Présentation de la Commission Nationale de l’Informatique et des Libertés (CNIL)
La Commission Nationale de l’Informatique et des Libertés (CNIL) est une autorité administrative indépendante française.
« Elle est chargée de veiller à ce que l’informatique
soit au service du citoyen et qu’elle ne porte atteinte ni à
l’identité humaine, ni aux droits de l’homme, ni à la vie privée,
ni aux libertés individuelles ou publiques.
Elle a pour vocation de protéger les données personnelles,
d’accompagner l’innovation et de préserver les libertés
individuelles ».
QUELLES SONT LES MISSIONS DE LA CNIL ?
Elle exerce ses missions conformément à l’article 11 de la loi « informatique et libertés » du 6 janvier 1978 modifiée la loi du 6 août 2004.
Ses missions sont les suivantes :
- Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations.
- Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi.
- À la demande d’organisations professionnelles ou d’institutions regroupant principalement des responsables de traitements, elle émet un avis, une appréciation ou un label.
Elle se tient informée de l’évolution des technologies de l’information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l’exercice des droits et libertés.
QUELS SONT LES POUVOIRS DE LA CNIL ?
La CNIL dispose d’un pouvoir de contrôle du respect des formalités préalables (contrôle a priori) et d’un pouvoir d’investigation et de sanctions (contrôle a posteriori).
LE CONTRÔLE A PRIORI : LE CONTRÔLE DU RESPECT DES
FORMALITÉS PRÉALABLES
(LA DÉCLARATION ET L’AUTORISATION)
- Avant-propos
La loi « informatique et libertés » impose que tout
traitement de données personnelles fasse l’objet de formalités
préalables sous peine de sanctions pénales
(5 ans d’emprisonnement, 300 000 euros
d’amende, article 226-16 du code pénal).
En plus des obligations d’information, de sécurité et des conditions générales de mise en œuvre du traitement, existe donc une formalité déclarative pouvant aller jusqu’à une demande d’autorisation.
La loi de 1978, dans sa rédaction antérieure à la loi du 6 août
2004, soumettait à formalités, sans distinction, tout projet de
traitement automatisé de données en se fondant essentiellement sur
un critère organique, à savoir la nature publique ou privée du
responsable du traitement.
Le résultat étant que les traitements relevant du secteur public
étaient soumis à une autorisation pour leur mise en œuvre alors que
ceux du secteur privé n’étaient astreints qu’à une simple
déclaration.
Le critère fondé sur le caractère sensible des données ne venant
que compléter ce premier.
Depuis sa modification, le critère lié à la nature
privée ou publique n’est plus et à laisser place au caractère
sensible des données.
Désormais, la loi cible donc les traitements à risques. Plus il y a
de risques, plus les formalités sont contraignantes.
- LA DÉCLARATION
(Article 23 et 24 de la loi de 1978)
La déclaration consiste
Il existe en réalité 5 types de déclarations :
- déclarations classique ;
- déclaration de conformité à une norme simplifiée ;
- déclaration de suppression ;
- déclaration de modification ;
- absence de déclaration c’est-à-dire aucune déclaration nécessaire.
Pour une meilleure compréhension, nous ne ferons pas de distinction et parlerons de déclaration unique à la CNIL.
Depuis la loi de 1978 modifiée par la loi du 6 août
2004, la déclaration est devenue le régime de droit commun
pour la grande majorité des traitements, indifféremment de la
nature privée ou publique de leur responsable.
A noter, que de nombreuses possibilités d’exonérations et
d’allègements des formalités sont prévues.
- LA DEMANDE D’AUTORISATION
(Articles 25 à 29 de la loi de 1978)
Certains traitements nécessitent pourtant l’autorisation
préalable de la CNIL (Articles 25, 54 et 64 de la loi
de 1978).
Il s’agit des fichiers sensibles ou à
risques pour lesquels sont prévus des formalités particulières
d’autorisation et non plus de simple déclaration.
Nous retrouvons donc le nouveau critère établi par la loi
« informatique et liberté » modifiée.
Cette autorisation peut être exigée dans 3 cas :
1er cas : autorisation exigée en raison des données
enregistrées dans le fichier.
Il peut s’agir de
données sensibles (raciales, ethniques, opinions philosophiques,
politiques, syndicales, religieuses, vie sexuelle ou santé des
personnes) ; de données biométriques (empreintes digitales,
iris de l’œil…) ; de données génétiques (ADN) ; de
données concernant des infractions, condamnations ; de données
particulières (N° de sécurité sociale, difficultés sociales de
personnes…).
2ème cas :autorisation exigée en raison des
finalités spécifiques poursuivies par le fichier.
Il
peut s’agir de traitement nécessaire à la sauvegarde de la vie
humaine (fichiers d’association humanitaire…) ; de traitement
portant sur des données à caractère personnel rendues publiques par
la personne concernée (homme politique …) ; de traitement
statistiques de l’INSEE ou d’un service statistique ministériel ;
de traitement susceptible d’exclure du bénéfice d’un droit, d’une
prestation ou d’un contrat une personne ou de traitement de
recherche médicale ou de pratiques de soin.
3ème cas : autorisation exigée en raison du
transfert de données hors de l’Union Européenne.
Si le
traitement comporte des transferts vers un organisme basé dans un
pays n’appartenant pas à l’union européenne et n’assurant pas un
niveau de protection suffisant, ce transfert de données ne peut
avoir lieu qu’après autorisation de la CNIL.
LE CONTRÔLE A POSTERIORI : DU POUVOIR D’INVESTIGATION AU POUVOIR DE SANCTIONS
- LE POUVOIR D’INVESTIGATION
La CNIL a le pouvoir d’effectuer des contrôles auprès de l’ensemble des responsables de traitement.
Ces pouvoirs d’investigation d’accès aux données ont été
renforcés par la loi du 6 août 2004.
Ils lui permettent de vérifier comment est appliquée la loi
« informatique et liberté » en pratique.
Des résultats de ces investigations émergent de nouveaux enjeux en
matière de protection des données à caractère personnel et des
modifications textuelles éventuelles.
Il s’agit de vérifier la mise en œuvre concrète de la loi et d’en
tirer les conséquences adéquates.
Pour effectuer ces contrôles la CNIL peut accéder à tous les locaux professionnels, demander la communication de tout document nécessaire et d’en faire une copie, recueillir tout renseignement utile et même accéder aux programmes informatiques et aux données.
A l’issue de ces contrôles d’investigation ou de plaintes, la CNIL dispose d’un pouvoir de sanction à l’encontre des responsables de traitement qui ne respecterait pas les règles en la matière.
- LE POUVOIR DE SANCTION
Avant la modification de la loi de 1978 par la loi de 2004, la CNIL, en cas de constat d’un manquement à la loi, pouvait délivrer des sanctions pénales prévues par les articles 226-16 à 226-24 du code pénal et une sanction administrative (un avertissement).
Désormais, elle dispose d’un panel plus large puisqu’en plus de ces sanctions, elle a la possibilité de prononcer une sanction financière (pouvant aller jusqu’à 150 000 Euros et doublées en cas de récidive) ; une injonction de cesser le traitement (pour les traitements relevant du régime déclaratif) ou un retrait de l’autorisation accordée (pour les traitements soumis à autorisation).
Ces mesures coercitives ne peuvent être prononcées qu’à l’issue d’une mise en demeure infructueuse et d’une procédure contradictoire.
En cas d’urgence et de la violation des droits et des libertés résultant de la mise en œuvre d’un traitement, elle peut également prononcer l’interruption temporaire du traitement ou le verrouillage des données le composant.
En cas d’atteinte grave et immédiate aux droits et libertés, elle peut demander en référé au juge d’ordonner toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés.