La Commission nationale de l’informatique et des libertés, dit la « CNIL », est une autorité administrative indépendante créée en 1978 par la Loi « Informatique et Libertés » du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée à de nombreuses reprises afin d’être mise en conformité avec le Règlement Général sur la Protection des Données dit « RGPD » (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données).
L
a CNIL s’assure notamment que les données à caractère personnel présentes sur Internet sont bien protégées, et que le traitement de ces données personnelles respecte les libertés individuelles et les droits fondamentaux des personnes auxquelles les données appartiennent.
Droits protégés
La transmission de données personnelles se fait très souvent sur Internet.
Du remplissage de formulaire d’inscription au simple clic, les organismes récoltent énormément d’informations sur les utilisateurs, c’est pourquoi la Loi Informatique et Libertés, notamment suite aux modifications imposées par le RGPD, a prévu plusieurs droits de l’utilisateur d’Internet permettant de garantir, entre autres :
- Le droit d’accès: permet de demander au responsable d’un fichier qui détient des informations sur un utilisateur d’Internet de lui communiquer l’intégralité des données qu’il détient sur lui.
- Le droit de rectification: permet à un utilisateur d’Internet de demander la rectification des informations inexactes le concernant.
- Le droit d’information: permet à un utilisateur d’obtenir une information concise et lisible sur les méthodes de traitement de ses données et comment faire valoir ses droits.
- Le droit à la portabilité: permet de récupérer des données personnelles afin de les transférer ailleurs.
- Le droit d’opposition: permet à l’utilisateur d’Internet de s’opposer à ce que ses données soient diffusées, transmises, conservées, et à ce qu’il figure dans un fichier.
- Le droit à la limitation du traitement: permet notamment à l’utilisateur de demander le gèle de l’utilisation de ses données suite à une demande de rectification ou d’opposition.
- Le droit d’effacement: permet à l’utilisateur de demander la suppression de ses données détenues par un organisme lorsque :
-
-
-
- Les données sont utilisées à des fins de prospection ;
- Les données ne sont pas nécessaires aux objectifs de la collecte/ traitement ;
- Le consentement est retiré ;
- Le traitement est illicite ;
- Les données ont été collectées lorsque la personne était mineure ;
- Les données doivent être effacées dans le respect d’une obligation légale ; ou
- Une opposition a été faite et le responsable n’a aucun motif légitime ou impérieux à les conserver.
-
-
- Le droit au déréférencement: permet de demander le déréférencement d’une page Internet associée à son nom.
- Le droit d’accès aux fichiers de police, gendarmerie, renseignement, administration fiscale: permet d’accéder aux données qui nous concernent dans ces fichiers.
Missions de la CNIL
La CNIL a plusieurs missions qui découlent de la Loi « Informatique et Libertés » et du RGPD, notamment :
- L’examen des plaintes, signalement ou litiges qui lui sont soumis pour des comportements qui ne respecteraient pas la Loi « Informatique et Libertés » ou le RGPD. La CNIL peut également être amenée à effectuer des missions de contrôle. Ces deux procédures peuvent notamment aboutir à des sanctions prononcées à l’encontre des opérateurs.
Elle a le pouvoir de prononcer diverses sanctions : avertissement, injonction, ou sanction pécuniaire dont le montant peut atteindre jusqu’à 4% du chiffres d’affaires de la société ou 20 millions d’euros.
Par exemple, elle a notamment engagé une procédure de sanction à l’égard de la société « Cdiscount », pour défaut de sécurité des données bancaires en ligne et manquements graves.
La société « Cdiscount » avait en effet conservé 4000 coordonnées bancaires de façon non sécurisée.
La CNIL a ainsi prononcé le 20 septembre 2016 un avertissement public (Délibération n° 2016-265) et a mis en demeure le 26 septembre 2016 (Délibération n°2016-083) la société Cdiscount.
Le groupe de presse PRISMA MEDIA a lui aussi été sanctionné par la CNIL pour non-respect de la réglementation relative à la prospection par email (Délibération n°2015-155 du 1er juin 2015).
La société n’informait pas systématiquement ni suffisamment les internautes inscrits sur le listing des newsletters du groupe des publications qu’ils allaient recevoir.
La CNIL a mis en demeure le groupe de presse, de cesser ses agissements. Etant donné qu’ils ont perduré, la CNIL a infligé une amende de 15000€ à PRISMA MEDIA.
En novembre 2020, deux des sociétés du groupe Carrefour ont également fait l’objet de sanctions en raison de nombreuses violations du RGPD dont notamment une violation relative aux durées de conservation des données personnelles (Délibération de la formation restreinte n°SAN-2020-008 et n°SAN-2020-009 du 18 novembre 2020 concernant la société CARREFOUR FRANCE).
A cet effet, les sociétés Carrefour ont respectivement été condamnées à 2 250 000 euros et 800 000 euros d’amendes.
Dans cette affaire, c’était en raison de nombreuses plaintes déposées par des consommateurs que la CNIL a effectué des examens auprès des sociétés Carrefour afin de vérifier le bon traitement des données personnelles de leur client.
La CNIL n’a pas eu besoin de prononcer d’injonction car les sociétés Carrefour se sont rapidement mises en conformité.
- L’anticipation par des veilles sur Internet et les réseaux sociaux pour détecter, analyser les conséquences que peuvent avoir les nouvelles technologies et leurs usages sur la vie privée. Elle mène une réflexion sur les problèmes éthiques et les questions de société soulevées par l’évolution des technologies numériques.
Dans le cadre de sa mission d’anticipation, la CNIL va vérifier que les sociétés ne collectent pas de données sans avoir effectué les déclarations nécessaires, que le consentement des personnes dont les données sont collectées est bien recueilli pour la transmission de ces données à des tiers, pour l’envoi de publicités par SMS, etc … (OPT-IN/OPT-OUT).
- L’examen des projets de loi et décrets qui lui sont soumis pour avis par le Gouvernement. Elle a ainsi été amenée à se prononcer sur le projet de loi pour une « République Numérique » de Madame Lemaire par exemple. Cette loi étend les prérogatives de la CNIL en créant de nouveaux droits pour les citoyens, et donc de nouvelles missions de régulation pour la CNIL.
Recommandations générales
Les entreprises qui collectent les données d’utilisateurs doivent être très vigilantes et :
- Effectuer les déclarations nécessaires ;
- Solliciter le consentement des personnes dont les données sont collectées pour la transmission de leurs données à des tiers, ou encore pour l’envoi de publicités par SMS par exemple ;
- Publier les mentions légales et leur politique de données personnelles sur leur site internet ;
- Donner la possibilité aux utilisateurs de disposer effectivement de leur droit d’accès et de modification à leurs données ;
- S’assurer que les mails envoyés aux utilisateurs prévoient toujours la possibilité de se désabonner.