La Commission Nationale de l’informatique et des libertés (CNIL) est l’autorité de contrôle en France. Il s’agit d’une autorité administrative indépendante qui n’a pas pour but principal de contrôler constamment les différentes entités en France. Effectivement elle a un rôle d’accompagnement des professionnels dans leur mise en conformité au RGPD. Elle va également aider les individus à maîtriser leurs données personnelles et exercer leurs droits.
Elle a donc différentes missions :
- Informer et conseiller : sensibilisation, proposition au gouvernement, …
- Réguler : autorise les traitement les plus sensibles, labellise les audits et formations
- Sanctionner : inflige des sanctions, dont financières aux responsable de traitement hors respect de la loi
- Protéger : aide les citoyens dans l’exercice de leurs droits (saisine)
- Contrôler : programmes annuels de contrôle, instruction de plaintes
- Anticiper : direction des études, de l’innovation et de la prospective pour décrypter, comprendre, anticiper et évaluer les innovations et usages des TIC.
C’est une autorité administrative indépendante ce qui signifie qu’elle ne reçoit d’instruction d’aucune autorité. Les ministres, autorités publiques, dirigeants d’entreprises publiques ou privées, ne peuvent s’opposer à l’action de la CNIL pour quelque motif que ce soit. Ils doivent en outre prendre toutes mesures utiles afin de faciliter ses différentes missions. Le Président de la CNIL est nommé par le président de la République mais celui-ci recrute librement ses collaborateurs.
La CNIL se réunie également en deux formations : en séance plénière ou en formation restreinte.
Les activités de la CNIL en formation restreinte sont nombreuses et elle se réunie une fois par semaine :
- Examen de projets de loi et décrets soumis à la CNIL pour avis par le Gouvernement
- Etude en vue d’autorisation de traitements sensibles
- Etude de rapports sur les évolutions de l’informatique en vue d’éclairer les membres dans leur mission
- Auditions sur son initiative ou à la demande de personnes concernée.
En formation restreinte, il n’y a que 5 membres et 1 président distinct du président de la CNIL. Cette formation se réunie au moins 1 fois par mois et à pour mission :
- Mesures à l’encontre de RT qui ne respectent pas le règlement
- A l’issue de contrôles ou de plaintes, elle peut prononcer diverses sanctions : avertissement, mise en demeure, sanction pécuniaire,…
- Ces sanctions peuvent être rendues publiques.
Effectivement depuis la mise en application du RGPD le 25 mai 2018, la CNIL a vue le nombre de plainte augmenter tout comme le nombre de ses contrôles. Par exemple en 2018, la CNIL a procédé à 310 contrôles dont la majorité (204) se sont fait sur place.
Attention la CNIL ne donne pas une sanction administrative tout le temps, dans la majorité des cas elle demande à l’entité concernée de se mettre en conformité, elle réalise des mises en demeure, puis sanction par une peine pécuniaire.
Thématiques du programme annuel 2020 de contrôle de la CNIL :
- La sécurité des données de santé
- Mobilités et services de proximité, les nouveaux usages des données de géolocalisation : Recommandation de modes de transport, optimisation des parcours de déplacement… Attention à la proportionnalité des données, durées de conservation, infos aux PC et mesures de sécurité
- Les cookies et traceurs, notamment mode de recueil du consentement.
La CNIL n’est donc pas une autorité administrative ayant pour seul et unique but de sanctionner la non conformité au RGPD, son rôle de conseil et d’accompagnement sont bien plus importants mais font moins parler.
D’autres articles en relation avec la CNIL : la certification de Compétences de DPO
