Missions

A l’ère des données et du numérique, la CNIL doit s’assurer que ces dernières soient correctement utilisées. Parmi ses nombreuses missions, se retrouvent celles d’informer le grand public et les professionnels, de conseiller et de réglementer les pratiques, d’accompagner la conformité, de contrôler et de sanctionner en cas de pratiques illégales, d’être en lien avec les pouvoirs publics et enfin et surtout : d’assurer la protection des citoyens (23). Nous allons maintenant brièvement les détailler.

Page 34 sur 106

2.1.2.1. Informer le grand public et les professionnels

Au regard du RGPD et de la Loi Informatique et Libertés (LIL), la CNIL se doit d’informer le grand public sur ses droits et ses obligations, mais également d’informer plus personnellement les petites et moyennes entreprises (cf. loi n°2018-493 du 20 juin 2018 modifiant la Loi Informatique et Libertés (24)), ainsi que de répondre à leurs demandes. Elle s’acquitte de cette mission via la mise en place régulière d’actions de communications, au cours de colloques, conférences, salons, etc. Elle assure également des actions de sensibilisation auprès de médiateurs de la consommation et de médiateurs publics, afin de s’assurer du respect et de l’application de la loi.

2.1.2.2. Conseiller et réglementer

Réglementer les données à caractère personnel se fait via différents instruments et méthodes, cherchant tous à atteindre le même objectif : assurer la mise en conformité des organismes. Ainsi, la CNIL va :

- émettre des avis sur les traitements pour le compte de l’Etat, pour la sureté de l’Etat (cf. art. 26 et 27 de la LIL) ;

- établir et publier les lignes directrices, les recommandations et les référentiels destinés à faciliter la mise en conformité des traitements des données à caractère personnel et de mettre en place l’évaluation préalable des risques par les responsables de traitement et les sous-traitants ;

- homologuer et publier les méthodologies de référence ;

- établir et publier, et ce en concertation avec les organismes publics et privés acteurs du système, des règlements types afin d’assurer la sécurité des systèmes de traitements des données et de régir les traitements de données biométriques, génétiques et de santé ;

- établir une liste de traitements pouvant potentiellement créer un risque élevé devant faire l’objet d’une consultation préalable.

Page 35 sur 106

2.1.2.3. Accompagner la conformité

La CNIL accompagne la conformité en encourageant notamment l’élaboration de Codes de Conduite, tel que celui de l’Union Française du Marketing Direct (UFMD) (25), visant à définir des règles déontologiques en matière de collecte et d’utilisation de données électroniques à des fins de prospection directe. La CNIL va également certifier des personnes, des organismes, des produits, des systèmes de données ou encore des procédures afin de s’assurer qu’ils soient conformes au RGPD. Enfin, elle a également pour missions d’assurer la conformité des processus d’anonymisation des données via la certification ou l’homologation, la publication de référentiels ou de méthodologies générales aux fins de certification.

2.1.2.4. Contrôler et sanctionner

Afin d’assurer la conformité des pratiques au regard de la réglementation, la CNIL reçoit les réclamations, pétitions et plaintes des parties prenantes et réalise un contrôle a

posteriori. Elle peut charger ses agents de procéder ou faire procéder à des vérifications

portant sur tous les traitements, et lors d’un contrôle, elle peut : - accéder aux locaux professionnels ;

- demander tout document nécessaire et en garder une copie ; - recueillir tout type de renseignement jugé utile ;

- accéder aux programmes informatiques et aux données.

Des programmes de contrôles sont élaborés en fonction des thématiques d’actualité, des problématiques identifiées et des plaintes envoyées à la CNIL. En 2017, la CNIL a réalisé 341 contrôles sur place, sur audition, sur pièces et en ligne (26). En comparaison, il n’y avait eu que 34 contrôles de réalisés en 1990.

A l’issue des contrôles, diverses sanctions peuvent être prononcées par la formation restreinte de la CNIL : une sanction pécuniaire d’un montant maximal de 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, une publication de la décision dans la presse, ou encore ordonner que les fautifs informent individuellement les personnes concernées par un

Page 36 sur 106

traitement abusif de leurs données. Le RGPD vient détailler les différentes sanctions applicables dans l’art. 58.2 (27), qui sont par ordre croissant de gravité:

- un avertissement du responsable de traitement et/ou du sous-traitant que les opérations envisagées sont susceptibles de violer les dispositions du RGPD ; - un rappel à l’ordre du responsable de traitement et/ou du sous-traitant que les

opérations réalisées ont entraîné une violation du RGPD ;

- un ordre donné au responsable de traitement et/ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée exerçant ses droits en application du RGPD ;

- un ordre donné au responsable de traitement et/ou au sous-traitant de mettre en conformité les diverses opérations concernées avec les dispositions du RGPD ; - un ordre donné au responsable de traitement et/ou au sous-traitant de

communiquer à la personne concernée la violation de ses données à caractère personnel ;

- d’imposer une limitation temporaire ou définitive d’effectuer un traitement ; - d’ordonner une rectification, une limitation ou un effacement des données à

caractère personnel et d’en notifier les personnes concernées ; - de retirer une certification ;

- d’imposer une amende administrative ;

- d’ordonner la suspension des flux de données adressés à un destinataire dans un pays tiers.

A noter que le montant des amendes est perçu par le Trésor Public et que les sanctions peuvent être cumulatives. En 2017, la CNIL a ainsi réalisé 79 mises en demeures et prononcé 14 sanctions, dont 9 sanctions financières et 5 avertissements (26).

2.1.2.5. Liens avec les pouvoirs publics

La CNIL a également pour missions de répondre aux demandes des pouvoirs publics et d’informer l’Etat des infractions dont elle a connaissance. Son avis est requis sur tout projet de loi ou décret ou toute disposition de projet de loi ou de décret relatif à la protection des

Page 37 sur 106

données et, à la demande de certaines institutions, sur toute proposition de loi. Elle peut présenter ses observations devant toute juridiction à l’occasion d’un litige relatif à l’application du RGPD et de la LIL.

2.1.2.6. Protéger les citoyens

La CNIL s’assure de d’accompagner et de protéger les citoyens, via :

- la gestion et le suivi des réclamations et plaintes de ces derniers ; - une information sur la protection de leurs données ;

- la réponse aux demandes d’exercice des droits d’accès concernant les traitements liés à la sûreté de l’Etat, à la défense ou la sécurité publique.