CNIL : le contrôle empêché ?

La CNIL (Com­mis­sion Nationale de l’In­for­ma­tique et des Lib­ertés) est, en France, l’au­torité chargée de veiller à la pro­tec­tion de nos don­nées per­son­nelles face à leur infor­ma­ti­sa­tion. Elle doit nous pro­téger con­tre les atteintes pos­si­bles aux droits de l’homme, aux lib­ertés indi­vidu­elles ou publiques.

Avec des actions très con­crêtes : lors de notre com­bat con­tre Serenic­i­ty (pro­jet d’in­stal­la­tion de micros dans les rues par la mairie et Ver­ney-Car­ron, fab­ri­cant d’arme­ment), c’est bien l’in­ter­ven­tion de la CNIL qui avait été déci­sive pour empêch­er cette expéri­ence lib­er­ti­cide.

Mais depuis, alors que s’ac­célère la numéri­sa­tion de nos vies et que se mul­ti­plient les risques pour nos lib­ertés, cette insti­tu­tion sem­ble dépassée, par manque de moyens, d’ef­fi­cac­ité … et par la volon­té du pou­voir de la mar­gin­alis­er.

Con­traire­ment à ce qui est sou­vent pré­ten­du (dans la France, patrie auto­proclamée des droits de l’homme), la CNIL n’a pas été la 1e insti­tu­tion de pro­tec­tion des citoyens face au numérique au niveau européen : dès 1971, l’Alle­magne s’en est dotée, puis la Suède en 1973.

En France, c’est le pro­jet éta­tique d’un Sys­tème Automa­tisé pour les Fichiers Admin­is­trat­ifs et le Réper­toire des Indi­vidus (SAFARI) qui a déclenché en 1974 une très forte réac­tion pop­u­laire. “L’INSEE et les min­istères voulaient que toutes les infor­ma­tions détenues sur une même per­son­ne par tous les ser­vices admin­is­trat­ifs (Sécu­rité sociale, fisc…) soient con­sulta­bles grâce à un numéro unique pro­pre à chaque per­son­ne (le n° INSEE ou de Sécu­rité Sociale)”, analyse Yoann Nabat, enseignant-chercheur à l’u­ni­ver­sité de Bor­deaux et mem­bre de l’Obser­va­toire de la Sur­veil­lance en Démoc­ra­tie.

Face à la con­tes­ta­tion, le gou­verne­ment d’alors a dû, après de nom­breuses con­sul­ta­tions, éla­bor­er une loi encore en vigueur, celle du 6 jan­vi­er 1978 rel­a­tive à l’in­for­ma­tique, aux fichiers et aux lib­ertés, laque­lle a créé une autorité admin­is­tra­tive “indépen­dante” : la Com­mis­sion nationale de l’informatique et des lib­ertés (CNIL).

Elle a six mis­sions prin­ci­pales :

  • Informer : les citoyens et les organ­i­sa­tions sur leurs droits et oblig­a­tions, et aider les citoyens à exercer leurs droits. Elle éla­bore pour ce faire une doc­u­men­ta­tion disponible sur son site. Vis à vis des entre­pris­es, elle organ­ise des for­ma­tions (de Délégué à la pro­tec­tion des don­nées [DPO] par exem­ple).
  • Régle­men­ta­tion : elle doit être saisie avant que tout pro­jet de loi relatif à la pro­tec­tion des don­nées per­son­nelles soit trans­mis au Par­lement. Elle établit des normes pour faciliter les traite­ments les plus courants. Depuis 2004, elle délivre des labels à des pro­duits ou des procé­dures liés au traite­ment des don­nées.
  • Pro­téger les citoyens et leurs don­nées per­son­nelles. Elle doit veiller à ce que les citoyens soient infor­més du traite­ment de leurs don­nées et puis­sent y accéder facile­ment. Elle reçoit et instru­it les plaintes à ce sujet.
  • Con­trôler le traite­ment des don­nées pour véri­fi­er que la loi est respec­tée. Elle peut se ren­dre dans les locaux d’une entre­prise pour véri­fi­er les fichiers et la sécu­rité des sys­tèmes infor­ma­tiques et les pra­tiques de traite­ment des don­nées.
  • Sanc­tion­ner toute infrac­tion à la loi. La sanc­tion peut être un aver­tisse­ment, l’in­jonc­tion d’une mesure de sécu­rité, la saisie du pro­cureur de la République, ou une sanc­tion pécu­ni­aire. Depuis l’adop­tion du RGPD (Régle­ment Général sur la Pro­tec­tion des Don­nées), adop­té par l’U­nion européenne en 2016 et applic­a­ble depuis 2018, la CNIL peut pronon­cer des amendes allant jusqu’à 20 mil­lions d’€ ou 4 % du chiffre d’af­faires mon­di­al – comme l’ensem­ble des autorités de pro­tec­tion des don­nées (APD), présentes dans les 27 Etats de l’UE. Ain­si, Google a été sanc­tion­né avec une amende de 150 mil­lions d’eu­ros en décem­bre 2021, la plus grosse attribuée par la CNIL à ce jour.
  • Anticiper les évo­lu­tions et les change­ments des tech­nolo­gies infor­ma­tiques. Elle dis­pose pour ce faire d’un Lab­o­ra­toire d’Innovation Numérique de la CNIL, le LINC-CNIL (qui peut syn­thé­tis­er des exper­tis­es extérieures ou con­duire des expéri­men­ta­tions en interne). Nous avions util­isé leur étude sur la recon­nais­sance vocale au moment des micros Serenic­i­ty. Des mesures lég­isla­tives ou régle­men­taires peu­vent être pro­posées au gou­verne­ment afin d’adapter la pro­tec­tion des lib­ertés et de la vie privée à ces évo­lu­tions.

Faible nom­bre de sanc­tions

En 2023, sur 16 433 plaintes instru­ites, seules 340 ont don­né lieu à des con­trôles, et seule­ment 42 ont débouché sur des sanc­tions (con­tre 18 en 2021, 21 en 2022). “Cer­taines plaintes n’aboutis­sent jamais, certains dossiers sont expédiés en dix jours quand d’autres traî­nent depuis des années.”

Son homo­logue espag­nole, l’AEPD, a 30% de bud­get en moins (en 2024), et elle traite beau­coup plus de plaintes. Elle “pub­lie des déci­sions argu­men­tées régulière­ment, avec des amendes par­fois rel­a­tive­ment lour­des, et elle n’hésite pas à punir plusieurs fois les récidi­vistes”, salue Guil­laume Cham­peau (directeur juridique et délégué à la pro­tec­tion des don­nées au sein de la société Olympe.legal). “L’Es­pagne a un fonc­tion­nement beau­coup plus léger que le nôtre, sur le mode de la con­tra­ven­tion, qui per­met de pronon­cer beau­coup de petites amendes de façon sim­ple”.

Des procé­dures trop longues

La CNIL avance une mul­ti­pli­ca­tion des plaintes (+91 % en dix ans) et le temps indis­pens­able pour que chaque dossier soit bien ficelé juridique­ment. “Quand vous pronon­cez des sanc­tions dont la cible est ren­due publique, il doit y avoir un respect du con­tra­dic­toire et des droits de la défense beau­coup plus forts”, jus­ti­fie Yann Pado­va, secré­taire général de 2006 à 2012.

Pour accélér­er les dossiers, la CNIL peut pass­er depuis 2022 par une procé­dure de sanc­tion sim­pli­fiée. Mais les amendes ne peu­vent pas dépass­er 20 000 euros, et les déci­sions ren­dues dans ce cadre sont anonymisées : impos­si­ble donc de savoir qui a été épinglé et pour quelles raisons pré­cis­es.

Manque de moyens

Il est souligné par beau­coup : ses effec­tifs salariés (288 agents en 2023) seraient le quart de celui de son équiv­a­lent alle­mand, et son bud­get ne suit pas l’in­fla­tion de ses mis­sions. La par­tie bud­get de fonc­tion­nement (hors salaires) a même été sévère­ment ponc­tion­né en 2017 (du temps où Macron était min­istre de l’é­conomie…), sans retrou­ver les mêmes marges depuis.

Des pou­voirs moin­dres

D’après Félix Tréguer, chercheur au CNRS, cette insti­tu­tion avait pas mal de pou­voir, jusque dans les années 1990, car la loi lui don­nait le con­trôle à pri­ori de tous les fichiers admin­is­trat­ifs créés, avec la pos­si­bil­ité d’in­ter­dire leur mise en place. Mais “depuis 2004, la CNIL ne peut plus oppos­er son veto à la créa­tion d’un fichi­er de police, pré­cise Yoann Nabat (uni­ver­sité de Bor­deaux). “Ses avis ne sont pas con­traig­nants, elle doit sou­vent les ren­dre dans des délais trop courts, elle ne peut pas con­trôler les fichiers touchant de près ou de loin à la sûreté de l’E­tat et n’a pas de pou­voir de sanc­tion con­tre lui”. C’est un avis essen­tielle­ment con­sul­tatif et a pos­te­ri­ori.

Elle est même accusée de com­pro­mis­sion vis à vis du gou­verne­ment et d’ou­bli­er son rôle de pre­mier pro­tecteur des droits des citoyens. Dernière­ment, La Quad­ra­ture du net a pu con­stater sa volon­té d’aider le gou­verne­ment à légalis­er de nou­velles mesures de sur­veil­lance comme ce fut le cas des drones ou de la VSA.

Le 14 décem­bre 2007ses locaux ont été occupés , une ban­de­role  indi­quant “Infor­ma­tique ou lib­ertés, il faut choisir”. Un tract cri­tique (ci-dessous) était dif­fusé par les organ­isa­teurs.

Les inter­férences du poli­tique

“Le min­istère de l’E­conomie voit un peu la CNIL comme une empêcheuse de tourn­er en rond, notam­ment face au dis­cours sur la ‘start-up nation’ “, résume le député Philippe Latombe.

Par ailleurs, la CNIL est con­trolée par “un col­lège de 18 per­son­nal­ités” : deux députés, deux séna­teurs, deux mem­bres du Con­seil économique, social et envi­ron­nemen­tal [CESE], deux con­seillers d’É­tat, deux con­seillers à la Cour de cas­sa­tion, deux con­seillers maîtres à la Cour des comptes, et cinq per­son­nal­ités “qual­i­fiées” (trois désignées par décret, une par le prési­dent de l’Assem­blée nationale et une par le prési­dent du Sénat, la dernière étant le prési­dent de la Com­mis­sion d’ac­cès aux doc­u­ments admin­is­trat­ifs [CADA]). La part du pou­voir exé­cu­tif (ici juge et par­tie) est énorme, avec notam­ment la propo­si­tion” de la prési­dence de la CNIL directe­ment par le prési­dent de la république !

Enfin, alors que la CNIL est en principe sys­té­ma­tique­ment sol­lic­ité pour avis sur tout texte juridique con­cer­nant les don­nées per­son­nelles, le pou­voir a pris l’habi­tude de d’abord en pro­pos­er l’ex­per­tise par le Con­seil d’E­tat, insti­tu­tion juste­ment chargée de tout appel face à ses délibéra­tions. De ce fait, l’avis de la CNIL est cour­cir­cuité

Sur le site de la CNIL, dans le volet Excercer mes droits, on trou­ve une série de démarch­es pos­si­bles :

Il est aus­si pos­si­ble de les con­tac­ter par télé­phone au 01 53 73 22 22.