L’histoire de la CNIL
La Commission nationale de l’informatique et des libertés (CNIL) est la première autorité administrative indépendante à avoir été créée en France.
Elle a été instituée par la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978, dite « loi informatique et libertés », adoptée dans le but de résoudre le scandale lié au projet SAFARI, acronyme de « Système automatisé pour les fichiers administratifs et le répertoire des individus ».
Il s’agissait de constituer une gigantesque source de renseignements à partir de 100 millions de fiches réparties dans 400 fichiers détenus par les services de police dans le but d’uniformiser, par l’utilisation du logiciel Iris-80 permettant de rendre ces données cohérentes entre elles, les identifiants de sécurité sociale concernant les 52 millions de Français qui composaient la population française de l’époque.
Révélé par un article du journal Le Monde du 21 mars 1974 intitulé « SAFARI, ou la chasse aux Français » et dénonçant les risques pour les libertés fondamentales et l’équilibre politique que présenterait la mise en œuvre de ce projet, celui-ci a provoqué une si vive contestation populaire que le Premier ministre de l’époque, Pierre Messmer, a finalement décidé de l’avorter et de créer une commission destinée à réfléchir à des dispositions qui deviendront celles de la loi informatique et libertés ayant vocation à prévenir des éventuelles atteintes que peut avoir le recours aux outils informatiques sur les libertés.
Les fonctions de la CNIL
Le rôle le plus célèbre de la CNIL est sans aucun doute celui d’infliger des amendes administratives potentiellement extrêmement lourdes. En effet, le RGPD accorde aux autorités de contrôle des Etats membres de l’Union européenne la possibilité de sanctionner les organismes qui ne respecteraient pas les dispositions du règlement à hauteur de 20 millions d’euros ou de 4% du chiffre d’affaires mondial, le montant le plus élevé étant retenu.
Néanmoins, la CNIL dispose d’un panel de différentes sanctions qu’elle peut décider d’appliquer ou non en fonction du contexte de la violation du RGPD. Ainsi, l’autorité a le choix entre rappeler à l’ordre l’entité non conforme, lui ordonner de se mettre en conformité et de répondre aux demandes d’exercice des droits des personnes, limiter son traitement de manière temporaire ou définitive, suspendre ses transferts de données vers un destinataire situé dans un pays tiers ou encore lui retirer une certification (si elle existe).
De plus, les fonctions de la CNIL ne se limitent pas à punir les contrevenants au RGPD. En effet, la Commission a une mission générale d’information des personnes concernées par un traitement de données à caractère personnel sur leurs droits et obligations.
En outre, la CNIL est investie d’une charge de régulation, c’est-à-dire qu’elle doit veiller à ce que les traitements soient mis en œuvre conformément aux dispositions de la règlementation sur les données à caractère personnel. Cela se matérialise par exemple par l’émission d’un avis ou par la publication de règlements types à destination des acteurs concernés en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel.
La CNIL est également chargée d’une fonction de protection des personnes concernées par un traitement de données à caractère personnel, notamment en s’assurant que ces personnes soient correctement informées de leurs droits par les responsables de traitement.
Pour ce faire, la Commission joue un rôle d’accompagnement et de conseil à l’égard des acteurs qui effectuent des traitements de données à caractère personnel. Elle peut aussi contrôler ces acteurs, les mettre en demeure de se mettre en conformité dans un délai imparti, voire les sanctionner comme vu précédemment.
Enfin, la CNIL se tient informée de l’évolution des nouvelles technologies, afin de pouvoir anticiper au mieux les changements qui en résultent et, ce faisant, participer à la réflexion sur l’élaboration des politiques de protection des données à caractère personnel.