Qu'est-ce-que la CNIL ?
Créée par la loi dite « Informatique et Libertés » de 1978, la Commission Nationale de l’Informatique et des Libertés (CNIL) est une autorité administrative indépendante qui a pour mission principale d’assurer la protection des données personnelles. Autrement dit, le rôle de la CNIL est de garantir que les données personnelles récoltées par toute personne sont bien conformes aux libertés individuelles.
Une mission de protection des données personnelles
• Informer sur les droits en matière de données personnelles
Dans un paysage normatif en forte évolution , la question de la protection des utilisateurs au sein de leur environnement numérique passe par un strict encadrement du traitement des données qu’ils fournissent aux tiers. Ainsi, pour garantir une protection de telles informations à caractère personnel, la CNIL cherche à sensibiliser les personnes sur leurs droits. Cet objectif est d’abord mené par plusieurs actions de communication permettant d’aviser les individus de l’existence de leurs droits, au titre desquels on retrouve notamment :
- un droit d’information ;
- un droit d’opposition à ce qu’un organisme utilise des données personnelles ;
- un droit de vérification des données détenues par un organisme ;
- un droit de rectification des données recueillies ;
- un droit au déréférencement – autrement dit, le droit que le nom d’une personne ne soit pas plus associé à un contenu visible sur un moteur de recherche ;
- un droit à l’effacement des données personnelles, etc.
• Protéger les données personnelles
En plus d’informer les individus sur l’existence de ces droits, la CNIL va leur permettre d’envoyer une plainte pour faire valoir leurs droits. En effet, celle-ci peut consister par exemple, à demander la suppression des données sur un site internet ou encore à faire respecter son droit d’opposition pour ne plus recevoir de courriels de publicité.
• Accompagner les organismes dans leur mise en conformité RGPD
La CNIL est également investie d’une mission visant à ce que les organismes traitent leurs données personnelles recueillies conformément au RGPD (Règlement Général sur la Protection des Données). En effet, ce règlement s’inscrit dans la lignée de la Loi Informatique et Libertés et offre un cadre harmonisé de protection des données personnelles en Europe, notamment en ce qui concerne questions de conservation des données personnelles ou encore les moyens à mettre en œuvre pour sécuriser les données collectées.
• Exercer une influence positive sur les politiques publiques
Afin d’assurer une protection optimale des données personnelles, la CNIL intervient fréquemment dans la sphère gouvernementale en rendant des avis sur des projets de texte ou encore en participant à des auditions parlementaires. A titre d’exemple, elle a notamment rendu plusieurs avis lors de la crise sanitaire, dont la délibération 2021-143 du 2 décembre 2021 concernant le traitement des données de l’application « TousAntiCovid ».
Le contrôle des manquements
La CNIL dispose d’un pouvoir de contrôle et de sanction des manquements en matière de protection des données personnelles. Ce contrôle vise à sanctionner les organismes qui ne respectent pas strictement les dispositions applicables en matière de traitement de telles données.
• Un large pouvoir de contrôle
L’autorité administrative indépendante peut exercer son contrôle auprès de tout organisme recueillant et traitant des données personnelles, et ce de diverses manières :
- Sur place : le contrôle aura lieu dans les locaux d’un responsable ou sous-traitant de traitement des données personnelles et sera alors effectué par une délégation de la CNIL.
- Sur pièces : un courrier accompagné d’un questionnaire d’évaluation de la conformité des traitements opérés est envoyé à l’organisme – questionnaire qui doit être rempli par le responsable ou sous-traitant, en apportant tout pièce utile à la justification de conformité.
- Sur audition : un courrier de convocation est adressé au responsable de traitement pour que les représentants se présentent dans les locaux de la CNIL et répondent à des questions sur la conformité de leurs traitements.
- En ligne : la CNIL a également la possibilité d’exercer un contrôle en ligne par la consultation des données librement accessibles en ligne.
• La procédure de sanction
La CNIL dispose d’un champ de sanction étendu. En effet, si plusieurs dossiers peuvent être rapidement clos par un simple rappel à l’ordre, une amende administrative ou encore une injonction pour l’organisme visé de mettre en conformité son traitement des données, l’autorité peut user d’outils plus sévères. A ce titre, la formation restreinte de la CNIL – composée de 5 membres et d’un Président, est compétente pour prononcer des sanctions pécuniaires en cas de manquement. Celles-ci peuvent atteindre un montant de 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial s’il s’agit d’une entreprise. En 2021, la CNIL a prononcé quinze sanctions pécuniaires pour des manquements variés, tels que le défaut de sécurité des données, le consentement des personnes quant aux cookies, ou encore le non-respect du droit d’accès ou du droit de rectification.
Il est possible de contester la décision de sanction en formant un recours devant le Conseil d’État dans un délai de deux mois à compter de la date de notification de la décision.