Commission nationale de l'informatique et des libertés - Définition

Présentation du rapport annuel de la CNIL au Premier ministre en 1999.

La Commission nationale de l'informatique et des libertés (CNIL) est une autorité administrative indépendante française chargée de veiller à la protection des données à caractère personnel et de la vie privée. Elle a été créée par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Historique

La CNIL a été créée en 1978, suite au scandale du projet SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus), qui visait à interconnecter les fichiers nominatifs de l'administration française, notamment par le biais du numéro INSEE. La révélation de ce projet, le 21 mars 1974 par le quotidien le Monde, avait entraîné une vive opposition populaire, et la création de la Commission Nationale de l'Informatique et des Libertés quelques années plus tard.

Missions

Les missions de la CNIL s'orientent autour de trois axes :

• l'information ;
• le contrôle ;
• la répression.

En 2005, la CNIL a enregistré 80 677 nouveaux traitements de données nominatives, instruit 3834 plaintes, effectué 96 contrôles, adressé 36 mises en demeure et prononcé 10 avertissements.

Information

La CNIL informe les autorités publiques et les professionnels mettant en œuvre des traitements de données nominatives sur leurs devoirs, et les citoyens sur leurs droits. Elle permet aussi aux citoyens d'exercer leur droit d'accès dit indirect à certains fichiers (ex. : fichier des renseignements généraux).

Les moyens utilisés pour cette information sont notamment son site internet (pour l'information générale sur la loi et ses modalités d'application), le rapport annuel, la publicité faite sur des délibérations clés (via la presse), l'organisation de réunions thématiques régionales à destination des professionnels.

Contrôle

Le contrôle du respect de la loi s'effectue a priori (par l'instruction des dossiers de déclaration) et a posteriori (par des visites dans les entreprises et organismes, suite à une plainte ou non).

Répression

Les pouvoirs de sanction conférés par le législateur sont l'avertissement, la mise en demeure et la sanction financière. La CNIL peut aussi saisir le parquet dans les cas les plus graves.

Composition et indépendance

Lionel Jospin et Jacques Fauvet en 1998

La CNIL est composée d'un collège pluraliste de dix-sept membres, les Commissaires. Parmi eux on compte :

• douze commissaires élus par les organismes qu'ils représentent : Assemblée nationale française, Sénat, Conseil d'État, Cour de cassation, Cour des comptes, Conseil économique et social) ;
• trois personnalités qualifiées nommées par décret ;
• deux désignées respectivement par les Présidents de l'Assemblée Nationale et du Sénat.

Un commissaire du gouvernement, désigné par le Premier ministre, siège auprès de la Commission.

La durée du mandat des commissaires est de cinq ans, renouvelable une fois, sauf pour les commissaires issus du Conseil économique et social, de l'Assemblée nationale et du Sénat pour lesquels la durée du mandat correspond à la durée de leur mandat dans leur institution d'origine.

Les dix-sept commissaires élisent parmi eux le bureau, composé d'un Président, un Vice-président délégué et un Vice-président. Depuis le 3 février 2004, c'est le sénateur Alex Türk qui préside la CNIL.

Le statut d'autorité administrative de la CNIL lui confère une grande indépendance dans les choix et les actions qu'elle entreprend. Toutefois, ses pouvoirs sont limités et définis par la loi. La CNIL est financée par le budget de l'État français.

Moyens

En 2006, la CNIL emploie 95 agents (correspondant à un équivalent en temps plein travaillé de 90 personnes), contre 82 en 2004 et 57 en 1995.

En 2006, la CNIL dispose d'un budget de 9 millions d'euros (7 millions en 2005). Cette augmentation a notamment permis l'accroissement des effectifs de 15 personnes. La volonté de son Président est d'améliorer l'information et le contrôle.

En 2007, le président de la CNIL, Alex Türk, a dénoncé plusieurs fois^[1] son manque de moyens pour traiter les dossiers, allant jusqu'à cumuler plusieurs années de retard sur certains types de plaintes.

Contexte juridique

La CNIL a été instituée par la Loi informatique et libertés de 1978. Cette loi constitue les fondements de la protection des données à caractère personnel dans les traitements informatiques mis en œuvre sur le territoire français.

La loi du 6 août 2004 a largement modifié la loi de 1978 en transposant la Directive Européenne sur la protection des données à caractère personnel en droit français. Elle allège de façon substantielle les obligations déclaratives des détenteurs de fichiers, accroît les pouvoir de la CNIL (investigations sur place et sanctions) et renforce les droits des personnes.

Grandes lignes de la loi sur la protection des données

Licéité des traitements

Pour être légal, le traitement doit répondre aux principes suivants :

• sa finalité est déterminée, explicite et légitime ;
• les données collectées et traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie ;
• la durée de conservation des données ne doit pas aller au delà que la durée nécessaire à la finalité poursuivie (sauf besoin statistique, historique ou scientifique) ;
• le responsable du traitement doit veiller au respect de l'intégrité et de la confidentialité des données ;
• le responsable du traitement doit respecter les droits des tiers (droit d'accès, de rectification, d'opposition).

Déclaration des traitements

La loi prévoit différentes modalités de déclaration des traitements de données selon la sensibilité de ces dernières :

• demande d'avis (pour le secteur public uniquement) ;
• demande d'autorisation pour :
  • les traitements utilisant des données sensibles, telles les origines raciales, la religion, la vie sexuelle, etc,
  • les échanges de données en dehors de l'Union Européenne,
  • les données génétiques,
  • les données relatives aux infractions, condamnation et à la sûreté,
  • les traitements visant à exclure d'un droit, bénéfice ou contrat,
  • l'interconnexion de fichiers dont les finalités sont différentes ;
• déclaration normale ;
• déclaration simplifiée (pour certains cas courants, si une norme simplifiée a été créée par la Cnil) ;
• dispense (pour certains cas courants, si la CNIL a créé une dispense).

Les mesures de déclarations peuvent être allégées si la personne responsable du traitement a désigné un Correspondant Informatique et Liberté (CIL).

La déclaration ne dispense pas du respect des critères de licéité du traitement.

Contexte européen et international

L'Allemagne en 1971, la Suède, en 1973, et la France en 1978 ont été les trois premiers pays dotés d'une loi informatique et libertés. Ces lois instituent la création d'autorités de contrôle indépendantes.

Certaines structures économiques et politiques internationales s'en sont inspirées, parmi lesquelles l'Organisation de coopération et de développement économiques (OCDE) en 1980, le Conseil de l'Europe en 1981 (Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel) et les Nations unies (ONU) en 1990. En 1995, la Commission européenne a émis une directive en ce sens, que les pays de l'Union Européenne doivent transposer.

Depuis le 28 janvier 2007, une Journée européenne de la protection des données à caractère personnelle est organisée par le Conseil de l'Europe et relayée en France par la CNIL.