2018
LA CNIL EN BREF
Protéger les données personnelles
Accompagner l’innovation
Préserver les libertés individuelles
www.cnil.fr
La CNIL en
La CNIL accompagne le développement des nouvelles technologies au quotidien et participe à la construction d’une éthique du numérique.
2017
ACCOMPAGNER LA CONFORMITÉ
CONSEILLER
ET RÉGLEMENTER
4 124
DÉCISIONS
ET DÉLIBÉRATIONS ADOPTÉES DONT :
2 964
AUTORISATIONS
DE TRANSFERT
DE DONNÉES HORS UE
810
AUTORISATIONS RECHERCHE MÉDICALE OU ÉVALUATION DES PRATIQUES DE SOINS
350
DÉLIBÉRATIONS DONT :
177
AVIS SUR DES PROJETS DE TEXTE
101
AUTORISATIONS
5 107
CORRESPONDANTS INFORMATIQUE
ET LIBERTÉS (CIL) SONT DÉSIGNÉS DANS :
18 802
ORGANISMES
117
DÉTENTEURS
DE RÈGLES INTERNES D’ENTREPRISE
DONT :
32
ONT DÉSIGNÉ
LA CNIL
COMME AUTORITÉ CHEF DE FILE
4,4
MILLIONS DE VISITES SUR CNIL.FR
+59 %
de visiteurs
PROTÉGER LES CITOYENS
123
LABELS DÉLIVRÉS
|
8 360 PLAINTES, DONT : 27% concernent la diffusion de données sur internet |
|
335 DEMANDES |
|
14 000 DEMANDES REÇUES EN LIGNE PAR |
|
8 297 VÉRIFICATIONS RÉALISÉES dans les fichiers de police, de gendarmerie, +4,9 % par rapport à 2016 |
CONTRÔLER
METTRE EN DEMEURE ET SANCTIONNER
EFFECTIFS DE LA CNIL
79
MISES EN DEMEURE
14 SANCTIONS : 9 sanctions financières
(3 publiques)
5 avertissements (2 publics)
341
CONTRÔLES DONT :
65
contrôles en ligne
47
contrôles de vidéoprotection
198 63% 37%
EMPLOIS
de femmes d’hommes
© PhilArty Photography
STATUT
& COMPOSITION
UNE AUTORITÉ ADMINISTRATIVE INDÉPENDANTE
Créée en 1978, la CNIL est une autorité admi- nistrative indépendante qui exerce ses missions conformément à la loi Informatique et Libertés du 6 janvier 1978 modifiée par la loi du 20 juin 2018. Les dix-huit membres qui la composent sont pour la plupart élus par les assemblées ou les juridictions auxquelles ils appartiennent. Isabelle Falque-Pierrotin, Conseiller d’État, préside la CNIL depuis septembre 2011. Les services de la CNIL se composent de 198 agents contractuels.
• 4 parlementaires (2 députés, 2 sénateurs).
• 2 membres du Conseil économique, social
et environnemental.
• 6 représentants des hautes juridictions
(2 conseillers d’État, 2 conseillers à la Cour de cassation, 2 conseillers à la Cour des comptes).
• 5 personnalités qualifiées désignées par le Président
de l’Assemblée nationale (1 personnalité), le Président du Sénat (1 personnalité), en Conseil des ministres (3 personnalités).
Le mandat des commissaires est de 5 ans ou, pour
les parlementaires, d’une durée égale à leur mandat électif.
• Le Président de la CADA (Commission d’accès aux documents administratifs).
FONCTIONNEMENT
LES SÉANCES PLÉNIÈRES
Les membres de la CNIL se réunissent en séances plénières une fois par semaine sur un ordre du jour établi à l’initiative de son Président. Une partie importante de ces séances est consacrée à l’examen de projets de loi et de décrets soumis à la CNIL pour avis par le Gouvernement. Elle analyse les conséquences des nouveautés technolo- giques sur la vie privée.
LA FORMATION RESTREINTE
La formation restreinte de la CNIL est composée de 5 membres et d’un Président distinct du Président de la CNIL. Elle peut prononcer diverses sanctions à l’égard des responsables de traitement qui ne respecte- raient pas la loi. Avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions pécuniaires peuvent être rendues publiques.
Qu’est-ce qu’une donnée personnelle ?
Il s’agit de toute information relative à une personne physique identifiée ou identifiable, directement ou indirectement, par référence à un numéro d’identification (ex. : n° de sécurité sociale) ou à un ou plusieurs éléments qui lui sont propres (ex. : nom et prénom, date de naissance, éléments biométriques, empreinte digitale, ADN...).
|
INFORMER, ÉDUQUER La CNIL est investie d’une mission générale d’information des personnes des droits que leur reconnaît la loi Informatique et Libertés. La CNIL répond aux demandes des particuliers et des professionnels. En 2017, elle a reçu 155 000 appels téléphoniques. Elle mène des actions de communication grand public que ce soit à tra- vers la presse, son site Internet, sa présence sur les réseaux sociaux ou en mettant à disposition des outils pédagogiques. Directement sollicitée par de nombreux organismes, sociétés ou insti- tutions pour conduire des actions de formation et de sensibilisation au RGPD (réglement géné- ral sur la protection des donnés), la CNIL par- ticipe aussi à des colloques, des salons ou des conférences pour informer et en même temps s’informer. Elle fédère un collectif de plus de 60 organismes qui mènent des actions en faveur de l’éducation au numérique. PROTÉGER LES DROITS DES CITOYENS Toute personne peut s’adresser à la CNIL en cas de difficulté dans l’exercice de ses droits. La CNIL veille à ce que les citoyens accèdent efficacement aux données contenues dans les traitements les concernant. En 2017, la CNIL a reçu 8 360 plaintes, ce qui constitue un nombre record. Ces plaintes concernent : La réputation en ligne (demandes de sup- pression de contenus sur internet), le com- merce (opposition à recevoir des courriels publicitaires), les ressources humaines (dispositifs de contrôle : vidéosurveillance, géolocalisation des véhicules), la banque et le crédit (contestation de l’inscription dans l’un des fichiers de la banque de France). Besoin d’aide est disponible sur cnil.fr Ce service propose 500 questions/réponses pratiques et la possibilité d’adresser une demande en ligne. |
|
QUELS SONT VOS DROITS ? Le droit d’accès Vous pouvez demander directement au responsable d’un fichier s’il détient des informations sur vous, et demander à ce que l’on vous communique l’intégralité de ces données. Le droit de rectification Vous pouvez demander la rectification des informations inexactes vous concernant. Le droit à la portabilité Vous pouvez récupérer une partie de vos données dans un format lisible par une machine. Libre à vous de stocker ailleurs ces données portables ou de les transmettre d’un service à un autre. Le droit d’opposition Vous pouvez vous opposer, pour des motifs légitimes, à figurer dans un fichier. Vous pouvez vous opposer à ce que les données vous concernant soient diffusées, transmises ou conservées. Le droit au déréférencement Vous pouvez saisir les moteurs de recherche de demandes et prénom. Le droit d’accès Lorsque vous ne pouvez pas demander directement aux services de police, de gendarmerie ou de renseignement, ou à l’administration fiscale d’accéder aux données qui vous concernent, le droit d’accès s’exerce de manière indirecte par l’intermédiaire de la CNIL. |
CONSEILLER
ACCOMPAGNER
ET RÉGLEMENTER
LA CONFORMITÉ
L’activité de conseil et de réglementa- tion de la CNIL est variée : avis sur des projets de texte d’origine gouverne- mentale concernant la protection des données personnelles ou créant de nou- veaux fichiers, conseils, participation à des auditions parlementaires. Dans le cadre de cette activité, la CNIL veille à la recherche de solutions permet- tant aux organismes publics et privés de poursuivre leurs objectifs légitimes dans le strict respect des droits et liber- tés des citoyens. En 2017, la CNIL a été fortement sollicitée pour répondre aux demandes d’avis des pouvoirs publics ; elle a également initié des travaux en vue de faciliter la transition vers le règlement européen.
La mise en conformité constitue l’objectif prioritaire du régulateur qu’est la CNIL. À l’heure du RGPD, la confor- mité représente un indicateur de bonne gouvernance, répondant à l’enjeu de réputation, de confiance et un avan- tage concurrentiel pour les entreprises.
Afin d’aider les organismes privés et publics à se préparer à l’entrée en application du RGPD, la CNIL propose une boîte à outil complète et adaptée en fonction de leur taille et de leurs besoins.
-
Un guide pratique de sensibilisation au RGPD pour les TPE-PME (en partenariat avec bpifrance) ;
-
Des pages dédiées pour les collectivités territoriales et pour le secteur de la Santé ;
-
Un guide du sous-traitant ;
-
La méthode en 6 étapes pour mettre en œuvre
l’essentiel des mesures nécessaires ;
-
Un modèle de registre complet et une version simplifiée pour les TPE/PME ;
-
Des exemples de mentions d’information ;
-
Un téléservice de désignation du délégué
à la protection des données ;
-
Un téléservice de notification des violations de données personnelles ;
-
Un logiciel pour mener une analyse d’impact sur la protection des données (AIPD).
Les packs de conformité
Ces packs, qu’ils soient sectoriels ou rattachés à une thématique particulière déclinent, en partant des besoins des acteurs, les principes du réglement sous la forme de bonnes pratiques et ont vocation à constituer des référentiels.
En 2017, la CNIL a publié un pack dédié aux véhicules connectés et un autre à ”l’économie des seniors“.
ANTICIPER
Dans le cadre de son activité d’innovation et de prospective, la CNIL met en place une veille pour détecter et analyser les technologies ou les nouveaux usages pouvant avoir des impacts importants sur la vie privée. Elle dispose d’un laboratoire lui permettant d’expérimenter des produits ou applications innovants. Elle contri- bue au développement de solutions technolo- giques protectrices de la vie privée en conseillant les entreprises le plus en amont possible, dans une logique de privacy by design.
LINC
Le média dédié aux innovations numériques
Pour contribuer aux débats sur le numérique la CNIL a lancé LINC, « Laboratoire d’Innovation Numérique de la CNIL». Éclairages et réflexions prospectives, partages et expérimentations sont au cœur de cet espace éditorial.
Expérimenter
Piloter des projets d’innovation, de recherche, de prototypage (par le développement d’outils, par les partenariats, par les méthodes internes, par le design)
Échanger
Être un point de contact et de dialogue avec les écosystèmes d’innovation du numérique (chercheurs, start-up, labs).
CONTRÔLER
Explorer
CAHIERS IP INNOVATION & PROSPECTIVE N°05
Laboratoire d'Innovation Numérique de la CNIL
Le contrôle a posteriori constitue un moyen privilégié d’intervention auprès des res- ponsables de traitement de données per- sonnelles. Il permet à la CNIL de vérifier sur place la mise en œuvre concrète de la loi. Le programme des contrôles est élaboré en fonction des thèmes d’actualité et des grandes problématiques (actualité, nouvelles technolo- gies) dont la CNIL est saisie.
À l’issue de contrôles ou de plaintes, en cas de méconnaissance des dispositions de la loi de la part des responsables de traitement et des sous- traitants, la CNIL peut notamment :
■ Prononcer un avertissement ;
■ Mettre en demeure l’entreprise ;
■ Limiter temporairement ou définitivement un traitement ;
■ Suspendrelesfluxdedonnées;
-
Ordonner de satisfaire aux demandes
d’exercice des droits des personnes ;
-
Ordonner la rectification, la limitation ou l’effacement des données ;
-
Prononcer une amende administrative.
ÉTHIQUE
ET NUMÉRIQUEUne nouvelle mission pour la CNIL
En réponse à la mission qui lui a été confiée par la loi République numérique de mener une réflexion sur les questions de société posées par les technologies numériques, la CNIL a mené de janvier à novembre 2017 un débat public sur les algorithmes et l’intelligence artificielle. Elle a publié en décembre 2017 le rapport de synthèse de ce débat.
manière ouve
t
naux faibles,
« La forme d’une ville change plus vite, onlesait,quelecœurd’unmortel. » Julien Gracq, La forme d’une ville (1985)
La plateforme d’une ville
Les données personnelles au cœur de la fabrique de la smart city
La CNIL s’intéresse de
Septembre 2017
Commission Nationale de l’Informatique et des Libertés 3 place de Fontenoy
TSA 80715
75334 PARIS CEDEX 07
73 22 2
ticiper ainsi à la constitution
d’un débat de société sur les
enjeux éthiques des données.
Laboratoire d'Innovation Numérique de la CNIL
parente aux siwww.cnil.fr
Tipé@l.c+n3il3.
g
aux sujets émergents et par-
lin
c.cnil.fr
r
e
et trans-
fr(0)1 53
2
Le Comité de la prospective
Afin de renforcer sa mission de veille et de réflexion prospective, la CNIL anime un comité d’experts extérieurs à la CNIL composé de 18 membres aux profils et horizons variés : socio- logues, économistes, anthropologues, philo- sophes, entrepreneurs, chercheurs, auteurs, juristes, journalistes, etc.
ET SANCTIONNER
LE RÉGLEMENT EUROPÉEN
Le règlement général sur la protection des données personnelles (RGPD) est entré en application le 25 mai 2018. Il permet à l’Europe de s’adapter aux nouvelles réalités du numérique. Il renforce les droits des citoyens européens et leur donne plus
de contrôle sur leurs données personnelles. Il simplifie les formalités pour
les entreprises et leur offre un cadre unifié.
La réforme de la protection des données poursuit trois objectifs :
• Renforcer les droits des per-
sonnes, notamment par la création d’un droit à la portabi- lité des données personnelles et de dispositions propres aux personnes mineures ;
• Responsabiliser les acteurs traitant des données (respon- sables de traitement et sous- traitants) ;
• Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protec- tion des données, qui pour- ront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.
Ce qui change
pour les professionnels
La fin des déclarations auprès de la CNIL
Le RGPD supprime les décla- rations de fichiers à effectuer auprès de la CNIL.
Seules certaines formalités pré- alables vont subsister (demande d’avis pour les secteurs police/ justice, demande d’autorisation pour certains traitements de données de santé notamment).
La responsabilisation des acteurs
En contrepartie de la dispari- tion de l’accomplissement de démarches administratives auprès de la CNIL, les adminis- trations, sociétés et associations traitant des données à carac- tère personnel, mais aussi leurs prestataires et sous-traitants, sont désormais pleinement res-
ponsables de la protection des données qu’ils traitent.
Il leur appartient d’assurer la conformité au RGPD de leurs traitements de données per- sonnelles tout au long de leur cycle de vie et d’être en mesure de démontrer cette conformité.
Les nouveaux outils
de conformité
D’un point de vue opération- nel, la conformité au règlement européen repose sur différents outils :
• Le registre des traitements et
la documentation interne ;
• Les études d’impact sur la vie privée (PIA) pour les traite- ments à risque ;
• La notification de violations de données personnelles.
Le DPO (délégué à la protection des données)
La mise en œuvre de ces outils implique, au préalable, la dési- gnation d’un « pilote » interne : le délégué à la protection des données, véritable « chef d’or- chestre » de la protection des données personnelles au sein de l’organisme. Au-delà, la logique de responsabilisation doit se traduire par un changement de culture interne et mobiliser les compétences internes ou externes (DSI, prestataires, services juridiques, services métiers).
Pour aider les organismes à s’organiser, la CNIL propose une rubrique dédiée, une méthode et des outils pour passer à l’action : un guide à destination des TPE/ PME, des modèles de mention, des modèles de registres, des téléservices, etc.
Ce qui change
pour les particuliers
Le règlement européen conforte le caractère central de la per- sonne et renforce la maîtrise par l’individu de ses données. Il s’appliquera dès lors qu’un résident européen sera substan- tiellement affecté par un traite- ment de données. Les acteurs mondiaux seront donc soumis au droit européen dès lors qu’ils offrent un produit ou un service à un citoyen européen, même à distance. Ce critère, dit du « ciblage », constitue une évo- lution profonde : désormais, la territorialité du droit européen de la protection des données se construit autour de la personne, et non plus seulement autour du territoire d’implantation des entreprises.
Le règlement et la nouvelle loi du 20 juin 2018
reconnait aux personnes :
• Une information plus claire et
accessible ;
• Une protection des enfants renforcée avec un recueil du consentement auprès des parents d’enfants de moins de 15ans;
• Un nouveau droit à la porta- bilité qui permet de récupérer ses données sous une forme aisément réutilisable et de les transférer ensuite à un tiers ;
• Le droit à réparation d’un dommage matériel ou moral, notamment dans le cadre d’ac- tions collectives.
LA CNIL
élue à la présidence de la Conférence internationale
La Conférence des commissaires à la protection des données est un lieu d’échanges où les 120 membres partagent bilans, bonnes pratiques respectives et adoptent des posi- tions communes.
Le thème de la prochaine confé- rence qui se tiendra en octobre 2018 portera sur l’Intelligence Artificielle.
FRANCOPHONIE
Depuis 10 ans, la CNIL s’est engagée dans une action de promotion de la culture Informatique et Libertés au sein des pays francophones.
Ces actions ont abouti à la création, en 2007, de l’Association Francophone des Autorités de Protection des Données Personnelles (AFAPDP), en partenariat avec l’Organisation Internationale de la Francophonie (OIF), et à l’adoption, par des pays de l’espace francophone tels que le Burkina-Faso, la Tunisie, le Maroc, Madagascar, le Mali, d’une législation de protection de la vie privée.
En 2016, 60 pays membres de la Francophonie sur 84 disposent d’une loi et 50 d’une autorité de protection des données.
|
Contacter la CNIL Commission Nationale de l’Informatique 75334 PARIS CEDEX 07 Tél.0153732222 Fax0153732200 www.cnil.fr |
AGENCE LINÉAL - 03 20 41 40 76
|