à la construction d’une éthique la cnil en 2016 · contacter la cnil commission nationale et...

Contacter la CNILCommission Nationale de l’Informatique et des Libertés3 place de Fontenoy TSA 80715 75334 PARIS CEDEX 07 Tél. 01 53 73 22 22 Fax 01 53 73 22 00

www.cnil.fr www.educnum.fr http://linc.cnil.fr https://twitter.com/cnil https://fr-fr.facebook.com/CNIL/ https://fr.linkedin.com/ A

METTRE EN DEMEURE ET SANCTIONNER

EFFECTIFS DE LA CNILCONTRÔLER

ACCOMPAGNERLA CONFORMITÉ

2016La CNIL en

CONSEILLERET RÉGLEMENTER

82MISES EN DEMEURE

430CONTRÔLES

100contrôles en ligne

195EMPLOIS

102 629DOSSIERS DE FORMALITÉS

7 370DÉCLARATIONS RELATIVES À DES DISPOSITIFS DE GÉOLOCALISATION

13SANCTIONS :

9 AVERTISSEMENTS

4 SANCTIONS FINANCIÈRES

94CONTRÔLES DE VIDÉOPROTECTION

97LABELS DÉLIVRÉS

17 725ORGANISMES ONT DÉSIGNÉ UN CORRESPONDANT INFORMATIQUE ET LIBERTÉS

14 734DÉCLARATIONS RELATIVES À DES SYSTÈMES DE VIDÉOSURVEILLANCE

316AUTORISATIONS DE SYSTÈMES BIOMÉTRIQUES

3 078DÉCISIONS ET DÉLIBÉRATIONS ADOPTÉES DONT :

190AUTORISATIONS

145DEMANDES D’AVIS

1 976AUTORISATIONS DE TRANSFERT

54 000FORMALITÉS SIMPLIFIÉES

PROTÉGERLES CITOYENS

4 379DEMANDES DE DROIT D’ACCÈS à des fichiers de police, de gendarmerie, de renseignement, FICOBA, etc.

7 909VÉRIFICATIONS RÉALISÉES

7 703PLAINTES, DONT :

33 %concernent la prospection

410PLAINTES suite à des refus de demandes de déréférencement auprès des moteurs de recherche

La CNIL accompagne le développement des nouvelles

technologies au quotidien et participe à la construction d’une éthique

du numérique.

www.cnil.fr

Protéger les données personnelles

Accompagner l’innovation

Préserver les libertés individuelles

2017LA CNIL EN BREF

Qu’est-ce qu’une donnée personnelle ? Il s’agit de toute information relative à une personne physique identifiée ou susceptible de l’être, directement ou indirectement, par référence à un numéro d’identification (ex. : n° de sécurité sociale) ou à un ou plusieurs éléments qui lui sont propres (ex. : nom et prénom, date de naissance, éléments biométriques, empreinte digitale, ADN...).

FONCTIONNEMENTLES SÉANCES PLÉNIÈRESLes membres de la CNIL se réunissent en séances plénières une fois par semaine sur un ordre du jour établi à l’initiative de son Président. Une partie importante de ces séances est consacrée à l’examen de projets de loi et de décrets soumis à la CNIL pour avis par le Gouvernement. La CNIL autorise également les traitements les plus sensibles, parmi lesquels figurent ceux faisant appel à la biométrie. Elle analyse les conséquences des nouveautés technologiques sur la vie privée.

LA FORMATION RESTREINTELa formation restreinte de la CNIL est composée de 5 membres et d’un Président distinct du Président de la CNIL. Elle peut prononcer diverses sanctions à l’égard des responsables de traitement qui ne respec-teraient pas la loi. Le montant des sanc-tions pécuniaires peut atteindre 3 millions d’euros. Ces sanctions pécuniaires peuvent être rendues publiques.

STATUT & COMPOSITIONUNE AUTORITÉ ADMINISTRATIVE INDÉPENDANTECréée en 1978, la CNIL est une autorité administrative indépendante qui exerce ses missions conformément à la loi Informatique et Libertés du 6 janvier 1978 modifiée le 6 août 2004. L’indépendance de la CNIL est garantie par sa composition et son organisation. Les dix-huit membres qui la composent sont pour la plupart élus par les assemblées ou les juridictions aux-quelles ils appartiennent. Elle élit son Président parmi ses membres et ne reçoit d’instruction d’aucune auto-rité. Isabelle Falque-Pierrotin, Conseiller d’État, pré-side la CNIL depuis septembre 2011. Les services de la CNIL se composent de 195 agents contractuels.

• 4 parlementaires (2 députés, 2 sénateurs).• 2 membres du Conseil économique, social

et environnemental.• 6 représentants des hautes juridictions

(2 conseillers d’État, 2 conseillers à la Cour de cassation, 2 conseillers à la Cour des comptes).

• 5 personnalités qualifiées désignées par le Présidentde l’Assemblée nationale (1 personnalité), le Président du Sénat (1 personnalité), en Conseil des ministres (3 personnalités). Le mandat des commissaires est de 5 ans ou, pour les parlementaires, d’une durée égale à leur mandat électif.

• Le Président de la CADA (Commission d’accès aux documents administratifs).

63 %de femmes

37 %d’hommes

2016La CNIL en

82MISES EN DEMEURE

430CONTRÔLES

195EMPLOIS

13SANCTIONS :

9 AVERTISSEMENTS

97LABELS DÉLIVRÉS

190AUTORISATIONS

du numérique.

www.cnil.fr

2017LA CNIL EN BREF

• 5 personnalités qualifiées désignées par le Président de l’Assemblée nationale (1 personnalité), le Président du Sénat (1 personnalité), en Conseil des ministres (3 personnalités). Le mandat des commissaires est de 5 ans ou, pour les parlementaires, d’une durée égale à leur mandat électif.

63 %de femmes

37 %d’hommes

2016La CNIL en

82MISES EN DEMEURE

430CONTRÔLES

195EMPLOIS

13SANCTIONS :

9 AVERTISSEMENTS

97LABELS DÉLIVRÉS

190AUTORISATIONS

du numérique.

www.cnil.fr

2017LA CNIL EN BREF

63 %de femmes

37 %d’hommes

ACCOMPAGNER LA CONFORMITÉL’objectif est de proposer une « boîte à outils » de la conformité prenant appui sur les divers leviers d’action dont dispose la CNIL : les correspondants « Informatique et Libertés » qui constituent le réseau privilé-gié des experts, le développement des labels et des règles internes d’entreprise ou BCR (Binding Corporate Rules) qui encadrent le transfert des données des multinatio-nales hors Union européenne, la création de « packs de conformité » qui sont des référen-tiels sectoriels, couvrant un secteur d’activité ou une branche professionnelle dans son intégralité.

Les labels

La CNIL a la possibilité de délivrer des labels, à des produits ou à des procédures ayant trait à la protection des données à caractère personnel.

Le label CNIL permet aux entreprises de se distinguer par la qualité de leur service. Pour les utilisateurs, c’est un indicateur de confiance dans les produits, les procédures ou les organismes labellisés, qui permet ainsi d’identifier et privilégier les organismes qui garantissent un haut niveau de protection de leurs données personnelles.

CONSEILLER ET RÉGLEMENTERLa régulation des données personnelles passe par différents outils :

■ des autorisations pour mettre en œuvre des traitements sensibles,

■ des avis sur des projets de textes d’origine gouvernementale impliquant des données personnelles ou créant de nouveaux fichiers,

■ des cadres juridiques fixant les bonnes pratiques dans certains secteurs,

■ des recommandations permettant de justifier la doctrine de la CNIL dans certains domaines,

■ des demandes de conseils des responsables de traitement, dans des proportions de plus en plus importantes, notamment par l’intermédiaire des correspondants « Informatique et Libertés ».

Le bilan de l’activité 2016 témoigne d’une activité en nette augmentation par rapport à l’année précédente, avec

3 078DÉCISIONS ET DÉLIBÉRATIONS ADOPTÉES.

Du CIL au délégué à la protection des données

18 000 organismes ont déjà désigné des correspon-dants qui sont près de 5 000.Avec le règlement européen, cette fonction de pilote de la conformité est consacrée.La désignation d’un délégué à la protection des données sera obligatoire en mai 2018 de très nom-breux organismes et notamment tous les organismes publics. Des lignes directrices du G29 (groupe des CNIL européennes) précisent les critères posés par le règlement sur cette nouvelle fonction de délégué. La CNIL aide les CIL à se préparer aux évolutions de leur fonction avec des outils dédiés : rubrique «devenir délégué» sur cnil.fr, nouveaux ateliers d’information.

Correspondant In

e et Libertés

ANTICIPERDans le cadre de son activité d’innova-tion et de prospective, la CNIL s’efforce de concilier deux objectifs : prendre en compte très en amont de nouveaux sujets, autour par exemple de tendances, de tech-nologies ou d’usages émergents, et aborder des sujets d’étude et d’analyse par l’inter-médiaire d’outils et de projets innovants.

LINCUn nouveau média

dédié aux innovations numériques

Pour contribuer aux débats sur le numérique la CNIL a lancé LINC,

« Laboratoire d’Innovation Numérique de la CNIL».

Éclairages et réflexions prospectives, partages et expérimentations sont

au cœur de cet espace éditorial.

CONTRÔLER ET SANCTIONNER Le contrôle a posteriori constitue un moyen privilégié d’intervention auprès des responsables de traitement de données personnelles. Il permet à la CNIL de vérifier sur place la mise en œuvre concrète de la loi. Le programme des contrôles est élaboré en fonction des thèmes d’actua-lité et des grandes problématiques (actualité, nouvelles technologies) dont la CNIL est saisie.

À l’issue de contrôles ou de plaintes, la formation res-treinte de la CNIL, composée de 5 membres et d’un Président distinct du Président de la CNIL, peut pro-noncer diverses sanctions :

■ Un avertissement, qui peut être rendu public.

Dans l’hypothèse où le Président de la CNIL a, au préalable, prononcé une mise en demeure, et que le responsable de traitement ne s’y est pas conformé, la formation restreinte peut prononcer, à l’issue d’une procédure contradictoire :

■ Une sanction pécuniaire (sauf pour les traitements de l’État) d’un montant maximal de 3 millions d’euros. Cette sanction peut être ren-due publique ; la formation restreinte peut éga-lement ordonner l’insertion de sa décision dans la presse, aux frais de l’organisme sanctionné. Le montant des amendes est perçu par le Trésor Public et non par la CNIL.

■ Une injonction de cesser le traitement.

■ Un retrait de l’autorisation accordée par la CNIL.

ÉTHIQUE ET NUMÉRIQUE Une nouvelle mission pour la CNIL

Depuis 2016, la loi confie à la CNIL la mission de conduire une réflexion sur les enjeux éthiques soulevés par l’évolution des technologies numériques. La CNIL fait porter cette réflexion en 2017 sur les algorithmes et l’intelligence artificielle en appelant les acteurs intéressés à organiser débats publics, ateliers ou rencontres.

30 partenaires participent à cette initiative de la CNIL.

LE RÉGLEMENT EUROPÉEN Le règlement européen sur la protection des données personnelles a été publié le 4 mai 2016. Il va permettre à l’Europe de s’adapter aux nouvelles réalités du numérique. Il sera applicable le 25 mai 2018 dans tous les pays de l’Union européenne. Il renforce les droits des citoyens européens et leur donne plus de contrôle sur leurs données personnelles. Il simplifie les formalités pour les entreprises et leur offre un cadre unifié.

La réforme de la protection des données poursuit trois objectifs :• Renforcer les droits des per-

sonnes, notamment par la création d’un droit à la portabi-lité des données personnelles et de dispositions propres aux personnes mineures ;

• Responsabiliser les acteurs trai-tant des données (responsables de traitement et sous-traitants) ;

• Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protec-tion des données, qui pour-ront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Ce qui change pour les professionnelsAlors que les obligations des organismes au regard de la loi Informatique et Libertés reposent en grande partie sur les formalités préalables (déclaration, autorisation), le règlement européen sur la pro-tection des données repose sur une logique de responsabilisa-tion et de transparence.

Cette notion de responsabilité (accountability) se traduit notamment par :• La prise en compte de la pro-

tection des données dès la conception d’un service ou d’un produit et par défaut ;

• La mise en place d’une organi-sation, de mesures et d’outils internes garantissant une pro-tection optimale des personnes dont les données sont traitées.

En pratique, les organismes devront :• Réaliser l’inventaire des traite-

ments de données personnelles mis en œuvre ;

• Évaluer leurs pratiques et mettre en place des procédures (notification des violations de données, gestion des réclama-tions et des plaintes, etc.) ;

• Identifier les risques associés aux opérations de traitement et prendre les mesures néces-saires à leur prévention ;

• Maintenir une documenta-tion assurant la traçabilité des mesures.

Les nouveaux outils de conformitéD’un point de vue opérationnel, la conformité au règlement euro-péen repose sur différents outils :• Le registre des traitements et la

documentation interne ;

• Les études d’impact sur la vie privée (PIA) pour les traite-ments à risque ;

• La notification de violations de données personnelles.

La mise en œuvre de ces outils implique, au préalable, la dési-gnation d’un « pilote » interne : le délégué à la protection des données, véritable « chef d’or-chestre » de la protection des données personnelles au sein de l’organisme. Au-delà, la logique de responsabilisation (accoun-tability) doit se traduire par un changement de culture interne et mobiliser les compétences internes ou externes (DSI, pres-tataires, services juridiques, ser-vices métiers). Pour aider les organismes à s’organiser, la CNIL propose une

rubrique dédiée, une méthode et des outils pour se préparer au règlement en 6 étapes. Elle per-met aux organismes de s’assurer qu’ils ont anticipé et mis en œuvre l’essentiel des mesures néces-saires pour être prêts en 2018.

Ce qui change pour les particuliersLe règlement européen conforte le caractère central de la personne et renforce la maîtrise par l’indi-vidu de ses données. Il s’appli-quera dès lors qu’un résident européen sera substantiellement affecté par un traitement de données. Les acteurs mondiaux seront donc soumis au droit euro-péen dès lors qu’ils offrent un pro-duit ou un service à un citoyen européen, même à distance. Ce critère, dit du « ciblage », consti-tue une évolution profonde : désormais, la territorialité du droit européen de la protection des données se construit autour de la personne, et non plus seu-lement autour du territoire d’im-plantation des entreprises.

Le règlement reconnait aux personnes :• Une information plus claire et

accessible ;

• Une protection des enfants renforcée avec un recueil du consentement auprès des parents ;

• Un nouveau droit à la porta-bilité qui permet de récupérer ses données sous une forme aisément réutilisable et de les transférer ensuite à un tiers ;

• Le droit à réparation d’un dommage matériel ou moral, notamment dans le cadre d’ac-tions collectives.

FRANCOPHONIEDepuis une dizaine d’années, la CNIL s’est engagée dans une action de promotion de la culture Informatique et Libertés au sein des pays francophones.

Ces actions ont abouti à la création, en 2007, de l’Association Francophone des Autorités de Protection des Données Personnelles (AFAPDP), en partenariat avec l’Organi sation Internationale de la Francophonie (OIF), et à l’adoption, par des pays de l’espace francophone tels que le Burkina-Faso, la Tunisie, le Maroc, Madagascar, le Mali, d’une législation de protection de la vie privée.

En 2016, 59 pays membres de la Francophonie sur 84 disposent d’une loi et 51 d’une autorité de protection des données.

QUELS SONT VOS DROITS ? Le droit d’accès

Vous pouvez demander directement au responsable d’un fichier s’il détient des informations sur vous, et demander à ce que l’on vous communique l’intégralité de ces données.

Le droit de rectification

Vous pouvez demander la rectification des informations inexactes vous concernant. Le droit de rectification complète le droit d’accès.

Le droit d’opposition

Vous pouvez vous opposer, pour des motifs légitimes, à figurer dans un fichier. Vous pouvez vous opposer à ce que les données vous concernant soient diffusées, transmises ou conservées.

Le droit au déréférencement

Vous pouvez saisir les moteurs de recherche de demandes de déréférencement d’une page web associée à votre nom et prénom.

Le droit d’accès aux fichiers de police, de gendarmerie, de renseignement, FICOBA

Lorsque vous ne pouvez pas demander directement aux services de police, de gendarmerie ou de renseignement, ou à l’administration fiscale d’accéder aux données qui vous concernent, le droit d’accès s’exerce de manière indirecte par l’intermédiaire de la CNIL.

INFORMER, ÉDUQUERLa CNIL est investie d’une mission générale d’information des personnes des droits que leur reconnaît la loi Informatique et Libertés. La CNIL répond aux demandes des parti-culiers et des professionnels. Elle a reçu en 2016 plus de 166 500 appels téléphoniques. Elle mène des actions de communication grand public que ce soit à travers la presse, son site Internet, sa présence sur les réseaux sociaux ou en mettant à disposition des outils pédagogiques. Directement sollicitée par de nombreux organismes, sociétés ou institu-tions pour conduire des actions de formation et de sensibilisation à la loi Informatique et Libertés, la CNIL participe aussi à des col-loques, des salons ou des conférences pour informer et en même temps s’informer. Elle fédère un Collectif de plus de 60 organismes qui mènent des actions en faveur de l’éducation au numérique.

PROTÉGER LES DROITS DES CITOYENSToute personne peut s’adresser à la CNIL en cas de difficulté dans l’exercice de ses droits. La CNIL veille à ce que les citoyens accèdent efficacement aux données contenues dans les traitements les concernant. En 2016, la CNIL a reçu 7 703 plaintes qui concernent : l’e-réputation (demandes de suppression de contenus sur internet), le commerce (oppo-sition à recevoir des courriels publicitaires), les ressources humaines (dispositifs de contrôle : vidéosurveillance, géolocalisation des véhicules), la banque et le crédit (contes-tation de l’inscription dans l’un des fichiers de la banque de France).

Besoin d’aide est disponible sur cnil.fr.

Ce service propose 500 questions/réponses pratiques et la possibilité d’adresser une demande (plus de 12 000 demandes reçues en 2016).

Le laboratoire

La CNIL a créé, en son sein, un laboratoire, doté de moyens informatiques dédiés, pour tester et expérimenter des produits et appli-cations innovantes. Ce laboratoire permet de disposer des nouveaux produits le plus en amont possible de leur commercialisa-tion afin de tester leurs fonctionnalités, et d’évaluer leurs impacts sur la protection de la vie privée. Dans une logique de privacy by design, la CNIL entend renforcer sa mission de conseil auprès des entreprises en matière d’intégration des exigences de protection des données personnelles dans leur processus de développement technologique. Enfin, elle souhaite contribuer au développement de solutions technologiques protectrices de la vie privée.

Le Comité de la prospective

Composé de 15 membres extérieurs à la CNIL, ce comité a vocation à enrichir la réflexion de la CNIL sur les enjeux socié-taux et éthiques du numérique afin de mieux cerner leurs impacts sur les droits et libertés. Il constitue un espace privilé-gié d’échanges. En 2017, il étudiera notam-ment la place des citoyens dans la ville numérique (smart city).

Depuis février 2014, la Présidente de la CNIL préside le G29, le groupe de travail rassemblant les 28 autorités de protection des données européennes. Il élabore notamment les lignes directrices qui unifient et clarifient l’interprétation des dispositions essentielles du règlement.

Les labels

Correspondant In

e et Libertés

accessible ;

Le laboratoire

Les labels

Correspondant In

e et Libertés

accessible ;

Le laboratoire

Les labels

Correspondant In

e et Libertés

accessible ;

Le laboratoire

2016La CNIL en

82MISES EN DEMEURE

430CONTRÔLES

195EMPLOIS

13SANCTIONS :

9 AVERTISSEMENTS

97LABELS DÉLIVRÉS

190AUTORISATIONS

du numérique.

www.cnil.fr

2017LA CNIL EN BREF

63 %de femmes

37 %d’hommes

à la construction d’une éthique la cnil en 2016 · contacter la cnil commission nationale et...

Documents