Vous vous interrogez à propos de la CNIL ? Cet article a pour objectif de vous éclairer sur son rôle, ses missions et les différents contextes dans lesquels elle intervient.
Définition de la CNIL
Le sigle CNIL signifie Commission Nationale de l’Informatique et des Libertés (CNIL). Son rôle est de veiller à la protection des données personnelles des individus en France.
La CNIL a été créée par la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, aussi appelée “Loi informatique et Libertés”. Il s’agit de la première législation en France en matière de protection des données informatiques, avant l’avènement de la réglementation européenne à ce sujet.
La Loi Informatique et Liberté a depuis été modifiée à de nombreuses reprises notamment lors de l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en 2018 à laquelle la loi renvoie expressément.
Notons que la CNIL est une autorité administrative indépendante (AAI) ce qui signifie qu’elle ne reçoit aucune instruction de la part de l’Etat, elle est parfaitement libre dans ses prises de position et décisions.
Elle est composée de 18 membres issues de l’Assemblée nationale, du Sénat, du Président de la Commission d’accès aux documents administratifs (CADA), de membre des hautes juridictions (Conseil d’Etat, Cour de cassation, Cour des comptes) et de membre désignés par ces institutions.
Quel est le rôle de la CNIL ?
La CNIL est chargée de veiller à la protection des données personnelles contenues dans les traitements informatiques ou papiers, opérés par des organismes publics ou privés.
💡Pour rappel, les données à caractère personnel sont toutes les informations se rapportant à une personne physique identifiée ou identifiable directement ou indirectement (article 4 RGPD). Sont donc exclues de cette définition toutes les données se rapportant à une personne morale (entreprise, organisme privé ou public, État etc).
Rappelons encore qu’un traitement est toute opération sur une donnée à caractère personnel (collecte, enregistrement, utilisation, transmission, destruction)(article 4 RGPD).
À ce titre, elle a pour missions :
- Mission n°1 - Informer les professionnels et les particuliers concernant la protection des données personnelles.
Par exemple, en recueillant les plaintes des particuliers qui ne parviennent pas à exercer leurs droits à l’effacement de leurs données personnelles auprès d’une entreprise ou d’un organisme.
Par exemple en publiant beaucoup de contenus à destination des professionnels pour qu’ils puissent se mettre conformité avec le RGPD et la Loi Informatique et Libertés.
- Mission n°2 - Accompagner les professionnels dans leur conformité et conseiller le Gouvernement dans la rédaction de nouveaux textes sur le sujet.
Par exemple, la CNIL aide les entreprises dans la désignation de leur délégué à la protection des données (DPO) qui est la personne, interne à l’entreprise, chargée d’accompagner l’organisme dans la protection des données personnelles.
La CNIL publie des avis sur les projets de loi ou de décret du Gouvernement.
- Mission n°3 - Anticiper. La CNIL intervient sur les sujets émergents afin de contribuer au développement des nouvelles technologies en conformité avec la protection des données personnelles.
Par exemple, la CNIL anime des réflexions sur les évolutions des technologies numériques.
- Mission n°4 - Contrôler et sanctionner.
La CNIL intervient pour procéder à des contrôles sur place (et sur pièces) auprès des responsables de traitement pour vérifier leurs mises en conformité. Son contrôle est décidé à son initiative ou à la suite de plusieurs plaintes.
À l’issue de ce contrôle, le responsable de traitement peut faire l’objet d’une sanction si des manquements sont constatés.
L’objectif premier de la CNIL est de sensibiliser les professionnels aux sujets de la protection des données et les accompagner. Ce n’est qu’en dernier recours que la CNIL se positionnera en tant qu’autorité de contrôle et de sanction.
Quels sont les pouvoirs de la CNIL ?
Pouvoir de contrôle
Comme évoqué ci-dessus, CNIL procède à des contrôles auprès des responsables de traitement c’est-à-dire tout organisme traitant des données personnelles en France (entreprise, administration, association etc.) et auprès des sous-traitants de ces acteurs (prestataire de services, logiciel, SaaS, hébergeurs etc.).
→ Donc peuvent être ciblés par un contrôle CNIL toutes entreprises, associations, organisme public ou privé exerçant leurs activités sur le territoire français.
💡 Pour rappel, le responsable de traitement est la personne qui détermine la finalité et les moyens du traitement de la donnée personnelle (article 4 RGPD). Le sous-traitant est la personne ou l’organisme (souvent un prestataire de services) qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement (article 4 RGPD).
Ces contrôles peuvent s’effectuer de sa propre initiative ou à la suite de réclamations ou de signalements.
Par exemple, il peut arriver qu’une personne signale à la CNIL une entreprise qui continue de lui envoyer des emails de prospection commerciale malgré sa demande d’être supprimé de la liste des destinataires.
En tout état de cause, le contrôle a pour but de vérifier la conformité des traitements des données personnelles au RGPD et à la Loi Informatique et Liberté.
Le contrôle peut s’effectuer sous plusieurs formes :
- Sur place : investigation dans les locaux de l’organisme par un délégué de la CNIL.
- Sur pièces : par la réponse à un formulaire accompagné de la documentation de l’entreprise (registre de traitement des données personnelles, registre des sous-traitants, contrats des sous-traitants etc.).
- Sur audition : audition du responsable de traitement dans les locaux de la CNIL pour répondre à des questions sur sa conformité.
- En ligne : des vérifications sont effectuées par les agents de la CNIL directement en ligne. Par exemple en ce qui concerne la mise en place de la bannière de cookies soumis au consentement des utilisateurs 🍪.
Le contrôle peut comprendre une ou plusieurs de ces formes en fonction du contexte.
Concrètement, la CNIL peut procéder à des copies de fichiers, accéder aux systèmes informatiques, demander la communication de document, s’entretenir avec les employés, procéder à des tests etc.
☝🏻 Le responsable de traitement doit être informé par la CNIL dès que celle-ci a décidé de procéder à un contrôle de cet organisme. De plus, avant chaque type de contrôle, le responsable de traitement est informé au minimum 24 heures à l’avance.
⚠️ Si un responsable de traitement s’oppose à un contrôle par la CNIL (refus d’obtempérer lors du contrôle, refus de communication de pièces ou communication de fausses informations), cette opposition est punie d’un an de prison et 15 000 euros d’amende (article 226-22-2 code pénal).
Pouvoir de sanction
À la suite du contrôle de la CNIL, plusieurs options sont possibles :
- Option n°1 : aucunement manquement n’est constaté par la CNIL, la procédure est clôturée et vous êtes conformes à la réglementation ✅.
- Option n°2 : la procédure est clôturée avec un courrier contenant des observations ✅. C’est le cas lorsque de petits manquements sont constatés (par exemple, la CNIL peut suggérer une meilleure rédaction de la politique de confidentialité ou enjoindre de modifier la durée de conservation de certaines données personnelles).
- Option n°3 : des manquements importants sont constatés et il existe un risque d’être sanctionné ❌.
Dans cette dernière option, la CNIL prévoit alors une sanction proportionnelle à la gravité des manquements constatés :
- Mise en demeure : l’organisme doit se conformer au RGPD dans un délai imparti et mettre en place les mesures imposées par la CNIL. La mise en demeure peut être complétée d’une astreinte. Il s’agit d’une somme à payer par jour de retard pour contraindre l’organisme à agir rapidement (par exemple une somme de 100 euros à payer par jour de retard).
Par exemple, en février 2020, la CNIL a mis en demeure un gestionnaire de site web de se conformer au RGPD en raison de son utilisation de Google Analytics (qui est son sous-traitant et qui ne respecte pas la réglementation européenne de protection des données). L’organisme s’est vu enjoindre l’obligation de cesser d’utiliser cet outil dans le délai d’un mois (avec une astreinte en cas de dépassement de ce délai). Pour plus d’information sur cette décision, on l’a décrypté par ici.
- Sanction pécuniaire : en cas de grave manquement à la réglementation ou à l’absence de respect de la mise en demeure, la CNIL peut prononcer des sanctions pécuniaires sous la forme d’une amende administrative.
Le montant de la sanction peut aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial de la société. Pour les manquements les plus graves, ce montant peut aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.
Surtout, ces sanctions peuvent être rendues publiques ce qui peut constituer une double peine sur le plan réputationnel.
Par exemple, le 28 décembre 2021, la CNIL a sanctionné la société SLIMPAY d’une amende de 180.000 euros pour avoir insuffisamment protégé les données personnelles des utilisateurs et ne pas les avoir informés d’une violation de données.
💡 Pour rappel, une violation des données à caractère personnel correspond à une violation de leur sécurité entraînant, de manière intentionnelle (par exemple : piratage) ou accidentelle (bug du système), la destruction, la perte, la divulgation ou l’accès non autorisé. Dans une telle situation, les articles 33 RGPD et 34 RGPD imposent aux responsables de traitement d’informer la CNIL et les personnes concernées par la violation de leurs données personnelles.
Pour prendre un autre exemple cette foi-ci concernant un acteur public, la RATP a été sanctionnée par la CNIL le 29 octobre 2021 d’une amende de 400.000 euros à la suite de plainte de l’organisation syndicale concernant l’utilisation d’un fichier répertoriant le nombre de jour de grève exercé par ses agents dans les procédures d’avancement de carrière.
Enfin, la CNIL a infligé une sanction historique à Google le 31 décembre 2021 s’élevant à 150 millions euros car il n’était pas permis aux utilisateurs de Google et de Youtube de refuser les cookies aussi facilement que de les accepter.
Conclusion
La CNIL est l’acteur de référence en matière de protection des données personnelles. Elle accompagne les professionnels dans leur mise en conformité et les particuliers dans l’exercice de leurs droits.
Elle ne se place en autorité de sanction que dans les hypothèses de manquement les plus graves. Sa démarche est d’avant tout suggérer aux acteurs les bonnes pratiques et les actions à mener pour se rapprocher de la conformité.
Des interrogations subsistent sur votre conformité RGPD ? Le logiciel RGPD Leto vous accompagne à chaque étape. N'hésitez pas à nous contacter pour échanger !