La CNIL : rôle, histoire et missions de l'autorité de protection des données

La CNIL : rôle, histoire et missions de l'autorité de protection des données

En cinq décennies, la circulation des informations personnelles est devenue à la fois massive et facile à exploiter. Face à ce risque pour la vie privée, la France s'est dotée dès 1978 d'une autorité dédiée : la CNIL, Commission nationale de l'informatique et des libertés. Son rôle s'est encore renforcé avec l'entrée en application du RGPD européen en 2018.

Qu'est-ce que la CNIL, d'où vient-elle, et quelles sont ses missions aujourd'hui ? Cet article fait le point, en corrigeant au passage une idée reçue tenace sur les obligations des organismes, qui a profondément changé depuis le RGPD.

Je précise mon rôle : je vulgarise ici des règles de protection des données. Pour une question de conformité précise, la CNIL elle-même (via son site) ou un professionnel spécialisé sont vos interlocuteurs.

Qu'est-ce que la CNIL ?

La CNIL est l'autorité française chargée de veiller à la protection des données personnelles. Créée par la loi « Informatique et Libertés » du 6 janvier 1978, c'est une autorité administrative indépendante : elle ne reçoit aucune instruction du gouvernement et reste libre de ses décisions. Sa mission première est de veiller à ce que l'informatique soit au service des citoyens et ne porte pas atteinte à leurs droits.

Elle est composée d'un collège de 18 membres, dont 12 sont élus ou désignés par les assemblées et juridictions auxquelles ils appartiennent : l'Assemblée nationale, le Sénat, le Conseil d'État, la Cour de cassation, la Cour des comptes, auxquels s'ajoutent des personnalités qualifiées. Le mandat des membres est en principe de cinq ans. Le président de la CNIL recrute librement ses collaborateurs, la commission s'appuyant sur une équipe d'agents.

Pourquoi la CNIL a-t-elle été créée ?

L'histoire de la CNIL est née d'une vive controverse. En 1974, le gouvernement projetait, avec le programme SAFARI (Système automatisé pour les fichiers administratifs et le répertoire des individus), d'interconnecter les fichiers administratifs en identifiant chaque citoyen par un identifiant unique.

Le 21 mars 1974, un article du journal Le Monde intitulé « SAFARI ou la chasse aux Français » révéla le projet et déclencha une forte émotion publique. Cette contestation conduisit à l'abandon du projet, puis à l'adoption de la loi Informatique et Libertés de 1978, qui institua la CNIL. C'est donc en réaction à un risque de surveillance généralisée que l'autorité a vu le jour.

Quel est le rôle de la CNIL aujourd'hui ?

La CNIL veille au respect de la réglementation sur les données personnelles, qu'elles soient traitées par des organismes publics ou privés. Ses missions principales sont les suivantes :

  • informer et protéger : renseigner les citoyens sur leurs droits (accès, rectification, effacement de leurs données) et les aider à les exercer ;
  • accompagner et conseiller : guider les organismes vers la conformité, notamment par des recommandations et des référentiels ;
  • anticiper : suivre les évolutions technologiques (intelligence artificielle, biométrie) et leurs enjeux pour les données ;
  • contrôler et sanctionner : vérifier le respect des règles, y compris par des contrôles sur place, et sanctionner les manquements.

Depuis 2018, la CNIL s'inscrit dans le cadre européen du RGPD et participe au Comité européen de la protection des données (CEPD), qui coordonne les autorités des États membres.

Quels sont les grands principes à respecter ?

Le traitement des données personnelles obéit à plusieurs principes fondamentaux, que la CNIL fait respecter :

  • la collecte doit être loyale et licite : tout moyen illégal de collecte est interdit ;
  • la finalité du traitement doit être déterminée et explicite ;
  • les personnes doivent être informées et pouvoir exercer leurs droits (accès, rectification, effacement) ;
  • une décision produisant des effets juridiques ne peut, en principe, être fondée sur le seul traitement automatisé, sans intervention humaine.

Les données dites sensibles (origine, opinions politiques ou religieuses, santé, orientation sexuelle, données biométriques) font l'objet d'une protection renforcée : leur traitement est interdit par principe, sauf exceptions encadrées (consentement explicite, obligation légale, intérêt vital, par exemple).

Quel rôle joue la CNIL dans le cadre du RGPD ?

C'est ici qu'une idée reçue importante doit être corrigée. Avant 2018, les organismes devaient effectuer des déclarations préalables de leurs fichiers auprès de la CNIL. Ce système n'existe plus.

Depuis l'entrée en application du RGPD, le 25 mai 2018 (transposée en droit français par la loi du 20 juin 2018 et l'ordonnance du 12 décembre 2018), on est passé d'un contrôle préalable à une logique de responsabilisation (accountability). Concrètement, les organismes ne déclarent plus leurs traitements : ils doivent désormais tenir un registre de leurs traitements, être en mesure de démontrer leur conformité à tout moment, et notifier à la CNIL les violations de données dans un délai de 72 heures. La CNIL contrôle a posteriori.

En cas de manquement, la CNIL dispose d'un pouvoir de sanction renforcé. Les amendes administratives peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'organisme, le montant le plus élevé étant retenu. Des sanctions pénales existent par ailleurs dans le Code pénal pour certaines atteintes graves aux données (jusqu'à cinq ans d'emprisonnement et 300 000 € d'amende). Les décisions de la CNIL peuvent être contestées devant le Conseil d'État.

L'essentiel à retenir

La CNIL, autorité administrative indépendante créée en 1978 en réaction au projet SAFARI, veille à la protection des données personnelles. Composée de 18 membres, elle informe, accompagne, contrôle et sanctionne. Depuis le RGPD (2018), la logique de déclaration préalable a disparu au profit de la responsabilisation : les organismes tiennent un registre et démontrent leur conformité, sous peine d'amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.

La réglementation évoluant régulièrement, il reste conseillé de consulter le site de la CNIL ou un professionnel pour toute démarche de conformité. Cet article a une vocation purement informative.

Pour aller plus loin : vous pouvez consulter nos articles sur le RGPD, le droit à l'effacement (droit à l'oubli), et le rôle du délégué à la protection des données (DPO).

Sources

  • Loi n° 78-17 du 6 janvier 1978 « Informatique et Libertés » et loi n° 2018-493 du 20 juin 2018, Légifrance
  • Règlement (UE) 2016/679 du 27 avril 2016 (RGPD)
  • CNIL, « Statut et organisation de la CNIL » et « La loi Informatique et Libertés » (cnil.fr)
  • Vie-publique.fr, « Protection des données personnelles : l'essentiel de la loi du 20 juin 2018 »

Articles similaires dans Modèles et Outils

Quel modèle de lettre pour témoigner en faveur d'un parent ?

Quel modèle de lettre pour témoigner en faveur d'un parent ?

Dans une procédure judiciaire, le témoignage écrit prend la forme d'une attestation de témoin, encadrée par les articles 200 à 203 du Code de procédure civile. Contrairement à une idée répandue, ce d...
La protection des mineurs sur Internet : risques, rôle des parents et cadre juridique

La protection des mineurs sur Internet : risques, rôle des parents et cadre juridique

Internet occupe une place centrale dans le quotidien des jeunes, comme source d'apprentissage, de lien social et de divertissement. Mais cet usage les expose aussi à des risques spécifiques : cyberha...
Attaque DNS : comprendre la menace et s'en protéger

Attaque DNS : comprendre la menace et s'en protéger

Une attaque visant le DNS, le système qui fait fonctionner la navigation sur Internet, peut rendre les sites et services d'une entreprise inaccessibles pendant des heures, voire des jours. Ces attaq...