2016 LA CNIL EN BREF Protéger les données personnelles Accompagner l innovation Préserver les libertés individuelles www.cnil.fr
Qu est-ce qu une donnée personnelle? Il s agit de toute information relative à une personne physique identifiée ou susceptible de l être, directement ou indirectement, par référence à un numéro d identification (ex. : n de sécurité sociale) ou à un ou plusieurs éléments qui lui sont propres (ex. : nom et prénom, date de naissance, éléments biométriques, empreinte digitale, ADN...). STATUT & COMPOSITION UNE AUTORITÉ ADMINISTRATIVE INDÉPENDANTE Créée en 1978, la CNIL est une autorité administrative indépendante qui exerce ses missions conformément à la loi «Informatique et Libertés» du 6 janvier 1978 modifiée le 6 août 2004. L indépendance de la CNIL est garantie par sa composition et son organisation. Les dix-sept membres qui la composent sont pour la plupart élus par les assemblées ou les juridictions auxquelles ils appartiennent. Elle élit son Président parmi ses membres et ne reçoit d instruction d aucune autorité. Isabelle Falque-Pierrotin, Conseiller d État, préside la CNIL depuis septembre 2011. Les services de la CNIL se composent de 192 agents contractuels. 4 parlementaires (2 députés, 2 sénateurs). 2 membres du Conseil économique, social et environnemental. 6 représentants des hautes juridictions (2 conseillers d État, 2 conseillers à la Cour de cassation, 2 conseillers à la Cour des comptes). 5 personnalités qualifiées désignées par le Président de l Assemblée nationale (1 personnalité), le Président du Sénat (1 personnalité), en Conseil des ministres (3 personnalités). Le mandat des commissaires est de 5 ans ou, pour les parlementaires, d une durée égale à leur mandat électif. FONCTIONNEMENT LES SÉANCES PLÉNIÈRES Les membres de la CNIL se réunissent en séances plénières une fois par semaine sur un ordre du jour établi à l initiative de son Président. Une partie importante de ces séances est consacrée à l examen de projets de loi et de décrets soumis à la CNIL pour avis par le Gouvernement. La CNIL autorise également les traitements les plus sensibles, parmi lesquels figurent ceux faisant appel à la biométrie. Elle analyse les conséquences des nouveautés technologiques sur la vie privée. LA FORMATION RESTREINTE Depuis la loi du 6 août 2004, la formation restreinte de la CNIL, composée de 5 membres et d un Président distinct du Président de la CNIL, peut prononcer diverses sanctions à l égard des responsables de traitement qui ne respecteraient pas la loi. Le montant des sanctions pécuniaires peut atteindre 300 000 euros. Ces sanctions pécuniaires peuvent être rendues publiques.
La CNIL en 2015 CONSEILLER ET RÉGLEMENTER 2 571 DÉCISIONS ET DÉLIBÉRATIONS ADOPTÉES DONT : 244 AUTORISATIONS 122 DEMANDES D AVIS La CNIL accompagne le développement des nouvelles technologies au quotidien et participe à la construction d une éthique du numérique. 1 076 AUTORISATIONS DE TRANSFERT 50 339 FORMALITÉS SIMPLIFIÉES ACCOMPAGNER LA CONFORMITÉ 96 323 DOSSIERS DE FORMALITÉS 12 463 DÉCLARATIONS RELATIVES À DES SYSTÈMES DE VIDÉOSURVEILLANCE 73 LABELS DÉLIVRÉS 359 AUTORISATIONS DE SYSTÈMES BIOMÉTRIQUES PROTÉGER LES CITOYENS 7 908 PLAINTES, DONT : 36 % concernent internet 450 PLAINTES suite à des refus de demandes de déréférencement auprès des moteurs de recherche CONTRÔLER 510 CONTRÔLES 155 contrôles en ligne 5 890 DEMANDES DE DROIT D ACCÈS à des fichiers de police, de gendarmerie, de renseignement, FICOBA, etc. 8 784 VÉRIFICATIONS RÉALISÉES 87 CONTRÔLES DE VIDÉOPROTECTION 6 852 DÉCLARATIONS RELATIVES À DES DISPOSITIFS DE GÉOLOCALISATION METTRE EN DEMEURE ET SANCTIONNER 93 MISES EN DEMEURE EFFECTIFS DE LA CNIL 192 POSTES 64 % de femmes 16 406 ORGANISMES ONT DÉSIGNÉ UN CORRESPONDANT «INFORMATIQUE ET LIBERTÉS» 10 SANCTIONS : 7 AVERTISSEMENTS 3 SANCTIONS FINANCIÈRES 36 % d hommes
INFORMER, ÉDUQUER La CNIL est investie d une mission générale d information des personnes des droits que leur reconnaît la loi «Informatique et Libertés». La CNIL répond aux demandes des particuliers et des professionnels. Elle a reçu en 2015 plus de 136 000 appels téléphoniques. Elle mène des actions de communication grand public que ce soit à travers la presse, son site Internet, sa présence sur les réseaux sociaux ou en mettant à disposition des outils pédagogiques. Directement sollicitée par de nombreux organismes, sociétés ou institutions pour conduire des actions de formation et de sensibilisation à la loi «Informatique et Libertés», la CNIL participe aussi à des colloques, des salons ou des conférences pour informer et en même temps s informer. Elle fédère un Collectif de 60 organismes qui mènent des actions en faveur de l éducation au numérique. PROTÉGER LES DROITS DES CITOYENS Toute personne peut s adresser à la CNIL en cas de difficulté dans l exercice de ses droits. La CNIL veille à ce que les citoyens accèdent efficacement aux données contenues dans les traitements les concernant. En 2015, la CNIL a reçu 7 908 plaintes qui concernent : l e-réputation (demandes de suppression de contenus sur internet), le commerce (opposition à recevoir des courriels publicitaires), les ressources humaines (dispositifs de contrôle : vidéosurveillance, géolocalisation des véhicules), la banque et le crédit (contestation de l inscription dans l un des fichiers de la banque de France). Besoin d aide est disponible depuis 2015 sur cnil.fr. Ce service propose 500 questions/réponses pratiques et la possibilité d adresser une demande (plus de 10 000 demandes reçues en 2015). QUELS SONT VOS DROITS? Le droit d accès Vous pouvez demander directement au responsable d un fichier s il détient des informations sur vous, et demander à ce que l on vous communique l intégralité de ces données. Le droit de rectification Vous pouvez demander la rectification des informations inexactes vous concernant. Le droit de rectification complète le droit d accès. Le droit d opposition Vous pouvez vous opposer, pour des motifs légitimes, à figurer dans un fichier. Vous pouvez vous opposer à ce que les données vous concernant soient diffusées, transmises ou conservées. Le droit au déréférencement Vous pouvez saisir les moteurs de recherche de demandes de déréférencement d une page web associée à votre nom et prénom. Le droit d accès aux fichiers de police, de gendarmerie, de renseignement, FICOBA Lorsque vous ne pouvez pas demander directement aux services de police, de gendarmerie ou de renseignement, ou à l administration fiscale d accéder aux données qui vous concernent, le droit d accès s exerce de manière indirecte par l intermédiaire de la CNIL.
Correspondant Informatique et Libertés CONSEILLER ET RÉGLEMENTER La régulation des données personnelles passe par différents outils : des autorisations pour mettre en œuvre des traitements, des avis sur des projets de textes d origine gouvernementale impliquant des données personnelles ou créant de nouveaux fichiers, des cadres juridiques simplifiant l accomplissement des formalités préalables, ACCOMPAGNER LA CONFORMITÉ L objectif est de proposer une «boîte à outils» de la conformité prenant appui sur les divers leviers d action dont dispose la CNIL : les correspondants «Informatique et Libertés» qui constituent le réseau privilégié des experts, le développement des labels et des règles internes d entreprise ou BCR (Binding Corporate Rules) qui encadrent le transfert des données des multinationales hors Union européenne, la création de «packs de conformité» qui sont des référentiels sectoriels, couvrant un secteur d activité ou une branche professionnelle dans son intégralité. des recommandations permettant de fixer sa doctrine dans certains domaines, des demandes de conseils des responsables de traitement, dans des proportions de plus en plus importantes, notamment par l intermédiaire des correspondants «Informatique et Libertés». Le bilan de l activité 2015 témoigne d une activité en nette augmentation par rapport à l année précédente, avec 2571 DÉCISIONS ET DÉLIBÉRATIONS ADOPTÉES. Les labels La CNIL a la possibilité de délivrer des labels, à des produits ou à des procédures ayant trait à la protection des données à caractère personnel. Le label CNIL permet aux entreprises de se distinguer par la qualité de leur service. Pour les utilisateurs, c est un indicateur de confiance dans les produits, les procédures ou les organismes labellisés, qui permet ainsi d identifier et privilégier les organismes qui garantissent un haut niveau de protection de leurs données personnelles. LE CIL Un expert au cœur de la conformité Le CIL est un véritable acteur interne de la conformité, qui veille à la sécurité juridique et informatique de son organisme. Plus de 16.300 organismes ont déjà fait le choix de désigner un CIL pour piloter ces sujets. En octobre 2015, le correspondant «Informatique et Libertés (CIL)» a fêté son 10e anniversaire à l aube de l entrée en vigueur du règlement européen de l UE sur la protection des données personnelles, qui le place au cœur de la gouvernance des nouveaux outils de conformité.
ANTICIPER Dans le cadre de son activité d innovation et de prospective, la CNIL s efforce de concilier deux objectifs : prendre en compte très en amont de nouveaux sujets, autour par exemple de tendances, de technologies ou d usages émergents, et aborder des sujets d étude et d analyse par l intermédiaire d outils et de projets innovants. LINC Un nouveau média dédié aux innovations numériques Pour contribuer aux débats sur le numérique la CNIL a lancé LINC, «Laboratoire d Innovation Numérique de la CNIL». Éclairages et réflexions prospectives, partages et expérimentations sont au cœur de cet espace éditorial. CONTRÔLER ET SANCTIONNER Le contrôle a posteriori constitue un moyen privilégié d intervention auprès des responsables de traitement de données personnelles. Il permet à la CNIL de vérifier sur place la mise en œuvre concrète de la loi. Le programme des contrôles est élaboré en fonction des thèmes d actualité et des grandes problématiques (actualité, nouvelles technologies) dont la CNIL est saisie. À l issue de contrôles ou de plaintes, la formation restreinte de la CNIL, composée de 5 membres et d un Président distinct du Président de la CNIL, peut prononcer diverses sanctions : Un avertissement, qui peut être rendu public. Dans l hypothèse où le Président de la CNIL a, au préalable, prononcé une mise en demeure, et que le responsable de traitement ne s y est pas conformé, la formation restreinte peut prononcer, à l issue d une procédure contradictoire : Une sanction pécuniaire (sauf pour les traitements de l État) d un montant maximal de 150 000, et, en cas de récidive, jusqu à 300 000. Cette sanction peut être rendue publique ; la formation restreinte peut également ordonner l insertion de sa décision dans la presse, aux frais de l organisme sanctionné. Le montant des amendes est perçu par le Trésor Public et non par la CNIL. Une injonction de cesser le traitement. Un retrait de l autorisation accordée par la CNIL. Le laboratoire La CNIL a créé, en son sein, un laboratoire, doté de moyens informatiques dédiés, pour tester et expérimenter des produits et applications innovantes. Ce laboratoire permet de disposer des nouveaux produits le plus en amont possible de leur commercialisation afin de tester leurs fonctionnalités, et d évaluer leurs impacts sur la protection de la vie privée. Dans une logique de privacy by design, la CNIL entend renforcer sa mission de conseil auprès des entreprises en matière d intégration des exigences de protection des données personnelles dans leur processus de développement technologique. Enfin, elle souhaite contribuer au développement de solutions technologiques protectrices de la vie privée. Le Comité de la prospective Composé de 15 membres extérieurs à la CNIL, ce comité a vocation à enrichir la réflexion de la CNIL sur les enjeux sociétaux et éthiques du numérique afin de mieux cerner leurs impacts sur les droits et libertés. Il constitue un espace privilégié d échanges. En 2016, il étudiera notamment la place des données personnelles dans la société et l économie du partage. 93 MISES EN DEMEURE 155 CONTRÔLES EN LIGNE Depuis mars 2014, la CNIL dispose d un nouveau pouvoir de constatation en ligne qui lui permet d être plus réactive et efficace dans l univers numérique. Les contrôles sont effectués depuis les locaux de la CNIL sans la présence du responsable de traitement, qui est informé une fois les vérifications effectuées. SOIT 50% DE PLUS QU EN 2014 Les mises en demeure conduisent dans la grande majorité des cas à une mise en conformité et donc à une clôture.
LA CNIL À L INTERNATIONAL Le règlement européen sur la protection des données personnelles a été publié le 4 mai 2016. Il va permettre à l Europe de s adapter aux nouvelles réalités du numérique. Il sera applicable en 2018 dans tous les pays de l Union européenne. G29 : depuis février 2014, la Présidente de la CNIL préside le G29, le groupe de travail rassemblant les représentants des 28 autorités indépendantes de protection des données nationales. Cette organisation qui réunit l ensemble des CNIL européennes tous les deux mois environ à Bruxelles, a pour mission : de contribuer à l élaboration des normes européennes en adoptant des recommandations, de rendre des avis sur le niveau de protection dans les pays hors UE, de conseiller la Commission européenne sur tout projet ayant une incidence sur la protection des données et des libertés des personnes. La CNIL, agissant au titre de représentant de la Conférence Internationale des Commissaires à la Protection des Données et de la Vie Privée participe aux travaux de plusieurs instances internationales : L OCDE : participation au groupe de travail concernant la révision des lignes directrices sur la protection de la vie privée et des transferts de données et représentation de la Conférence Internationale des Commissaires à la Protection des Données et de la Vie Privée. Le Conseil de l Europe : suivi des travaux de modernisation de la convention 108 et des activités du Comité consultatif de la convention 108 en qualité d observateur agissant au titre de représentant de la Conférence Internationale des Commissaires à la Protection des Données et de la Vie Privée. L APEC : La zone de Coopération Économique de l Asie- Pacifique regroupe 21 pays a vocation à faciliter le commerce transfrontalier dans la zone et à faciliter le développement du commerce électronique. La CNIL participe au groupe de travail sur la protection de la vie privée en tant que représentant de la Conférence Internationale des Commissaires à la Protection des Données et de la Vie Privée et en tant que membre du G29 au Comité sur l interopérabilité APEC CBPR (Cross- Border Privacy Rules)-EU BCR (Binding Corporate Rules). En mai 2018, le règlement remplacera la directive européenne de 1995 sur la protection des données à caractère personnel. Il renforce les droits des citoyens européens et leur donne plus de contrôle sur leurs données personnelles. Il simplifie les formalités pour les entreprises et leur offre un cadre unifié. FRANCOPHONIE Depuis une dizaine d années, la CNIL s est engagée dans une action de promotion de la culture «Informatique et Libertés» au sein des pays francophones. Ces actions ont abouti à la création, en 2007, de l Association Francophone des Autorités de Protection des Données Personnelles (AFAPDP), en partenariat avec l Organi sation Internationale de la Francophonie (OIF), et à l adoption, par des pays de l espace francophone tels que le Burkina-Faso, la Tunisie, le Maroc, Madagascar, le Mali, d une législation de protection de la vie privée. En 2015, 48 pays membres de la Francophonie sur 80 disposent d une loi et d une autorité.
Contacter la CNIL Commission Nationale de l Informatique et des Libertés 3 place de Fontenoy TSA 80715 75334 PARIS CEDEX 07 Tél. 01 53 73 22 22 Fax 01 53 73 22 00 www.cnil.fr Suivez la CNIL sur... AGENCE LINÉAL - 03 20 41 40 76