Qu’est ce que la CNIL ?

La CNIL

Présentation de la Commission Nationale de l’Informatique et des Libertés (CNIL)

La Commission Nationale de l’Informatique et des Libertés (CNIL) est une autorité administrative indépendante française.

« Elle est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
Elle a pour vocation de protéger les données personnelles, d’accompagner l’innovation et de préserver les libertés individuelles »
.

QUELLES SONT LES MISSIONS DE LA CNIL ?

Elle exerce ses missions conformément à l’article 11 de la loi « informatique et libertés » du 6 janvier 1978 modifiée la loi du 6 août 2004.

Ses missions sont les suivantes :

  •  Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations.
  • Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi.
  • À la demande d’organisations professionnelles ou d’institutions regroupant principalement des responsables de traitements,  elle émet un avis, une appréciation ou un label.

Elle se tient informée de l’évolution des technologies de l’information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l’exercice des droits et libertés.

QUELS SONT LES POUVOIRS DE LA CNIL ?

La CNIL dispose d’un pouvoir de contrôle du respect des formalités préalables (contrôle a priori) et d’un pouvoir d’investigation et de sanctions (contrôle a posteriori).

LE CONTRÔLE A PRIORI : LE CONTRÔLE DU RESPECT DES FORMALITÉS PRÉALABLES 
(LA DÉCLARATION ET L’AUTORISATION)

  • Avant-propos

La loi « informatique et libertés » impose que tout traitement de données personnelles fasse l’objet de formalités préalables sous peine de sanctions pénales
(5 ans d’emprisonnement, 300 000 euros d’amende, article 226-16 du code pénal).

En plus des obligations d’information, de sécurité et des conditions générales de mise en œuvre du traitement, existe donc une formalité déclarative pouvant aller jusqu’à une demande d’autorisation.

La loi de 1978, dans sa rédaction antérieure à la loi du 6 août 2004, soumettait à formalités, sans distinction, tout projet de traitement automatisé de données en se fondant essentiellement sur un critère organique, à savoir la nature publique ou privée du responsable du traitement.
Le résultat étant que les traitements relevant du secteur public étaient soumis à une autorisation pour leur mise en œuvre alors que ceux du secteur privé n’étaient astreints qu’à une simple déclaration.
Le critère fondé sur le caractère sensible des données ne venant que compléter ce premier.

Depuis sa modification, le

critère lié à la nature privée ou publique n’est plus et à laisser place au caractère sensible des données.
Désormais, la loi cible donc les traitements à risques. Plus il y a de risques, plus les formalités sont contraignantes.

 

  • LA DÉCLARATION 
    (Article 23 et 24 de la loi de 1978)

La déclaration consiste en un engagement que le traitement satisfait aux exigences de la loi.

Il existe en réalité 5 types de déclarations :

  • déclarations classique ;
  • déclaration de conformité à une norme simplifiée ;
  •  déclaration de suppression ;
  •  déclaration de modification ;
  •  absence de déclaration c’est-à-dire aucune déclaration nécessaire.

Pour une meilleure compréhension, nous ne ferons pas de distinction et parlerons de déclaration unique à la CNIL.

Depuis la loi de 1978 modifiée par la loi du 6 août 2004, la déclaration est devenue le régime de droit commun pour la grande majorité des traitements, indifféremment de la nature privée ou publique de leur responsable.
A noter, que de nombreuses possibilités d’exonérations et d’allègements des formalités sont prévues.

  • LA DEMANDE D’AUTORISATION
    (Articles 25 à 29 de la loi de 1978)

Certains traitements nécessitent pourtant l’autorisation préalable de la CNIL (Articles 25, 54 et 64 de la loi de 1978).
Il s’agit des fichiers sensibles ou à risques pour lesquels sont prévus des formalités particulières d’autorisation et non plus de simple déclaration.
Nous retrouvons donc le nouveau critère établi par la loi « informatique et liberté » modifiée.

Cette autorisation peut être exigée dans 3 cas :

1er cas : autorisation exigée en raison des données enregistrées dans le fichier.
Il peut s’agir de données sensibles (raciales, ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes) ; de données biométriques (empreintes digitales, iris de l’œil…) ; de données génétiques (ADN) ; de données concernant des infractions, condamnations ; de données particulières (N° de sécurité sociale, difficultés sociales de personnes…).

2ème cas :autorisation exigée en raison des finalités spécifiques poursuivies par le fichier.
Il peut s’agir de traitement nécessaire à la sauvegarde de la vie humaine (fichiers d’association humanitaire…) ; de traitement portant sur des données à caractère personnel rendues publiques par la personne concernée (homme politique …) ; de traitement statistiques de l’INSEE ou d’un service statistique ministériel ; de traitement susceptible d’exclure du bénéfice d’un droit, d’une prestation ou d’un contrat une personne ou de traitement de recherche médicale ou de pratiques de soin.

3ème cas : autorisation exigée en raison du transfert de données hors de l’Union Européenne.
Si le traitement comporte des transferts vers un organisme basé dans un pays n’appartenant pas à l’union européenne et n’assurant pas un niveau de protection suffisant, ce transfert de données ne peut avoir lieu qu’après autorisation de la CNIL.


LE CONTRÔLE A POSTERIORI : DU POUVOIR D’INVESTIGATION AU POUVOIR DE SANCTIONS

  • LE POUVOIR D’INVESTIGATION

La CNIL a le pouvoir d’effectuer des contrôles auprès de l’ensemble des responsables de traitement.

Ces pouvoirs d’investigation d’accès aux données ont été renforcés par la loi du 6 août 2004.
Ils lui permettent de vérifier comment est appliquée la loi « informatique et liberté » en pratique.
Des résultats de ces investigations émergent de nouveaux enjeux en matière de protection des données à caractère personnel et des modifications textuelles éventuelles.
Il s’agit de vérifier la mise en œuvre concrète de la loi et d’en tirer les conséquences adéquates.

Pour effectuer ces contrôles la CNIL peut accéder à tous les locaux professionnels, demander la communication de tout document nécessaire et d’en faire une copie, recueillir tout renseignement utile et même accéder aux programmes informatiques et aux données.

A l’issue de ces contrôles d’investigation ou de plaintes, la CNIL dispose d’un pouvoir de sanction à l’encontre des responsables de traitement qui ne respecterait pas les règles en la matière.

  • LE POUVOIR DE SANCTION

Avant la modification de la loi de 1978 par la loi de 2004, la CNIL, en cas de constat d’un manquement à la loi, pouvait délivrer des sanctions pénales prévues par les articles 226-16 à 226-24 du code pénal et une sanction administrative (un avertissement).

Désormais, elle dispose d’un panel plus large puisqu’en plus de ces sanctions, elle a la possibilité de prononcer une sanction financière (pouvant aller jusqu’à 150 000 Euros et doublées en cas de récidive) ; une injonction de cesser le traitement (pour les traitements relevant du régime déclaratif) ou un retrait de l’autorisation accordée (pour les traitements soumis à autorisation).

Ces mesures coercitives ne peuvent être prononcées qu’à l’issue d’une mise en demeure infructueuse et d’une procédure contradictoire.

En cas d’urgence et de la violation des droits et des libertés résultant de la mise en œuvre d’un traitement, elle peut également prononcer l’interruption temporaire du traitement ou le verrouillage des données le composant.

En cas d’atteinte grave et immédiate aux droits et libertés, elle peut demander en référé au juge d’ordonner toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés.

LIRE LA SUITE
Article suivant
La relation CNIL – Préventel

À voir également…