AdmisConcours
← Droit administratif

La CNIL, gardienne des libertés numériques et de la protection des données personnelles

La CNIL, autorité administrative indépendante créée en 1978 à la suite de l'affaire SAFARI, veille au respect des libertés numériques dans un cadre juridique profondément renouvelé par le RGPD. Dotée de pouvoirs de contrôle, de sanction et de conseil, elle garantit les droits des personnes sur leurs données personnelles et coopère avec la CADA pour concilier transparence administrative et protection de la vie privée.

Les origines de la protection des données personnelles en France

L'histoire de la protection des données personnelles en France est indissociable de l'affaire SAFARI (Système automatisé pour les fichiers administratifs et le répertoire des individus). Le 21 mars 1974, le quotidien Le Monde révèle l'existence d'un projet gouvernemental visant à interconnecter l'ensemble des fichiers administratifs grâce au numéro INSEE, permettant ainsi un fichage généralisé de la population. L'émoi suscité dans l'opinion publique conduit le gouvernement à constituer une commission de réflexion, dont les travaux aboutissent à l'adoption de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, texte fondateur qui crée la Commission nationale de l'informatique et des libertés (CNIL).

Cette loi pionnière, adoptée avant même la Convention 108 du Conseil de l'Europe de 1981, posait déjà le principe selon lequel l'informatique doit être au service de chaque citoyen et ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques (article 1er de la loi du 6 janvier 1978). La France faisait ainsi figure de précurseur en Europe, aux côtés du Land de Hesse en Allemagne (1970) et de la Suède (1973).

Le cadre juridique actuel : articulation entre droit national et droit européen

Le cadre normatif de la protection des données a connu une transformation majeure avec l'adoption du Règlement général sur la protection des données (RGPD), règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, entré en application le 25 mai 2018. Directement applicable dans tous les États membres, le RGPD a opéré un changement de paradigme en substituant à la logique de déclaration préalable une logique de responsabilisation (accountability) des responsables de traitement.

En droit interne, la loi du 20 juin 2018 relative à la protection des données personnelles a adapté le droit français au RGPD et à la directive (UE) 2016/680 relative aux traitements en matière pénale. Le décret du 29 mai 2019 a précisé les modalités d'application. La loi du 6 janvier 1978, profondément remaniée, demeure le socle législatif national en la matière, en complémentarité avec le RGPD qui prime en cas de conflit en vertu du principe de primauté du droit de l'Union européenne.

La loi pour une République numérique du 7 octobre 2016 a en outre confié à la CNIL une mission de réflexion sur les enjeux éthiques des évolutions de l'informatique et sur les questions de société soulevées par les technologies numériques, élargissant ainsi son champ d'intervention au-delà du strict contrôle de conformité.

La composition et les pouvoirs de la CNIL

La CNIL est une autorité administrative indépendante composée d'un collège de dix-huit membres (depuis la loi du 20 juin 2018) : quatre parlementaires (deux députés, deux sénateurs), deux membres du Conseil économique, social et environnemental, six représentants des hautes juridictions (deux conseillers d'État, deux conseillers à la Cour de cassation, deux conseillers à la Cour des comptes), cinq personnalités qualifiées désignées respectivement par le Président de l'Assemblée nationale, le Président du Sénat et le Président de la République en Conseil des ministres, ainsi que le président de la CADA.

La CNIL dispose de pouvoirs étendus qui la distinguent de la plupart des AAI. Son pouvoir de contrôle lui permet de vérifier sur place ou sur pièces la conformité des traitements de données. Son pouvoir de sanction, exercé par la formation restreinte (distincte du collège plénier pour garantir l'impartialité conformément aux exigences de l'article 6§1 de la CEDH, CE, Ass., 21 décembre 2006, Société De Dietrich), peut conduire à des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise, le montant le plus élevé étant retenu. La CNIL peut également prononcer des injonctions, des mises en demeure, des avertissements et ordonner la limitation temporaire ou définitive d'un traitement.

En matière de pouvoir consultatif, la CNIL rend des avis sur les projets de textes réglementaires relatifs à la protection des données, conseille les organismes et participe aux auditions parlementaires. Elle contribue également au développement de solutions technologiques protectrices de la vie privée (privacy by design).

Les droits des personnes et la saisine de la CNIL

Le RGPD consacre un ensemble de droits au bénéfice des personnes concernées par un traitement de données. Le droit à l'information (articles 13 et 14 RGPD) impose au responsable de traitement de faire preuve de transparence sur les finalités de la collecte, les modalités d'utilisation et les droits des personnes. Le droit d'opposition (article 21 RGPD) permet à toute personne de s'opposer, pour des motifs légitimes, au traitement de ses données, notamment à des fins de prospection commerciale. Le droit de rectification (articles 16 et 19 RGPD) permet d'obtenir la correction de données inexactes ou incomplètes.

Le droit à l'effacement (article 17 RGPD), parfois qualifié de "droit à l'oubli", permet d'obtenir la suppression de données dans certains cas (retrait du consentement, traitement illicite). Le droit au déréférencement, consacré par la Cour de justice de l'Union européenne dans l'arrêt fondateur CJUE, 13 mai 2014, Google Spain (C-131/12), permet de faire supprimer des résultats de recherche associés au nom d'une personne. Le Conseil d'État a précisé la portée territoriale de ce droit en jugeant que le déréférencement ne peut être exigé qu'à l'échelle de l'Union européenne (CE, 6 décembre 2019, Mme X).

La saisine de la CNIL par voie de plainte obéit au principe de subsidiarité : le citoyen doit d'abord exercer ses droits directement auprès de l'organisme responsable du traitement. Ce n'est qu'en cas de réponse insatisfaisante ou d'absence de réponse dans un délai d'un mois que la personne peut saisir la CNIL. Des procédures spécifiques, dites de droit d'accès indirect, sont prévues pour les fichiers de police, de gendarmerie et de renseignement : la CNIL procède elle-même aux vérifications et informe le demandeur que les vérifications ont été effectuées, sans révéler le contenu des données.

Certains organismes, notamment publics, sont tenus de désigner un délégué à la protection des données (DPO, Data Protection Officer), interlocuteur privilégié pour les personnes concernées et point de contact avec la CNIL.

Les sanctions notables et l'activité répressive de la CNIL

L'activité de sanction de la CNIL s'est considérablement intensifiée depuis l'entrée en application du RGPD. Parmi les décisions marquantes, la sanction de 50 millions d'euros infligée à Google LLC le 21 janvier 2019 pour manque de transparence et absence de consentement valable en matière de personnalisation publicitaire a constitué un tournant. La formation restreinte a également sanctionné la société Futura Internationale à hauteur de 500 000 euros le 26 novembre 2019 pour de multiples manquements : non-respect du droit d'opposition, commentaires injurieux dans les fichiers, information insuffisante des personnes démarchées, défaut de coopération avec la CNIL et encadrement insuffisant des transferts de données vers des prestataires situés hors de l'Union européenne.

Le Conseil d'État, juge de cassation des décisions de la CNIL, a confirmé la sanction de 250 000 euros infligée à la société Optical Center pour défaut de sécurisation des données de santé (CE, 17 avril 2019, Société Optical Center, n° 422575). Cette jurisprudence illustre l'importance de l'obligation de sécurité pesant sur les responsables de traitement (article 32 RGPD).

Plus récemment, les sanctions ont atteint des montants considérables : 150 millions d'euros contre Google en décembre 2021 et 60 millions d'euros contre Facebook en décembre 2021 pour des manquements relatifs aux cookies, illustrant le rôle de la CNIL comme régulateur de premier plan à l'échelle européenne.

La coopération entre la CADA et la CNIL et les enjeux de l'open data

Les missions de la CADA et de la CNIL sont complémentaires et parfois en tension : la transparence administrative promue par la CADA peut entrer en conflit avec la protection des données personnelles garantie par la CNIL. Cette problématique est particulièrement aiguë en matière d'open data (données ouvertes), où les administrations publient en ligne des bases de données qui peuvent contenir des informations à caractère personnel.

À la suite d'une consultation publique menée au printemps 2019, les deux commissions ont élaboré un guide pratique de la publication en ligne et de la réutilisation des données publiques, posant les règles d'articulation entre transparence et protection de la vie privée. Ce guide rappelle notamment que la publication en open data de documents comportant des données personnelles doit respecter les principes de minimisation et de proportionnalité issus du RGPD, et que l'anonymisation constitue une solution privilégiée lorsqu'elle est techniquement réalisable.

À retenir

  • La CNIL, créée par la loi du 6 janvier 1978 à la suite de l'affaire SAFARI, est une AAI disposant de pouvoirs de contrôle, de sanction (jusqu'à 20 millions d'euros ou 4 % du CA mondial) et de conseil en matière de protection des données personnelles.
  • Le RGPD (2016/679), entré en application le 25 mai 2018, constitue le cadre juridique européen de référence, articulé avec la loi nationale du 6 janvier 1978 modifiée par la loi du 20 juin 2018.
  • Les droits des personnes (information, opposition, rectification, effacement, déréférencement) s'exercent d'abord auprès du responsable de traitement ; la CNIL n'est saisie qu'en cas d'échec de cette démarche préalable.
  • Le droit au déréférencement, consacré par la CJUE (Google Spain, 2014), a vu sa portée territoriale limitée à l'échelle européenne par le Conseil d'État (CE, 6 décembre 2019).
  • La coopération CADA-CNIL est essentielle en matière d'open data pour concilier transparence administrative et protection des données personnelles.
Partager

Références

  • Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
  • Loi du 20 juin 2018 relative à la protection des données personnelles
  • Loi du 7 octobre 2016 pour une République numérique
  • Décret du 29 mai 2019
  • Règlement (UE) 2016/679 du 27 avril 2016 (RGPD)
  • Convention 108 du Conseil de l'Europe (1981)
  • CJUE, 13 mai 2014, Google Spain, C-131/12
  • CE, 6 décembre 2019, Mme X (déréférencement)
  • CE, 17 avril 2019, Société Optical Center, n° 422575
  • CE, Ass., 21 décembre 2006, Société De Dietrich
  • CNIL, 21 janvier 2019, sanction Google LLC (50 millions d'euros)
  • CNIL, 26 novembre 2019, sanction Futura Internationale (500 000 euros)
  • Art. 13, 14, 16, 17, 19 et 21 RGPD
  • Art. 32 RGPD (obligation de sécurité)

Flashcards (8)

2/5 Combien de membres composent le collège de la CNIL depuis la loi du 20 juin 2018 ?
Dix-huit membres : quatre parlementaires, deux membres du CESE, six représentants des hautes juridictions, cinq personnalités qualifiées et le président de la CADA.

7 flashcard(s) supplémentaire(s)

Créer un compte gratuit

QCM

Pourquoi la séparation entre le collège plénier et la formation restreinte de la CNIL est-elle juridiquement nécessaire ?

Quel est le principal changement de paradigme introduit par le RGPD par rapport à l'ancien régime de la loi de 1978 ?

Quel règlement européen constitue le cadre juridique principal de la protection des données personnelles dans l'Union européenne ?

Quelle sanction la formation restreinte de la CNIL a-t-elle prononcée à l'encontre de Google LLC le 21 janvier 2019 ?

Un citoyen souhaite faire supprimer des résultats de recherche associés à son nom sur un moteur de recherche. Quelle démarche doit-il suivre ?

Testez vos connaissances

Évaluez votre maîtrise de Droit administratif avec nos QCM interactifs.

Faire le QCM Droit administratif

Fiches connexes

Le pouvoir discrétionnaire du préfet et l'effectivité du contrôle de légalité

Le préfet dispose d'un pouvoir discrétionnaire dans l'exercice du déféré préfectoral, mais son abstention prolongée face à des illégalités évidentes peut engager la responsabilité de l'État pour faute lourde. En pratique, le contrôle de légalité souffre d'un déficit d'effectivité lié au manque de personnel et à la priorité donnée au dialogue. La modernisation passe par l'intelligence artificielle et la mutualisation des compétences juridiques entre préfectures.
Le déféré préfectoral : mise en œuvre, portée et limites du contrôle juridictionnel des actes locaux

Le déféré préfectoral est le recours par lequel le préfet saisit le tribunal administratif d'un acte local qu'il estime illégal. Assimilé au recours pour excès de pouvoir (sauf pour les contrats, relevant du plein contentieux), il peut être spontané ou provoqué, et doit être exercé dans un délai de deux mois. Le recours gracieux et le rescrit préfectoral permettent d'éviter le contentieux, tandis que des mécanismes de suspension renforcés protègent les domaines sensibles.
L'obligation de transmission des actes locaux au préfet : régime procédural et matériel

Le régime de transmission des actes locaux au préfet distingue les actes soumis à transmission obligatoire (délibérations, décisions de police, contrats, actes d'urbanisme, décisions de personnel) de ceux qui ne le sont pas. La transmission, assurée par l'autorité exécutive, doit être complète et peut être effectuée par voie électronique. Le préfet dispose de la faculté de demander des pièces complémentaires sous des conditions de précision et de délai strictement encadrées.
Partager :

Cette fiche vous a été utile ?

Créez un compte gratuit pour accéder aux QCM complets, suivre votre progression et recevoir les notes de préparation.

S'inscrire gratuitement Par email