La CNIL

| Mis à jour le 20/01/2022 | Publié le

La CNIL

SOMMAIRE

En France, la Commission nationale de l’informatique et des libertés (la CNIL) est chargée de faire respecter les réglementations en matière d’informatique et notamment de veiller à la protection des données personnelles. Que fait la CNIL ? Quels sont ses pouvoirs ? Quelles sanctions peut-elle infliger ? Avocats Picovschi vous informe.

Qu'est-ce que la CNIL ?

La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle a été instituée par la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Dans l'intérêt de tout citoyen, la CNIL contrôle les données informatiques afin qu'elles ne portent pas atteinte à l'identité humaine, aux droits de l'homme, à la vie privée, aux libertés individuelles ou publiques.

Le rôle de la CNIL est d'informer les personnes sur leurs droits et obligations, de réguler les données, de sanctionner les responsables de traitements d'informations en cas d'abus et de non-respect de la loi, de protéger les citoyens, d’anticiper les développements technologiques.

Les personnes dont les données personnelles font l'objet d'un traitement bénéficient notamment d'un droit d'accès, de contestation, de rectification, d'opposition, etc.

Les responsables des traitements ont quant à eux certaines obligations à respecter. Ils doivent, le plus souvent, obtenir le consentement des personnes concernées. En effet, la loi condamne pénalement la collecte déloyale, frauduleuse ou illicite d'informations nominatives.

Les missions de la CNIL

La CNIL a un grand nombre de missions allant de l’information des particuliers et des professionnels sur les réglementations en vigueur, mais également d’accompagnement, pour les professionnels souhaitant se conformer à leurs obligations ou pour les particuliers dans l’instruction de leurs plaintes en cas d’atteinte à leurs données à caractère personnel et enfin, elle a une mission de contrôle et de sanction en cas d’infraction commise par un professionnel.

Les missions de la CNIL sont donc les suivantes :

  • Informer les particuliers et professionnels sur leurs droits et obligations
  • Réguler les fichiers traitant des données personnelles
  • Protéger les citoyens et leurs données personnelles
  • Contrôler le respect des règles en vigueur concernant les traitements informatiques
  • Sanctionner un manquement à la loi

Anticiper le développement des technologies

Les pouvoirs de la CNIL

Avant l’entrée en vigueur du Règlement européen sur la protection des données (RGPD), les professionnels qui traitaient des données devaient remplir des formalités déclaratives auprès de la CNIL. Depuis le 25 mai 2018, les professionnels doivent se conformer au RGPD, notamment en matière de consentement pour le traitement des données personnelles mais n’ont quasiment plus de démarche à faire auprès de la CNIL, à l’exception du domaine de la santé et concernant certaines demandes d’avis.

Cependant, en contrepartie d’un assouplissement des formalités, les professionnels traitant des données sont désormais pleinement responsables de la protection de celles-ci et ils leur appartiennent de respecter le RGPD.

La CNIL a la possibilité de faire des contrôles spontanés auprès de ces professionnels, c’est-à-dire de sa propre initiative. Le contrôle peut être fait sur pièces, sur place, sur audition ou encore en ligne.

Les contrôles peuvent également être consécutifs à une ou plusieurs plaintes de citoyens. Ceux-ci adressent soit une réclamation, soit une pétition ou une véritable plainte. La procédure peut être effectuée en ligne sur le site internet de la CNIL.

Dans le cadre de ces contrôles, les agents ont un pouvoir d’enquête. Ils ont donc le droit d’accéder aux locaux du professionnel contrôlé, mais également aux fichiers de données, aux différents documents de l’entreprise ainsi qu’aux programmes informatiques. Ils peuvent également réaliser des audits avec l’assistance d’experts techniques.

Les sanctions pouvant être prononcées par la CNIL

La CNIL a des pouvoirs d'investigation mais également de sanction. Un règlement amiable est bien entendu privilégié, mais à défaut, elle peut délivrer des avertissements, prononcer des sanctions pécuniaires, des retraits d'autorisations, des verrouillages de certaines des données ou interrompre la mise en œuvre du traitement pour une durée de trois mois maximum.

La CNIL peut prendre des mesures préventives ou correctrices.

Ainsi, dans un premier temps, le Président de la CNIL peut envoyer un avertissement au professionnel susceptible de violer la réglementation. Il peut également adresser une mise en demeure, qui peut être publique, afin de demander une régularisation de la situation dans un délai prévu.

Si l’opérateur ne se met pas en conformité, la CNIL peut adresser un rappel à l’ordre ou ordonner, dans un délai ferme de 6 mois maximum, une mise en conformité au RGPD par le professionnel.

Elle peut également ordonner au professionnel de répondre à la demande du citoyen concernant ses données traitées et par exemple ordonner de les rectifier ou de les effacer.

La CNIL est compétente pour imposer une suspension ou une limitation du traitement des données par l’opérateur et elle peut retirer la certification accordée en cas de défaillance importante.

Toutes ces sanctions peuvent être ordonnées à la place ou en complément d’une sanction financière. En effet, des amendes administratives peuvent être prononcées. Le montant dépend de l’infraction constatée et peut aller de 2 % à 4 % du chiffre d’affaires mondial du professionnel.

Les mesures prises par la CNIL peuvent être rendues publiques. Ce choix de publicité revient à l’institution qui peut demander l’insertion de sa décision sur internet ou encore dans des journaux. Cette publication peut être à la charge du professionnel sanctionné.

Il est recommandé de faire appel à un Correspondant Informatique et Libertés pour vous conseiller et effectuer les démarches nécessaires pour se conformer à la loi. Avocats Picovschi, compétent en droit des NTIC, reste à votre disposition pour vous assister et vous accompagner dans chacun de vos projets mais aussi, pour vous défendre en cas de contentieux.

Votre avis nous intéresse

Le responsable de traitement des données à caractère personnel collectées sur le présent site Internet est Gérard PICOVSCHI, Avocat au Barreau de Paris. Les informations recueillies font l'objet d'un traitement informatique destiné à respecter nos obligations déontologiques et à prévenir d'éventuels conflits d'intérêts.Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004, vous bénéficiez d'un droit d'accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant au service Informatique et Libertés : 69 rue Ampère, 75017 Paris (e-mail : avocats[at]picovschi.com). Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.

Cet article est mis en ligne à des fins d'information du public et dans l'intérêt des justiciables. Il est régulièrement mis à jour, dans la mesure du possible. En raison de l'évolution permanente de la législation en vigueur, nous ne pouvons toutefois pas garantir son application actuelle et vous invitons à nous interroger pour toute question juridique ou problème concernant le thème évoqué au 01 56 79 11 00. En aucun cas le Cabinet ne pourra être tenu responsable de l'inexactitude et de l'obsolescence des articles du site.

Rencontrons-nous

Nos attachés d'information sont à votre écoute et vous expliqueront notre fonctionnement

Vous voulez plus d’informations ?

Contactez nous
+33(0)1 56 79 11 00

90 avenue Niel
62 & 69 rue Ampère
75017 Paris

Articles sur le même thème

Nos succès
Nos autres domaines
d’interventions