La CNIL, ou Commission Nationale de l’Informatique et des Libertés est une autorité de contrôle indépendante en France. Elle naît en 1978 avec la Loi Informatique et Libertés issue des travaux de la CIL. La France se positionne ainsi comme un des pays précurseurs dans le domaine de la régulation des activités numériques.
Depuis 2018 et l’entrée en vigueur du RGPD, la CNIL est chargée entre autres de contrôler son application en France et fait désormais partie d’un réseau d’autorités de contrôle présentes dans tous les Etats membres de l’Union européenne.
Ainsi la CNIL n’est pas seulement le gendarme du RGPD mais a plus généralement pour mission d’orienter les usages des technologies de communication vers une utilisation plus éthique, au service des citoyens.
Petit à petit, le rôle de la CNIL évolue et se décompose aujourd’hui en quatre missions principales, depuis l’information et l’accompagnement des entreprises et des DPO jusqu’aux sanctions qu’elle peut prononcer en cas de manquement aux obligations de protection des données du RGPD.
Comment fonctionne la CNIL ?
La CNIL est une autorité administrative indépendante ou AAI, c’est-à-dire qu’il s’agit d’une personne publique qui agit au nom de l’Etat mais qui ne dépend ni d’une autre administration ni d’un ministère, par exemple.
Elle est composée de 18 membres élus ou nommés et bien sûr de services lui permettant de mener à bien ses différentes missions.
Ce collège de 18 membres regroupe des parlementaires, des représentants des plus hautes juridictions, des personnalités qualifiées ou encore des représentants du Conseil Economique, Social et Environnemental.
Concrètement, la CNIL fonctionne selon deux modes de formations. Des sessions plénières ont lieu toutes les semaines et ont pour objectif d’analyser les évolutions des usages des technologies et le plus souvent d’étudier des projets et propositions de lois.
Une formation restreinte composée de 5 membres et d’un président se réunit également pour assurer la fonction de sanction de la CNIL. C’est en effet cette formation qui prononce les sanctions pécuniaires à l’encore d’entreprises ou d’organismes qui ne seraient pas en conformité avec le RGPD.
Quelles sont les missions de la CNIL ?
La CNIL est chargée de quatre grandes missions distinctes. Ces fonctions ont pour but d’améliorer les pratiques des acteurs dans le domaine des technologies et du traitement des données.
La première mission de la CNIL est une mission d’information et d’accompagnement. En effet, toute personne, particulier ou entreprise, peut s’adresser directement à la CNIL pour poser des questions. C’est notamment dans le cadre de cette mission que la CNIL reçoit des plaintes et signalements qui peuvent attirer son attention sur des manquements.
La deuxième mission de la CNIL est une mission d’accompagnement de la conformité et de conseil aux acteurs économiques. A ce titre, la CNIL publie par exemple régulièrement des notes et des documents pour aider les entreprises à comprendre les éventuelles évolutions réglementaires liées au RGPD.
C’est aussi dans le cadre de cette mission que la CNIL peut répondre aux sollicitations du gouvernement pour donner son avis sur un texte réglementaire ou législatif (projet de loi) ou sur la création d’un nouveau fichier, par exemple.
La CNIL est également chargée d’une mission d’anticipation et d’innovation. Dans ce contexte, elle analyse des signaux faibles dans une démarche prospective de façon à mieux appréhender les changements souvent rapides des usages des technologies. L’idée est de permettre au législateur de s’adapter si besoin et de proposer des réponses juridiques aux nouvelles problématiques.
Enfin, la CNIL a un rôle de contrôle voire de sanction. A ce titre, elle peut demander un certain nombre de documents aux entreprises pour contrôler leur conformité au RGPD. On pense par exemple au registre des traitements ou à l’analyse d’impact que les DPO doivent pouvoir fournir.
En cas de manquement, la CNIL est habilitée en vertu du RGPD à prononcer directement des sanctions.
Quelles sanctions peut-elle prononcer ?
En 2021, la CNIL a effectué 384 contrôles de conformité auprès d’entreprises françaises. En cas de manquement cependant, tous ces contrôles ne conduisent pas à des sanctions.
La CNIL poursuit plutôt un objectif d’encouragement à la mise en conformité des acteurs. C’est pourquoi elle dispose d’un arsenal de réponses plus “douces” visant à accompagner les acteurs dans leur démarche de protection des données.
La première étape est en effet celle de l’avertissement, qui peut être adressé à la CNIL aux entreprises ou organismes. La deuxième réponse est celle de la mise en demeure : 135 mises en demeure ont été adressées à des organismes en 2021.
Enfin, la CNIL peut prononcer des sanctions, comme cela a été le cas pour 18 entreprises en 2021 (dont 1 non-lieu).
Ce pouvoir de sanction est encadré par le RGPD et peut s’élever au maximum à 20 millions d’euros ou à 4% du chiffre d’affaires mondial (dans le cas d’une entreprise).
