Lexique > Commission Nationale de l’Informatique et des Libertés (CNIL)

Lexique IT

Commission Nationale de l’Informatique et des Libertés (CNIL)

Créée par la loi Informatique et Libertés, la CNIL est une autorité administrative indépendante. Elle est l’autorité de contrôle française au sens du RGPD.

La CNIL est chargée de veiller à l’application du RGPD et de la Loi Informatique et Libertés, ainsi que d’informer les personnes concernées et les responsables de traitements de leurs droits et obligations.

Elle a notamment pour missions de :

  • Contrôler l’application du règlement et veiller au respect de celui-ci ;
  • Favoriser la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement des données à caractère personnel;
  • Encourager la sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent en vertu du Règlement ;
  • Fournir, sur demande, à toute personne concernée des informations sur l’exercice des droits que lui confère le règlement et, si nécessaire, coopérer, à cette fin, avec les autorités de contrôle d’autres États membres ;
  • Traiter les réclamations introduites par une personne concernée ou par un organisme, examiner l’objet de la réclamation, dans la mesure nécessaire, et informer l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable ;
  • Effectuer des enquêtes sur l’application du Règlement ;
  • Adopter des clauses contractuelles types ;
  • Etablir et tenir à jour une liste en lien avec l’obligation d’effectuer une analyse d’impact relative à la protection des données ;
  • Fournir des conseils sur les opérations de traitement ;
  • Encourager l’élaboration de codes de conduite ;
  • Encourager la mise en place de mécanismes de certification.

En outre, la CNIL dispose de nombreux pouvoirs et notamment :

  • Celui d’ordonner au responsable du traitement et au sous-traitant, de lui communiquer toute information dont elle a besoin pour l’accomplissement de ses missions ;
  • De mener des enquêtes et contrôles ;
  • De prononcer des avertissements et des rappels à l’ordre ;
  • De mettre en demeure ;
  • De prononcer des sanctions pécuniaires pouvant s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial, ainsi que des astreintes, des limitations temporaires ou définitives de traitements et des suspensions de flux de données.

L’ensemble des membres de la CNIL doivent exercer leurs missions en toute indépendance.

Point RGPD

« Il convient que chaque autorité de contrôle soit dotée des moyens financiers et humains, ainsi que des locaux et des infrastructures nécessaires à la bonne exécution de ses missions, y compris celles qui sont liées à l’assistance mutuelle et à la coopération avec d’autres autorités de contrôle dans l’ensemble de l’Union. Chaque autorité de contrôle devrait disposer d’un budget annuel public propre, qui peut faire partie du budget global national ou d’une entité fédérée. » 

Considérant 120 du RGPD 

Point jurisprudence

La Cour administrative de Mainz (Allemagne) a rappelé qu’une plainte adressée à une autorité de contrôle « doit au moins contenir toutes les informations nécessaires pour permettre à l’autorité de contrôle d’établir les faits de l’affaire et, si nécessaire, de les clarifier davantage et d’enquêter sur d’éventuelles violations de la loi sur la protection des données. La plainte doit donc contenir des informations sur la personne concernée et la personne responsable, et doit au moins donner une indication de la violation des règles de protection des données faisant l’objet de la plainte. »

Verwaltungsgericht, 22 juillet 2020, N° 1 K 473/19.MZ

Le Cabinet Bouchara vous accompagne notamment dans :

  • La mise en conformité de votre organisme au RGPD ;
  • La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
  • La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
  • L’obtention de certifications et l’adhésion à des codes de conduite ;
  • L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
  • La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
  • L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
  • La rédaction et la négociation de vos accords de traitements de données (DPA) ;
  • La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
  • La formation et la sensibilisation de vos collaborateurs.

Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.