l’Union européenne. Cet arrêt a annulé une sanction délivrée par la CNIL en 2016 contre Google. Désormais, lorsqu’un internaute français souhaite supprimer certaines informations personnelles le concernant sur un moteur de recherche, cela sera effectif uniquement pour les requêtes effectuées depuis les pays de l’UE. À l’étranger, il sera toujours possible de voir ces informations.
NetExplorer, des solutions fiables pour le respect des normes de la CNIL
Pour accompagner les entreprises qui souhaitent protéger efficacement leurs données et se conformer par la même occasion aux exigences de la CNIL, NetExplorer propose une solution de stockage privé 100% sécurisé dans le cloud. La plateforme donne la possibilité aux professionnels de stocker leurs fichiers, mais aussi d’y avoir accès en permanence et de pouvoir les partager avec leurs collaborateurs. Nous sommes certifiés HDS (Hébergeurs de données de santé), ISO 27001 et ISO 9001 pour la sécurité des données. Un chiffrement SSL 2048 bits est utilisé pour empêcher toute tentative de piratage ou de vol de données.
Avec les solutions NetExplorer, vous avez des outils prêts à l’emploi pour une gestion clé en main de vos fichiers clients.
Que retenir ? La CNIL est une autorité aux pouvoirs étendus qui fournit des efforts pour la liberté numérique et la protection de la vie privée. Son utilité est confirmée par ses nombreuses actions positives. Certaines limites d’ordre géographique et structurel freinent néanmoins cet élan.
Sources
Etudes TrendMicro : https://www.trendmicro.fr/newsroom/pr/selon-une-etude-trend-micro-les-cadres-dirigeants-ne-sont-pas-prets-pour-lentree-en-vigueur-du-rgpd/index.html
Limitation du pouvoir de la CNIL par le Conseil d’État :
https://www.legifrance.gouv.fr/affichJuriAdmin.do?idTexte=CETATEXT000021242880