Tout savoir sur les rôles de la CNIL

La CNIL ou Commission nationale de l'informatique et des libertés est une AAI, c’est-à-dire une autorité administrative indépendante. Agissant au nom de l’État, cet organisme public ne relève pas de l’autorité du gouvernement. La CNIL dispose d’un certain pouvoir afin d’assurer son rôle.

La CNIL : une autorité de protection des données

CNIL role

Chacun des États membres de l’Union européenne possède :

  • Une loi Informatique et Libertés ;
  • Une autorité nationale de protection des données personnelles.

Étant l’organisme compétent en France, la CNIL assure différents rôles non transférés à l’Europe.

Qu’est-ce qu’une donnée à caractère personnel ?

Il s’agit d’une information personnelle aidant à l’identification d’un individu de manière directe ou indirecte :

  • Nom ;
  • Numéro d’identification ;
  • Données de localisation ;
  • Adresse IP ;
  • Voix ou image.

Sont considérées comme des données sensibles :

  • Les origines raciales ou ethniques ;
  • L’orientation sexuelle ;
  • Les données relatives à la santé ;
  • Les opinions religieuses ou politiques ;
  • L’appartenance syndicale ;
  • Les données biométriques ou génétiques ;
  • Les informations relatives à une condamnation pénale ou à une infraction.

Pour rappel, le RGDP ou règlement général sur la protection des données est le texte de référence en matière de protection des informations à caractère personnel. La vidéo suivante vous aidera à mieux comprendre la portée de cette norme européenne.

Quels sont les rôles assurés par la CNIL ?

La CNIL assure différents rôles auprès du gouvernement, des citoyens et des organismes (sociétés, institutions...).

Missions d’information

La CNIL a pour rôle d’informer les personnes et les responsables de traitement sur leurs droits et obligations. Les actions de communication menées par cet organisme ont lieu :

  • Sur son site ;
  • Par voie de presse ;
  • Sur les réseaux sociaux.

Pour en savoir davantage, voici le numéro de SFR que vous pouvez appeler.

La CNIL participe également à des colloques, des conférences ou des salons afin de conduire des actions relatives à la sensibilisation au RGPD. Outre les données personnelles, l’information concerne également l’évolution des technologies.

Protection des droits

La CNIL s’assure que chaque citoyen accède à ses données personnelles contenues dans les traitements. En effet, toute personne a le droit de :

  • S’opposer à l’utilisation de certaines de ses données par un organisme ;
  • Vérifier, de rectifier et d’effacer ses données ;
  • Emporter une copie de ses données ;
  • Déréférencer un contenu ;
  • Gérer l’utilisation de ses données.

Les informations détaillées sont disponibles à travers ce site.

Accompagnement et conseil

La CNIL a pour rôle d’accompagner les entreprises et les organismes publics dans leurs démarches de conformité au RGPD. Dans cette optique, elle leur propose une boîte à outils :

  • Consultable gratuitement en ligne ;
  • Adaptée à leur taille et à leurs besoins

La loi attribue à la CNIL une mission de réglementation et de conseil. Ainsi, sa consultation est obligatoire pour tout projet de texte d’origine gouvernemental :

  • Relatif à la protection des données personnelles ;
  • Portant sur la création d’un traitement automatisé de données nominatives.

Son avis est toutefois consultatif.

Anticipation

Les enjeux en rapport avec la protection des informations à caractère personnel sont en constante évolution. Ainsi, la CNIL mène un travail visant à anticiper les développements technologiques et leurs impacts sur la vie privée via son Comité de la prospective.

Quels sont les pouvoirs de la CNIL ?

Pour assurer correctement ses différents rôles, la CNIL dispose de pouvoirs étendus en matière de :

  • Contrôle du traitement régulier des informations personnelles ;
  • Sanction en cas de violation au RGPD.

Pouvoir de contrôle

La CNIL a le pouvoir de contrôler tout organisme procédant au traitement des données personnelles possédant un établissement en France ou lorsque ces informations concernent un individu résidant en France. La procédure de contrôle intervient dans les cas suivants. * Programme annuel des contrôles

Il concerne les grandes thématiques ayant un impact sur la vie privée de nombreux individus et portées à la connaissance du public. * Dispositifs de vidéosurveillance

La Commission CNIL procède chaque année au contrôle des caméras filmant des lieux ouverts au public tels que les musées ou les centres commerciaux. * Initiative de la CNIL

Cet organisme décide parfois de mener des investigations relatives à des thématiques susceptibles de présenter des enjeux ou des problématiques relatives à la protection des données à caractère personnel. * Signalements et réclamations

La Commission reçoit des signalements et des plaintes l’informant de faits jugés non conformes au RGPD. Ainsi, des contrôles sont effectués afin de vérifier ces pratiques et de garantir, si besoin, le respect des droits des requérants. * Clôture des procédures de contrôle

La Commission a la possibilité de réaliser des contrôles relatifs aux mesures de mise en conformité au RGPD adoptées par les organismes concernés. Il en est de même en cas de mises en demeure ou de sanctions prononcées la CNIL. Le contrôle est réalisé en ligne, sur place, sur convocation ou encore sur pièces. Toute entrave à l’action de la CNIL est passible de 15 000 € d’amende et d’un an d’emprisonnement.

Pouvoir de sanction

Les sanctions prononcées à l’égard des responsables de traitement dépendent des manquements au RGPD constatés :

  • Rappel à l’ordre ;
  • Mise en conformité du traitement des données personnelles, éventuellement sous astreinte ;
  • Limitation temporaire ou définitive du traitement ;
  • Suspension du traitement ;
  • Amende administrative.

Les responsables de traitement disposent de deux mois à compter de la date de notification pour attaquer la décision de la CNIL devant le Conseil d’État.

Quels recours en cas de violation des données personnelles ?

La violation des données personnelles consiste en une perte illicite ou de manière accidentelle de leur :

  • Disponibilité ;
  • Confidentialité ;
  • Intégrité.

En vertu de l’article 34 du RGPD, le responsable du traitement est dans l’obligation de notifier cet incident à la CNIL. En outre, ces dernières disposent de deux recours en cas de violation de leurs données personnelles.

Notification de la CNIL

Le document récapitulatif contient les informations suivantes :

  • Nature et description des conséquences probables de la violation de données ;
  • Catégories et nombre approximatif des personnes concernées ;
  • Catégories et estimation du nombre d’enregistrements de données personnelles concernées ;
  • Description des mesures prises ou à prendre pour éviter le renouvellement de l’incident ou réduire ses conséquences éventuelles.

Si le risque est élevé, il convient de notifier les personnes concernées.

Recours auprès de la CNIL

Le recours gracieux consiste à s’adresser directement au responsable du traitement des données. À cet effet, la CNIL met à la disposition des citoyens différents modèles de courrier sur son site internet : https://www.cnil.fr/fr/modeles/courrier. Cette démarche est toutefois déconseillée si vous avez déjà reçu une réponse négative de la part de la personne physique (refus d’application d’un droit du RGPD par exemple). Si votre demande auprès de l’entreprise ou de l’organisme public est restée sans suite, il convient d’adresser une réclamation à la CNIL. Ainsi, il est possible de déposer une plainte en ligne en consultant ce site : https://www.cnil.fr/fr/plaintes. Vous pouvez également contacter la CNIL par voie postale à l’adresse suivante : 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07. À cet effet, il est nécessaire de communiquer tout document attestant le manquement de l’organisme.

Recours juridictionnel

Les atteintes aux droits de la personne résultant des traitements informatiques sont passibles d’un emprisonnement et de lourdes amendes. La prétendue victime peut intenter un recours au civil ou au pénal soit :

  • Devant les juridictions de l’État membre où l’individu a sa résidence habituelle ;
  • Devant les juridictions de l’État membre où l’organisme dispose d’un établissement.