Qu’est-ce que la CNIL ?

Table of Contents

En vertu de la Charte des droits fondamentaux de l’UE, tous les États membres étaient tenus de créer une autorité de protection des données. Ces agences sont chargées de protéger les droits des données des citoyens de l’UE dans l’État membre. La Commission Nationale de l’Informatique et des Libertés en France est la CNIL.

Dans cet article, nous allons voir ce qu’est la CNIL, quelles sont ses responsabilités et ses effets généraux sur les entreprises.

Qu’est-ce que la CNIL ?

Contrairement aux agences de protection des données plus récentes, comme l’AEPD espagnole, la Commission Nationale de l’informatique et des Libertés (CNIL) a été créée en 1978 et a commencé ses activités principales en 1980. L’organisation a été officialisée en réponse au programme SAFARI – une tentative du gouvernement français de créer une base de données centralisée de tous les citoyens français. Aujourd’hui, c’est l’organisme administratif et réglementaire français chargé de promulguer la loi sur la protection des données. Il veille à ce que la collecte, le stockage et l’utilisation des données personnelles des citoyens français soient conformes à la fois à la loi française et au RGPD.

La CNIL est composée de dix-sept membres issus de plusieurs entités gouvernementales, dont quatre doivent être membres du Parlement français. Les douze autres membres sont élus par leurs organisations représentatives.

Quelles sont les missions de la CNIL ?

Les attributions de la CNIL étaient initialement décrites dans la loi Informatique et Libertés (1978). La CNIL a pour mission de :

  • Informer les citoyens français du droit à la confidentialité des données
  • Protéger le droit à la confidentialité des données des citoyens français
  • Réguler et conseiller le gouvernement français
  • Proposer et promulguer des certifications et des règles d’entreprise qui créent la conformité
  • Assurer la liaison et participer au Comité européen de la protection des données (CEPD).
  • Inspecter la collecte de données et administrer les pénalités
  • Évaluer les nouvelles technologies susceptibles d’affecter les droits à la confidentialité des données des citoyens français

Quel est le rapport de la CNIL avec l’UE ?

La Charte des droits fondamentaux de l’UE a d’abord formalisé le droit des citoyens de l’UE à la protection de leurs données personnelles. En vertu de la première directive européenne sur la protection des données, les agences de protection des données de chaque État membre ont reçu un ensemble de normes pour guider la rédaction de la législation.

Cependant, ces normes communes ont récemment été remplacées par le cadre général du RGPD. Le RGPD est géré par le CEPD, qui est composé de représentants des autorités nationales de protection des données des États membres de l’UE, y compris la CNIL.

Par conséquent, alors que la législation est votée au niveau européen, l’application et l’orientation sont menées en France par la CNIL.

Ainsi, la CNIL est chargée de faire respecter trois lois :

  1. Loi Informatique et Libertés
  2. Le RGPD
  3. Directive ePrivacy

Cette dernière loi a été promulguée en 2002 pour légiférer sur la confidentialité des communications et les règles relatives au suivi et à la surveillance.

En cas de violation des lois ci-dessus, la CNIL a le pouvoir d’infliger des amendes. En cas de violation du RGPD, les organisations peuvent se voir infliger une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé.

Qui est assujetti à la CNIL ?

Toute personne familiarisée avec le RGPD sait que toute organisation qui propose ses biens et services (payants ou gratuits) aux citoyens de l’UE ou qui surveille l’activité en ligne des citoyens de l’UE est soumise au règlement. Cela signifie que toute organisation qui collecte, utilise ou divulgue des données de citoyens de l’UE doit le faire conformément au RGPD.

Cela n’inclut pas les sites web qui ne s’adressent pas aux citoyens de l’UE, mais qui sont accessibles aux citoyens de l’UE : par exemple, un restaurant local à Londres.

Cependant, la France possède également de nombreux territoires d’outre-mer, qui sont considérés comme faisant partie intégrante de l’État français. Par conséquent, toute entreprise qui entre dans les deux catégories suivantes est tenue de se conformer à la CNIL :

  1. Entreprises basées en France ou dans les DOM-TOM
  2. Entreprises collectant ou traitant des données personnelles de citoyens français (en métropole ou dans les territoires d’outre-mer)

Quelles sont les conséquences d’une non-conformité à la CNIL ?

La conséquence la plus évidente de la non-conformité est une amende. La CNIL a notamment infligé une amende à Google dans une affaire de 2016 (voir ci-dessous).

En règle générale, la CNIL inflige une amende soit :

  1. À la suite d’une plainte ou d’un signalement d’infraction
  2. À la suite d’une enquête menée par la CNIL

Quoi qu’il en soit, le président de la CNIL peut désigner un rapporteur parmi les commissaires de la CNIL. L’organisation incriminée est informée et reçoit la documentation pertinente. Ensuite, la commission restreinte – composée de cinq commissaires de la CNIL et d’un président – examine le dossier.

Si elle est reconnue coupable, l’organisation est contrainte de payer une amende telle que décrite dans le RGPD.

Cas notables de la CNIL

À l’instar de l’AEPD espagnole, le cas le plus notable de la CNIL concerne Google et le concept de « droit à l’oubli ». La CNIL a fait valoir que Google devait respecter les décisions françaises dans le monde entier sur le droit à l’oubli. Google a toutefois fait valoir que cela pourrait conduire à des abus dans des États « moins ouverts et démocratiques ».

Auparavant, alors que les citoyens français pouvaient voir leurs résultats de recherche supprimés dans la version européenne de Google, ils apparaissaient toujours dans le monde entier. La CNIL a ordonné à Google d’adopter la même politique pour tous les résultats mondiaux. Le géant de la technologie a été condamné à une amende de 100 000 € pour non-conformité.

Pourtant, Google a fait appel de la décision, déclarant que :

« Si la loi française s’applique à l’échelle mondiale, combien de temps faudra-t-il avant que d’autres pays – peut-être moins ouverts et moins démocratiques – commencent à exiger que leurs lois régissant l’information aient également une portée mondiale ? »

En effet, des critiques similaires ont été formulées concernant les « effets extraterritoriaux » du RGPD de l’UE.

Conclusion

Le RGPD restant la législation la plus stricte au monde en matière de protection des données, il est essentiel de comprendre le pouvoir d’application des États membres de l’UE. Depuis quarante ans, la CNIL est chargée de défendre le droit à la protection des données des citoyens français dans le monde.

Pour plus d’informations sur leurs responsabilités et leurs activités, veuillez consulter le site de la CNIL.

Sources:

https://www.cnil.fr/en/home
https://en.wikipedia.org/wiki/Commission_nationale_de_l%27informatique_et_des_libert%C3%A9S
https://www.bbc.co.uk/news/technology-36332150
https://edps.europa.eu/data-protection/our-work/subjects/eprivacy-directive_en

Sales & Support