La CNIL : son rôle, sa compétence et l’avenir de la protection des données personnelles

À la veille de la présentation du Cahier Innovation et Prospectives de la CNIL sur le Partage (plus d’infos en fin d’article), nous avons eu le plaisir de rencontrer Édouard Geffray. Le Secrétaire Général de l’institution nous présente la CNIL, son rôle, ses missions, ses compétences, ainsi que les nombreuses conséquences de l’adoption du Règlement Européen.

Pouvez-vous présenter votre rôle à la CNIL ?

Je suis Secrétaire Général de la CNIL. La CNIL est composée de 17 membres, issus d’horizon très divers. Ce collège élit son Président, en l’occurrence une Présidente : Isabelle Falque-Pierrotin. Elle dirige les services de l’institution (200 personnes). En tant que Secrétaire Général, j’assure le pilotage quotidien des services sous son autorité.

fonctionnement-cnil

Quelles sont les missions confiées à la CNIL ?

La CNIL est compétente de manière universelle. Sa mission couvre tout ce qui concerne la donnée personnelle. D’un point de vue macro, elle est compétente pour assurer la protection des données personnelles quel que soit celui qui la traite (administration, entreprise, association…) : connaître les traitements* de données, les autoriser ou non, informer les personnes et éventuellement contrôler et sanctionner. Une donnée est personnelle dès lors qu’elle peut être rattaché à une personne qui est directement ou indirectement identifiable : nom, prénom, mais également numéro de carte de bleue, adresse IP, cookie avec données de sessions etc. Le champ de la loi est volontairement large.

* Définition de « traitement » (de données à caractère personnel) : Toute opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, …).

L’information, le conseil

La CNIL est compétente en amont pour l’information du public et des responsables de traitement (136 000 appels par an à la permanence juridique). Il y a un an, nous avons lancé un service “Besoin d’aide” sur le site de la CNIL pour permettre aux publics de poser une question en langage naturel. C’est consulté entre 700 et 1000 fois par jour, cela en dit long sur la demande des particuliers et des professionnels à ce sujet. Le conseil est de plus en plus important pour la CNIL. S’ils ont besoin de plus d’information que ce qui est disponible dans la nouvelle rubrique « professionnels » de cnil.fr, les entreprises et les administrations peuvent nous appeler pour savoir comment être conforme à la loi Informatique et Libertés.

Nous rendons également des avis sur les projets de lois, nous répondons à des commissions d’enquête et nous conseillons les décideurs.

La déclaration, les autorisations

En France, vous n’avez pas le droit de traiter des données personnelles si vous ne l’avez pas déclaré à la CNIL ou si vous n’avez pas reçu l’autorisation de la CNIL. La déclaration concerne tous les traitements courants (95 000 déclarations par an) et les autorisations concernent le traitement de données sensibles (opinions religieuses, politiques, appartenances syndicales, données de santé, orientation sexuelle…) ou quand vous les traitez pour certains objectifs sensibles (exclure les personnes des bénéfices d’un droit ou d’un contrat…). Chaque année, le collège délivre 2500 autorisations par an, les services n’ont pas de pouvoir décisionnel.

Avec le Règlement Européen qui entre en vigueur en 2018, le régime des déclarations va être considérablement allégé et en contre-partie les professionnels seront plus responsabilisés.

Les mises en demeure et les sanctions

On a reçu 8000 plaintes en 2015 (+36% sur un an, une tendance très forte notamment autour du droit au déréférencement). Nous avons fait 510 contrôles sur place, sur pièce, ou en ligne. Nous avons un système de mise en demeure (93 en 2015) et de sanctions (entre 10 et 20 par an). À chaque étape, dans 80% des cas, le fait que la CNIL intervienne se traduit par la résolution du problème. Notre champ d’intervention est systématiquement opéré par un double regard juridique et technologique, et 85% des contrôles opérés par la CNIL donnent lieu à des recommandations en matière de sécurité. Nous agissons sur l’ensemble de la chaîne et nous essayons de faire en sorte que chaque maillon se mette au niveau pour éviter tout effet “maillon faible”.

cnil-controles-sanctions

Dans quels cas la CNIL est-elle compétente ?

La compétence de la CNIL existe dès que vous traitez une donnée à caractère personnel. Que vous soyez une administration, une entreprise, une association… À partir du moment où vous traitez de la donnée personnelle, la loi Informatique et Libertés de 1978 s’applique et la CNIL est compétente. Au stade préalable, tout le monde est censé déclarer ses traitements à la CNIL (mais cela va disparaître) ou obtenir une autorisation. Tout le monde peut demander conseil à la CNIL.

Pour les contrôles, il y a trois origines :

  • ⅓ sont issus de plaintes. Nous réalisons un contrôle quand nous constatons un problème systémique.
  • ⅓ sont issus du programme annuel des contrôles, arrêté et rendu public par la Commission chaque année, autour de grandes thématiques.
  • ⅓ sont issus de contrôles aléatoires : entreprises ou administration qu’on choisit en fonction des déclarations, de problématiques emergentes, d’échos médiatiques ou de signalements (failles de sécurité…).

Le cadre juridique d’aujourd’hui diffère un peu du cadre juridique de demain. Aujourd’hui, nous sommes compétents dès lors qu’une entreprise à un établissement sur le territoire national ou, si elle n’a pas d’établissement en Europe, si les a des moyens de collecte sur le territoire national.

Exemple : la CNIL est compétente pour une entreprise domiciliée aux Îles Cayman qui dépose des cookies sur l’ordinateur d’un Français.

Nous avons toujours considéré que la CNIL était compétente dès lors qu’un établissement en France participait au traitement des données. Ce raisonnement a été conforté par la Cour de Justice de l’Union Européenne, notamment sur le déréférencement (arrêt Costeja, mai 2014). Nous sommes donc compétents pour Facebook et pour Google, ce qui nous permet de prononcer des mises en demeure et de décider de sanctions. Mais le cadre juridique va changer : bientôt, nous parlerons moins de la loi Informatique et Libertés, nous parlerons du Règlement Européen, adopté il y a un mois et appliqué dans deux ans sur tout le territoire européen. Selon ce texte, chacune des CNIL européennes sera compétente dès lors que ses citoyens seront visés par un traitement.

Exemple : Pour une entreprise e-commerce domiciliée aux Îles Cayman qui permet de payer en euros mais qui ne dépose pas de cookie, la CNIL n’est pas compétente pour le moment. Elle le sera bientôt, grâce au Règlement Européen. Le fait que le paiement en euros soit proposé permet de considérer que le site est dirigé vers les internautes européens. La compétence de la CNIL sera plus évidente qu’aujourd’hui grâce au Règlement Européen.

Nous sommes sur un phénomène dé-territorialisé, il est difficile d’appliquer une régulation territoriale. L’échelle européenne est pertinente car cela permet d’avoir une réponse collective, et le critère du ciblage est beaucoup plus logique que le critère de la localisation de l’entreprise.

Comment s’organisent les CNIL européennes ?

Aujourd’hui, les CNIL sont réunies au sein du G29 qui permet de coordonner leurs actions. Cet organisme au pouvoir consultatif est actuellement présidé par Isabelle Falque-Pierrotin (jusqu’en 2018). Si des CNIL doivent sanctionner une entreprise, elles reviennent sur leur régime national. Le Règlement Européen va y mettre fin : dès lors qu’on aura un traitement appliqué dans plusieurs pays européens, les CNIL des pays concernés devront prendre une décision conjointe au sein d’un nouvel organe : l’EDPB, European Data Protection Board, qui succédera au G29. Les CNIL co-décideront d’une éventuelle sanction. Le barème sera révisé : jusqu’à 20 millions d’euros d’amende pour une entité qui n’a pas de chiffre d’affaires, et jusqu’à 4% du chiffre d’affaires mondial consolidé pour les entreprises. Aujourd’hui, en France, la loi fixe un plafond de sanction à 150 000 euros, la loi Lemaire prévoir d’aller jusqu’à 1 million d’euros. On change de braquet car la donnée devient un enjeu financier considérable. Dès lors qu’il y a un actif financier, le risque de préjudice est important pour les personnes et le cadre juridique doit s’adapter.

g29

Quelles sont les autres conséquences du Règlement Européen ?

Pour les particuliers

Il conforte les droits. Il en crée aussi un nouveau, le droit à la portabilité. C’est le même principe que la portabilité du numéro pour les opérateurs téléphoniques, mais pour les données personnelles. Si vous fournissez des données personnelles à un acteur (réseau social, CAF, entreprise e-commerce…), vous aurez le droit de récupérer ces données dans un format aisément réutilisable. Vous pourrez ensuite les réinjecter auprès d’un autre acteur, afin de changer facilement de réseau social, de site e-commerce etc.

Pour les professionnels, les entreprises

Les formalités administratives sont fortement simplifiées. Les déclarations sont supprimées. La déclaration n’est plus adaptée à un environnement aussi évolutif que le numérique. Nous faisons disparaître les déclarations préalables, sauf pour celles qui sont soumises à une autorisation ou lorsqu’une étude d’impact sur la vie privée est nécessaire. Nous simplifions la vie des entreprises en amont, mais nous les responsabilisons à travers :

  • L’accountability : elles devront mettre en place des process internes de suivi et de protection des données.
  • La désignation d’un Data Protection Officer (ou DPO, successeur du CIL, le Correspondant Informatique et Libertés) dès lors qu’elles feront des traitements à grande échelle ou qu’elles traiteront des données sensibles. Le DPO sera également obligatoire pour le secteur public, quel que soit la nature du traitement.

Nous avons mis en ligne une consultation publique, jusqu’au 15 juillet, pour que chaque entreprise puisse nous transmettre ses questions sur le Règlement Européen, ses interrogations, et que nous puissions y répondre au mieux.

Une matinée d’échanges sur la thématique du Partage

Le Pôle innovation et prospective de la CNIL anime ce mercredi 29 juin une matinée d’échange pour lancer la publication « Partage ! » , réalisée pour la première fois avec le comité de la prospective de la CNIL. 2 tables-rondes suivront. Cet événement est organisé au Comptoir Général à Paris, vous devez vous inscrire pour y participer (gratuit, places limitées).

cnil-partage

Le rôle du Pôle Innovation

Au sein de la CNIL, le Pôle innovation est composé de trois chargés d’études. Ce ne sont pas des profils juridiques, mais deux profils Sciences Po et un économiste. C’est singulier, car la CNIL est composée de 75% de juristes et 15% de profils techniques. Le pôle essaye de porter un regard différent sur des sujets émergents, porteurs d’enjeux pour la vie privée et les données personnelles : étude sur les drones il y a quelques années, étude sur l’IOT et la santé (quantified self…) il y a deux ans… Le pôle s’intéresse aussi aux entreprises plus matures, pour mieux comprendre l’utilisation des données utilisateur : récemment, il a publié un document sur la place des données personnelles dans les industries culturo-ludiques, pour montrer comment Netflix, Deezer et consorts produisent de la recommandation au travers d’algorithmes.

Les activités du Pôle innovation

Le pôle publie une étude prospective tous les 18 mois (cahiers innovation et prospective) et informe le public de ses travaux sur Linc. Un nouveau média, dont l’objectif est de médiatiser les sujets en cours de réflexion (véhicule connecté…). Le Pôle innovation souligne les enjeux qui se posent du côté des données personnelles et peut identifier des pistes de régulation sur ces sujets. On retrouve aussi les expérimentations du laboratoire, tels que Cookieviz ou Mobilitics. L’autre mission du pôle est d’être un point de contact pour les écosystèmes innovants : think tanks comme la FING, des start-ups, des incubateurs…

Partage : le 29 juin à Paris

Le Pôle innovation organise également des événements pour montrer ses travaux et interagir avec les écosystèmes innovants. Ce mercredi 29 juin sera présenté un cahier Innovation et Prospective réalisé avec le comité de la prospective (une quinzaine d’experts issus d’horizons variés : Tristan Nitot, Dominique Cardon, Laurent Alexandre, Pierre-Jean Benghozi…). L’idée : réfléchir à des sujets sous le prisme de l’éthique. Cette année, le thème choisi est “le partage”. L’étude vise à avoir un regard critique sur l’économie collaborative, sur les tensions que cela peut créer entre l’individuel et le collectif… L’objectif est d’avoir une vision méta sur des sujets qui posent question, sur des problématiques liées aux données individuelles, dans un univers numérique.

Le cahier sera présenté au Comptoir Général ce mercredi matin. Deux tables rondes seront organisées :

  • Quelle valeur donner au partage ?
  • Quel partage de la valeur ? Enjeux de pouvoir et de régulation ?

Le programme complet est disponible ici. Vous devez vous inscrire pour assister à l’événement.

OFFRES D'EMPLOI WEB

Responsable Marketing CRM H/F

En collaboration étroite avec la Direction, vous accompagnez la Caisse Régionale dans son développement commercial et prenez la responsabilité de l'équipe CRM composée de 4 personnes. En lien avec le Pôle ...

Concepteur Développeur JAVA H/F

Geser-Best : société de service et d'ingénierie (300 personnes / 10 agences) accompagne ses clients depuis 1990 en proposant une offre de services étendue en France et à l'International allant ...

Concepteur Développeur J2EE H/F

Geser-Best : société de service et d'ingénierie (300 personnes / 10 agences) accompagne ses clients depuis 1990 en proposant une offre de services étendue en France et à l'international allant ...

Commentaires

Laisser un commentaire

Il est possible d’utiliser ces balises HTML :
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>
Ce blog supporte le système Gravatar, pour obtenir le vôtre, inscrivez-vous sur Gravatar