Commission nationale de l'informatique et des libertés (France)

La loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 constitue le fondement de la protection des données à caractère personnel dans les traitements informatiques mis en œuvre sur le territoire français. Elle a été réformée par la loi du 6 août 2004, qui transposait, de façon libre, la directive européenne du 24 octobre 1995 sur la protection des données à caractère personnel (dir. 95/46/CE). La loi de 2004 allège de façon substantielle les obligations déclaratives des détenteurs de fichiers, accroît les pouvoirs de la CNIL en ce qui concerne les contrôles sur place et les sanctions, et renforce les droits des personnes[2]. Elle a également créé les « Correspondants Informatique et Libertés » (CIL). Il s’agit de professionnels, qui au sein de leur organisme (entreprise, administration ou collectivité locale), veillent au respect de la loi Informatique et Libertés.

Le 25 janvier 2012, la Commission européenne a adopté un projet de règlement européen et de directive réformant le cadre de la protection des données. Le règlement devrait entrer en vigueur dans les deux ans à compter de sa publication après adoption par le Conseil et le Parlement européens dans chaque pays membre de l'Union, c'est-à-dire en pratique sans doute pas avant l'année 2016. En mars 2012, le Groupe de Travail G29 a adopté un avis sur les propositions de réforme présentées par la Commission Européenne. Il se félicite du renforcement des droits des individus, des pouvoirs des autorités de contrôle et des responsabilités des responsables de traitements et sous-traitants. Toutefois, en dépit de ces avancées positives, le G29, comme la CNIL, estiment que le projet de règlement nécessite des éclaircissements et des améliorations [3].

Le règlement général sur la protection des données (RGPD) ainsi que la directive relative à la protection des données à caractère personnel à des fins répressives ont été adoptés le 14 avril 2016 par le Parlement européen[4]. Ses dispositions sont directement applicables dans l'ensemble des 28 États membres de l'Union Européenne depuis le 25 mai 2018[4].

En 2018, plus de 11 000 plaintes ont été déposées auprès de la CNIL, soit une augmentation de 32% sur la période de 7 mois où le RGPD était en vigueur[5].

La loi « Informatique et Libertés » a été mise en conformité et cohérence avec la réglementation européenne successivement par la loi du 20 juin 2018, l'ordonnance du 12 décembre 2018, et plusieurs décrets[6].

La commission se compose d’un collège pluraliste de 18 personnalités nommées pour cinq ans renouvelable une fois :

• quatre parlementaires (deux députés et deux sénateurs) ;
• deux membres du Conseil économique, social et environnemental ;
• six représentants des hautes juridictions (deux conseillers d’État, deux conseillers à la Cour de cassation, deux conseillers maîtres à la Cour des comptes) ;
• cinq personnalités qualifiées : trois désignées par décret, un par le Président de l’Assemblée nationale et un par le Président du Sénat ;
• un membre de la Commission d'accès aux documents administratifs.

12 des 18 membres sont élus ou désignés par les assemblées ou les juridictions auxquelles ils appartiennent.

La CNIL élit son Président parmi ses membres. Depuis le 1^er septembre 2012 et l’adoption des lois organiques et ordinaires relatives au Défenseur des droits, la fonction de Président de la CNIL est devenue incompatible avec toute activité professionnelle, tout mandat électif national, tout autre emploi public et toute détention, directe ou indirecte, d'intérêts dans une entreprise du secteur des communications électroniques ou de l'informatique. La fonction de Président est désormais un emploi à plein temps.^{[réf. souhaitée]}

La CNIL ne reçoit d’instruction d’aucune autorité. Les ministres, autorités publiques, dirigeants d’entreprises, publiques ou privées, ne peuvent s’opposer à son action.

Les décisions de la CNIL, qui prennent le nom de délibération, peuvent faire l’objet de recours devant le Conseil d'État.

Le budget de la CNIL relève du budget de l’État. Le Président de la CNIL recrute librement ses collaborateurs, qui ont le statut d'agent contractuel. Il est inscrit au programme budgétaire 08 "Protection des droits et libertés" rattaché aux Services du Premier ministre.

Le budget de la CNIL était de 17 161 536 €[7]. La CNIL comptait 198 emplois à la fin de l'année 2017. Les dépenses de personnel représentaient 14,1 millions d’euros[7].

Les membres de la CNIL se réunissent en séances plénières quasiment une fois par semaine sur un ordre du jour établi à l’initiative de son Président. Une partie importante de ces séances est consacrée à l’examen de projets de loi et de décrets soumis à la CNIL pour avis par le Gouvernement. La CNIL autorise également la mise en œuvre de fichiers les plus sensibles, parmi lesquels ceux faisant appel à la biométrie.

Depuis le 25 mai 2018, la formation restreinte peut prononcer des sanctions[12] à l’égard d'organismes qui ne respectent pas le Règlement général sur la protection des données (RGPD) de l'Union européenne jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires mondial.

Le 31 mars 2011, les lois organiques et ordinaires relative au Défenseur des droits ont modifié l’organisation de la formation restreinte. L’article 13 de la loi du 6 janvier 1978 modifiée en août 2004 a ainsi été modifié pour prévoir que le Président et les deux Vice-Présidents de la Commission (lesquels composent son bureau) ne sont plus éligibles à la formation restreinte de la CNIL. Celle-ci est composée d’un président distinct de celui de la formation plénière et de cinq autres membres élus par les 18 membres du Collège. Cette réforme donne aussi une plus grande liberté de publicité des décisions de la CNIL : le bureau peut désormais, sur demande du Président, décider de la publicité des mises en demeure, et la formation restreinte dispose, elle, d’une plus grande liberté pour la publication des sanctions.

Seuls les dossiers nécessitant une décision ou une prise de position du collège des commissaires sont évoqués lors des séances plénières. En dehors des séances, les commissaires sont chargés de suivre plus particulièrement les secteurs qui leur sont attribués par le Président en liaison avec les services. Les commissaires peuvent être chargés de représenter la CNIL dans diverses réunions ou instances, et participer à des missions de contrôle. Les commissaires ayant la qualité de magistrats ou d'anciens magistrats sont seuls habilités à avoir accès aux fichiers de police pour le compte des citoyens concernés (droit d'accès indirect).

La CNIL, dont les moyens ont plus que doublé depuis l'an 2000, s'appuie sur un effectif de 174 agents (au 20 juillet 2013). Pour remplir ses missions, le Président de la CNIL, assisté d'un secrétaire général, s’appuie sur différents services organisés au sein de quatre directions : une direction des affaires juridiques, internationales et de l’expertise, une direction des relations avec les usagers et du contrôle, une direction des ressources humaines, financières, informatiques et logistiques, et une direction des études, de l’innovation et de la prospective, créée en 2011.

Dans l’exercice de ses missions, la CNIL répond aux demandes de conseils qui lui sont adressées par des responsables de traitements, instruit les plaintes dont elle est saisie par les citoyens, organise des contrôles sur place. Elle procède également aux vérifications nécessaires dans le cadre du droit d’accès indirect aux fichiers intéressant la sécurité publique et la sûreté de l’État, et délivre à toute personne qui en fait la demande un extrait de la liste des traitements qui lui sont déclarés (« fichier des fichiers »).

Au-delà de ses activités de recensement, de contrôle des fichiers, des réponses faites aux demandes de conseil et de l’instruction des plaintes, la CNIL consacre une partie de son activité à l’information des personnes sur leurs droits et sur leurs obligations. Directement sollicitée par de nombreux organismes ou institutions pour conduire des actions de formation et de sensibilisation à la loi “informatique et libertés”, la CNIL participe à des colloques, des salons ou des conférences pour informer. La CNIL a déjà organisé 21 rencontres régionales Il s’agit d’aller périodiquement à la rencontre de l’ensemble des acteurs publics ou privés concernés par la protection des données personnelles, dans une région à l’instar des entreprises et des administrations déconcentrées de l’État. Pour donner plus d’écho à ses décisions ou à ses actions, la CNIL dispose de différents outils de communication : site internet, lettre mensuelle électronique adressée à 36 661 abonnés, rapport annuel, communiqués de presse ainsi qu’une collection de guides pratiques[13], la plupart étant édités uniquement en français, sauf pour les guides sur la sécurité[14] et la gestion des risques[15]^,[16] qui sont édités en français et en anglais.

La CNIL est investie d’une mission générale d’information des personnes sur leurs droits et leurs obligations. Elle aide les citoyens dans l'exercice de leurs droits. Elle établit chaque année un rapport public rendant compte de l'exécution de sa mission.

Sa feuille de route stratégique 2019-2021[17] prévoit notamment un renforcement de sa visibilité et un large relais de ses positions, auprès du public, de têtes de réseaux (AFCDP[18], réseau SupDPO[19], Conseil national des barreaux[20],...) et des délégués.

La CNIL régule et recense les fichiers, autorise les traitements les plus sensibles avant leur mise en place. L'avis de la CNIL doit d’ailleurs être sollicité avant toute transmission au Parlement d'un projet de loi relatif à la protection des données personnelles ; il doit aussi être sollicité par le Gouvernement avant d'autoriser les traitements intéressant la sûreté de l'État, la défense ou la sécurité publique. La CNIL établit des normes simplifiées, afin que les traitements les plus courants fassent l'objet de formalités allégées. Elle peut aussi décider de dispenser de toute déclaration des catégories de traitement sans risque pour les libertés individuelles. Elle agit également par voie de recommandations.

Entre 2004 et 2018, la CNIL avait la possibilité de délivrer des labels à des produits ou à des procédures ayant trait à la protection des personnes à l'égard du traitement des données à caractère personnel. Elle a procédé en 2012 à ses premières délivrances de labels dans les secteurs de la formation et de la procédure d'audit, puis mis fin à son activité de labellisation en déployant des certifications[21], après l'entrée en application du RGPD.

La CNIL doit veiller à ce que les citoyens soient informés des données contenues dans les traitements les concernant et qu'ils puissent y accéder facilement. Elle reçoit et instruit les plaintes des personnes qui rencontrent des difficultés à exercer leurs droits. Elle exerce, pour le compte des citoyens qui le souhaitent, l'accès aux fichiers intéressant la sûreté de l'État, la défense et la sécurité publique, notamment des services de renseignements et de la police judiciaire.

La CNIL vérifie que la loi est respectée en contrôlant les traitements informatiques. Elle peut de sa propre initiative se rendre dans tout local professionnel et vérifier sur place et sur pièce les fichiers. La Commission use de ses pouvoirs d’investigation pour instruire les plaintes et disposer d'une meilleure connaissance de certains fichiers. La CNIL surveille par ailleurs la sécurité des systèmes d'information en s'assurant que toutes les précautions sont prises pour empêcher que les données ne soient déformées ou communiquées à des personnes non autorisées.

Lorsqu'elle constate un manquement à la loi, la CNIL peut, après avoir mis en demeure les intéressés de mettre fin à ce manquement, prononcer diverses sanctions : l’avertissement, les sanctions pécuniaires pouvant atteindre 3 000 000 €, l’injonction de cesser le traitement. Enfin, le Président peut demander en référé à la juridiction compétente d'ordonner toute mesure de sécurité nécessaire. Il peut saisir également le Procureur de la République des violations de la loi dont il a connaissance.

Le 6 novembre 2009, le Conseil d'État a annulé deux sanctions prononcées en 2006 par la CNIL à l’encontre de sociétés effectuant de la prospection commerciale par téléphone. Ces entreprises ayant exercé un recours contre ces sanctions devant le Conseil d'État, ce dernier a estimé que les contrôles doivent être « préalablement autorisés par un juge », à moins que le responsable de l'entreprise ait été « préalablement informé de son droit de s'opposer » au contrôle[22].

La CNIL doit s'attacher à comprendre et anticiper les développements des technologies de l'information afin d'être en mesure d'apprécier les conséquences qui en résultent pour l'exercice des droits et libertés. Elle propose au Gouvernement les mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques. Pour renforcer sa capacité d'anticipation, elle s'est dotée en 2012 d'un comité de la prospective rassemblant des experts extérieurs. Une direction des études, de l’innovation et de la prospective (DEIP) avait été préalablement mise en place en 2011 pour développer la réflexion prospective au sein de la CNIL.

Toute personne peut s’adresser directement à un organisme pour savoir si elle est fichée ou pas.

Sauf pour les fichiers relevant du droit d'accès indirect, toute personne peut, gratuitement, sur simple demande avoir accès à l’intégralité des informations la concernant sous une forme accessible (les codes doivent être explicités). Elle peut également en obtenir copie moyennant le paiement, le cas échéant, des frais de reproduction.

Toute personne peut demander directement que les informations détenues sur elle soient rectifiées (si elles sont inexactes), complétées ou clarifiées (si elles sont incomplètes ou équivoques), mises à jour (si elles sont périmées) ou effacées (si ces informations ne pouvaient pas être légalement collectées par l’organisme concerné).

Toute personne peut s’opposer à ce qu’il soit fait un usage des informations la concernant à des fins publicitaires ou de prospection commerciale ou que ces informations la concernant soient cédées à des tiers à de telles fins. La personne concernée doit être mise en mesure d’exercer son droit d’opposition à la cession de ses données à des tiers dès leur collecte. L’utilisation d’automates d’appels téléphoniques, de fax ou de messages électroniques à des fins publicitaires est interdite si les personnes n’y ont pas préalablement consenti.

Toute personne peut demander à la CNIL de vérifier les informations la concernant éventuellement enregistrées dans des fichiers intéressant la sûreté de l’État, la défense ou la sécurité publique (droit d’accès indirect). La CNIL mandate l’un de ses membres magistrats (ou anciens magistrats) afin de vérifier la pertinence, l’exactitude et la mise à jour de ces informations et demander leur rectification ou leur suppression. Avec l’accord du responsable du traitement, les informations concernant une personne peuvent lui être communiquées.

• Notifier la mise en œuvre du fichier et ses caractéristiques à la CNIL, sauf cas de dispense prévus par la loi ou par la CNIL.
• Mettre les personnes concernées en mesure d’exercer leurs droits en les en informant.
• Assurer la sécurité des informations afin d'empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés n'y aient accès. La loi prévoit une obligation de mesures techniques et d'organisation, une obligation de moyens, dénuée d'obligation de résultat[23]^,[24]^,[25]^,[26].
• Se soumettre aux contrôles et vérifications sur place de la CNIL et répondre à toute demande de renseignements qu’elle formule dans le cadre de ses missions.

La CNIL en 2017[27] :

• 341 contrôles ; 47 contrôles ont concerné la vidéoprotection ;
• 79 mises en demeure ;
• 14 sanctions ;
• 8 360 plaintes reçues ;
• 4 039 demandes de droit d'accès indirect (fichiers de police et de gendarmerie) ;
• 155 281 appels reçus ;
• 18 802 organismes ont désigné un correspondant informatique et libertés.

La CNIL en 2012[28] :

• 458 contrôles ; 173 contrôles en vidéoprotection ;
• 43 mises en demeure ;
• quatre sanctions ;
• 6 017 plaintes reçues
• 3 682 demandes de droit d'accès indirect (fichiers de police et de gendarmerie)
• 140 000 appels reçus
• 10 709 organismes ont désigné un correspondant informatique et libertés

La CNIL en 2011 :

• 385 contrôles ;
• 65 mises en demeure ;
• 19 sanctions ;
• 5 737 plaintes reçues ;
• 2 099 demandes de droit d'accès indirect (fichiers de police et de gendarmerie) ;
• 32 743 courriers entrants numérisés ;
• 82 243 déclarations ;
• 11 600 appels/mois.

L’Union européenne a adopté le 24 octobre 1995 une directive destinée à harmoniser au sein des États membres la protection assurée à toute personne quel que soit le lieu où sont opérés les traitements de ses données à caractère personnel.

À ce jour, les trente-et-un États membres de l’Espace Économique Européen (Union Européenne plus Islande, Liechtenstein, Norvège) disposent d’une loi « informatique et libertés » et d’une autorité de contrôle indépendante.

L’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci a institué un groupe de travail de ces vingt-sept « CNIL européennes ». C’est le « groupe de l’article 29 » (G29)[30], par référence à l’article de la Directive 95/46/CE qui l’institue.

Il a pour mission de contribuer à l’élaboration des normes européennes en adoptant des recommandations, de rendre des avis sur le niveau de protection dans les pays tiers et de conseiller la Commission européenne sur tout projet ayant une incidence sur les droits et libertés des personnes physiques à l’égard des traitements de données personnelles. Le G29 se réunit à Bruxelles en séance plénière tous les deux mois environ. Environ quinze sous-groupes composés des collaborateurs des « CNIL européennes » se réunissent régulièrement à Bruxelles pour alimenter les réflexions des membres du G29 en séance plénière et rédiger les avis qui leur seront ensuite soumis pour adoption.

Ses avis sont publiés sur son site[31].

À compter de l'entrée en application du Règlement général sur la protection des données en mai 2018, il est remplacé par le Comité européen de la protection des données.

D’autres pays européens non membres de l’Union ont adopté des lois et des garanties similaires à celles reconnues par les États membres, tels que la Macédoine, les îles anglo-normandes, Monaco, Gibraltar et la Suisse.

Au-delà de l’Europe, des pays tels que le Canada, l’Argentine, l’Australie, la Nouvelle-Zélande, la Corée du Sud, la Tunisie, le Maroc, le Burkina Faso, le Sénégal, le Mali, le Cap Vert, le Ghana, le Madagascar, l'Ile Maurice, le Gabon, le Malawi, la Côte d'Ivoire et le Niger se sont également dotés d’une loi et d’une autorité indépendante de contrôle. D’autres États ont fait le choix d’adopter une législation de garanties, quelquefois limitée au seul secteur public ou à certaines activités du secteur privé, sans toujours instituer une autorité indépendante de contrôle dotée de larges pouvoirs ; il revient alors aux juridictions judiciaires de sanctionner la méconnaissance des droits reconnus. Tel est le cas pour les États-Unis, le Japon, le Paraguay, Taïwan, et la Thaïlande.

La Directive européenne du 24 octobre 1995 reconnaît le principe selon lequel les données personnelles ne peuvent être transmises hors de l’Union européenne que si l’entreprise destinataire des données ou le pays de destination offre un niveau de protection « adéquat ». C'est le cas d'Andorre, du Canada, de la Suisse, de l'Argentine, de Guernesey, de Jersey, de l'Uruguay, d'Israël, des îles Féroé et de l'île de Man.

Les échanges avec d’autres pays sont possibles seulement :

• si des Clauses contractuelles types, ou Data Transfer Agreement (DTA), approuvées par la Commission européenne, sont signées entre deux entreprises ou
• si des Règles internes d'entreprises ou Binding Corporate Rules (BCR) sont adoptées au sein d'un groupe ou,
• si dans le cas d'un transfert vers les États-Unis, l'entreprise destinataire a adhéré au Privacy Shield ou,
• si l'une des exceptions prévues par l’article 69 de la loi Informatique et Libertés est invoquée.

La CNIL participe à la conférence mondiale et à la conférence francophone des autorités de protection des données. Elle assure le secrétariat général de l’association des autorités francophones[32].

Monsieur C., 24 ans, mécanicien aéronautique, a souhaité exercer son droit d’accès indirect aux fichiers de police judiciaire, à la suite de la décision de refus de délivrance de son badge aéroportuaire, indispensable à l’exercice de sa profession. Les vérifications effectuées par la CNIL, ont conduit à la suppression de son signalement dans le STIC pour une affaire de « vol simple » dont le délai de conservation, fixé à cinq ans, était expiré.

Monsieur P., 35 ans, a sollicité la délivrance d’une carte professionnelle pour exercer dans la sécurité privée. Il a parallèlement saisi la CNIL d’une demande de droit d’accès indirect aux fichiers de police judiciaire. Au terme des vérifications, deux affaires de nature contraventionnelle ont été supprimées du STIC et les deux restantes ont fait l’objet d’une mise à jour par mention des décisions de classement sans suite pour « carence du plaignant » et « préjudice peu important » dont il avait bénéficié. Monsieur P. qui, malgré ces inscriptions, a pu obtenir sa carte professionnelle, ne devrait, dès lors, pas avoir de difficultés à obtenir son renouvellement à l’avenir car il est désormais inconnu administrativement de ce fichier.

Une personne, fichée à tort, s'était vu écartée d'une candidature pour travailler sur le tarmac de l'aéroport de Roissy-Charles-de-Gaulle. Le temps de corriger les données, l'emploi a été attribué à une autre personne[33].

Monsieur G., 57 ans, commandant de bord depuis plus de vingt ans au sein d’une compagnie aérienne, a été confronté à des difficultés de renouvellement de son badge aéroportuaire. Si ce badge lui a finalement été délivré avec retard, sa validité a été limitée à un an au lieu de trois ans. N’ayant pu obtenir de plus amples explications, Monsieur G. a souhaité exercer son droit d’accès indirect afin de déceler l’origine de ses difficultés. Les vérifications menées par la CNIL ont conduit à la suppression de son enregistrement dans le fichier JUDEX pour une affaire de « travail clandestin, abus de biens sociaux et escroquerie » dans laquelle il n’était pas mis en cause. Monsieur G était juste cité dans la procédure mais ni en tant que mis en cause ni en tant que victime. Lors de l’intégration du compte rendu d’enquêtes dans JUDEX, il y a été intégré à tort comme l’auteur de ces faits, ce qui a été à l’origine de ses difficultés[34].

IQVIA a noué un partenariat avec 14 000 pharmacies françaises, stocke et traite des données de santé de clients de pharmacies en France. La CNIL qui avait donné un accord, lance une enquête et des contrôles[35]^,[36]^,[37].

 : document utilisé comme source pour la rédaction de cet article.

• Loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (texte consolidé).
• Décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, Légifrance, version consolidée au 1^er avril 2012.
• Loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n^o 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (texte d'origine).
• Loi du 7 octobre 2016 pour une République numérique
• 31^e rapport d'activité 2010 de la Commission nationale de l'informatique et des libertés, La Documentation française.
• 30^e rapport d'activité 2009 de la Commission nationale de l'informatique et des libertés, La Documentation française.
• 29^e rapport d'activité 2008 de la Commission nationale de l'informatique et des libertés, La Documentation française.
• Guillaume Desgens-Pasanau, La Protection des données à caractère personnel, Litec LexisNexis, coll. « Carré Droit », septembre 2012 (ISBN 2711016838).
• David Forest, Abécédaire de la société de surveillance, Syllepse, 2010.
• Collectif, Correspondant informatique et libertés : bien plus qu’un métier, AFCDP, 2015 (ISBN 978-2-9552430-0-8), 574 p. [présentation en ligne].

• Elise Lucet, « Cash investigation : Nos données personnelles valent de l'or », sur france.tv, France 2, 2021 (consulté le 19 mai 2021)

• Notices d'autorité :

  • Fichier d’autorité international virtuel
  • International Standard Name Identifier
  • Bibliothèque nationale de France (données)
  • Système universitaire de documentation
  • Bibliothèque du Congrès
  • WorldCat Id
  • WorldCat
• Ressource relative à la vie publique :
  • Nominations au Journal officiel
• Site officiel

• Portail de l’informatique
• Portail du droit français