La CNIL (Commission Nationale de l'Informatique et des Libertés) est, en France, l'autorité chargée de veiller à la protection de nos données personnelles face à leur informatisation. Elle doit nous protéger contre les atteintes possibles aux droits de l'homme, aux libertés individuelles ou publiques.
Avec des actions très concrêtes : lors de notre combat contre Serenicity (projet d'installation de micros dans les rues par la mairie et Verney-Carron, fabricant d'armement), c'est bien l'intervention de la CNIL qui avait été décisive pour empêcher cette expérience liberticide.
Mais depuis, alors que s'accélère la numérisation de nos vies et que se multiplient les risques pour nos libertés, cette institution semble dépassée, par manque de moyens, d'efficacité ... et par la volonté du pouvoir de la marginaliser.
Bref historique
Contrairement à ce qui est souvent prétendu (dans la France, patrie autoproclamée des droits de l'homme), la CNIL n'a pas été la 1e institution de protection des citoyens face au numérique au niveau européen : dès 1971, l'Allemagne s'en est dotée, puis la Suède en 1973.
En France, c'est le projet étatique d'un Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus (SAFARI) qui a déclenché en 1974 une très forte réaction populaire. "L'INSEE et les ministères voulaient que toutes les informations détenues sur une même personne par tous les services administratifs (Sécurité sociale, fisc…) soient consultables grâce à un numéro unique propre à chaque personne (le n° INSEE ou de Sécurité Sociale)", analyse Yoann Nabat, enseignant-chercheur à l'université de Bordeaux et membre de l’Observatoire de la Surveillance en Démocratie.
Face à la contestation, le gouvernement d'alors a dû, après de nombreuses consultations, élaborer une loi encore en vigueur, celle du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, laquelle a créé une autorité administrative "indépendante" : la Commission nationale de l’informatique et des libertés (CNIL).
Ses missions
Elle a six missions principales :
- Informer : les citoyens et les organisations sur leurs droits et obligations, et aider les citoyens à exercer leurs droits. Elle élabore pour ce faire une documentation disponible sur son site. Vis à vis des entreprises, elle organise des formations (de Délégué à la protection des données [DPO] par exemple).
- Réglementation : elle doit être saisie avant que tout projet de loi relatif à la protection des données personnelles soit transmis au Parlement. Elle établit des normes pour faciliter les traitements les plus courants. Depuis 2004, elle délivre des labels à des produits ou des procédures liés au traitement des données.
- Protéger les citoyens et leurs données personnelles. Elle doit veiller à ce que les citoyens soient informés du traitement de leurs données et puissent y accéder facilement. Elle reçoit et instruit les plaintes à ce sujet.
- Contrôler le traitement des données pour vérifier que la loi est respectée. Elle peut se rendre dans les locaux d'une entreprise pour vérifier les fichiers et la sécurité des systèmes informatiques et les pratiques de traitement des données.
- Sanctionner toute infraction à la loi. La sanction peut être un avertissement, l'injonction d'une mesure de sécurité, la saisie du procureur de la République, ou une sanction pécuniaire. Depuis l'adoption du RGPD (Réglement Général sur la Protection des Données), adopté par l'Union européenne en 2016 et applicable depuis 2018, la CNIL peut prononcer des amendes allant jusqu'à 20 millions d'€ ou 4 % du chiffre d'affaires mondial - comme l'ensemble des autorités de protection des données (APD), présentes dans les 27 Etats de l'UE. Ainsi, Google a été sanctionné avec une amende de 150 millions d'euros en décembre 2021, la plus grosse attribuée par la CNIL à ce jour.
- Anticiper les évolutions et les changements des technologies informatiques. Elle dispose pour ce faire d'un Laboratoire d’Innovation Numérique de la CNIL, le LINC-CNIL (qui peut synthétiser des expertises extérieures ou conduire des expérimentations en interne). Nous avions utilisé leur étude sur la reconnaissance vocale au moment des micros Serenicity. Des mesures législatives ou réglementaires peuvent être proposées au gouvernement afin d'adapter la protection des libertés et de la vie privée à ces évolutions.
"Son expertise de fond est reconnue de tous, y compris au niveau international", estime Flora Brac de la Perrière-Plénacoste, avocate et ex-juriste à la CNIL. Mais ses missions sont "extrêmement nombreuses et diverses", trop peut-être.
Les limites de la CNIL
Faible nombre de sanctions
En 2023, sur 16 433 plaintes instruites, seules 340 ont donné lieu à des contrôles, et seulement 42 ont débouché sur des sanctions (contre 18 en 2021, 21 en 2022). "Certaines plaintes n'aboutissent jamais, certains dossiers sont expédiés en dix jours quand d'autres traînent depuis des années."
Son homologue espagnole, l'AEPD, a 30% de budget en moins (en 2024), et elle traite beaucoup plus de plaintes. Elle "publie des décisions argumentées régulièrement, avec des amendes parfois relativement lourdes, et elle n'hésite pas à punir plusieurs fois les récidivistes", salue Guillaume Champeau (directeur juridique et délégué à la protection des données au sein de la société Olympe.legal). "L'Espagne a un fonctionnement beaucoup plus léger que le nôtre, sur le mode de la contravention, qui permet de prononcer beaucoup de petites amendes de façon simple".
Des procédures trop longues
La CNIL avance une multiplication des plaintes (+91 % en dix ans) et le temps indispensable pour que chaque dossier soit bien ficelé juridiquement. "Quand vous prononcez des sanctions dont la cible est rendue publique, il doit y avoir un respect du contradictoire et des droits de la défense beaucoup plus forts", justifie Yann Padova, secrétaire général de 2006 à 2012.
Pour accélérer les dossiers, la CNIL peut passer depuis 2022 par une procédure de sanction simplifiée. Mais les amendes ne peuvent pas dépasser 20 000 euros, et les décisions rendues dans ce cadre sont anonymisées : impossible donc de savoir qui a été épinglé et pour quelles raisons précises.
Manque de moyens
Il est souligné par beaucoup : ses effectifs salariés (288 agents en 2023) seraient le quart de celui de son équivalent allemand, et son budget ne suit pas l'inflation de ses missions. La partie budget de fonctionnement (hors salaires) a même été sévèrement ponctionné en 2017 (du temps où Macron était ministre de l'économie...), sans retrouver les mêmes marges depuis.
Des pouvoirs moindres
D'après Félix Tréguer, chercheur au CNRS, cette institution avait pas mal de pouvoir, jusque dans les années 1990, car la loi lui donnait le contrôle à priori de tous les fichiers administratifs créés, avec la possibilité d'interdire leur mise en place. Mais "depuis 2004, la CNIL ne peut plus opposer son veto à la création d'un fichier de police", précise Yoann Nabat (université de Bordeaux). "Ses avis ne sont pas contraignants, elle doit souvent les rendre dans des délais trop courts, elle ne peut pas contrôler les fichiers touchant de près ou de loin à la sûreté de l'Etat et n'a pas de pouvoir de sanction contre lui". C'est un avis essentiellement consultatif et a posteriori.
Elle est même accusée de compromission vis à vis du gouvernement et d'oublier son rôle de premier protecteur des droits des citoyens. Dernièrement, La Quadrature du net a pu constater sa volonté d’aider le gouvernement à légaliser de nouvelles mesures de surveillance comme ce fut le cas des drones ou de la VSA.
Le 14 décembre 2007, ses locaux ont été occupés , une banderole indiquant "Informatique ou libertés, il faut choisir". Un tract critique (ci-dessous) était diffusé par les organisateurs.
Les interférences du politique
"Le ministère de l'Economie voit un peu la CNIL comme une empêcheuse de tourner en rond, notamment face au discours sur la 'start-up nation'", résume le député Philippe Latombe.
Par ailleurs, la CNIL est controlée par "un collège de 18 personnalités" : deux députés, deux sénateurs, deux membres du Conseil économique, social et environnemental [CESE], deux conseillers d'État, deux conseillers à la Cour de cassation, deux conseillers maîtres à la Cour des comptes, et cinq personnalités "qualifiées" (trois désignées par décret, une par le président de l'Assemblée nationale et une par le président du Sénat, la dernière étant le président de la Commission d'accès aux documents administratifs [CADA]). La part du pouvoir exécutif (ici juge et partie) est énorme, avec notamment la "proposition" de la présidence de la CNIL directement par le président de la république !
Enfin, alors que la CNIL est en principe systématiquement sollicité pour avis sur tout texte juridique concernant les données personnelles, le pouvoir a pris l'habitude de d'abord en proposer l'expertise par le Conseil d'Etat, institution justement chargée de tout appel face à ses délibérations. De ce fait, l'avis de la CNIL est courcircuité...
Comment - malgré tout - faire appel à la CNIL (plaintes...) ?
Sur le site de la CNIL, dans le volet Excercer mes droits, on trouve une série de démarches possibles :
- M'opposer
- Accéder à mes données
- Rectifier mes données
- Effacer mes données
- Être déréférencé
- Emporter mes données avec moi
- Faire vérifier une décision automatisée
- Limiter l'utilisation de mes données
- Les droits des mineurs
- Nos modèles de courrier
- Pour saisir la CNIL
Il est aussi possible de les contacter par téléphone au 01 53 73 22 22.