La CNIL est née en 1978. / LIONEL BONAVENTURE / AFP

La Commission nationale de l’informatique et des libertés (CNIL) fête ses 40 ans. Chargée de veiller à la protection des données personnelles des Français, elle n’a cessé de voir son champ de compétence s’élargir à mesure que la société s’est informatisée et qu’Internet s’est imposé dans toutes ses sphères. A l’occasion de cet anniversaire, Le Monde revient dans un dossier spécial sur l’histoire et les missions de cet organisme, mais aussi et surtout sur les nouveaux défis qu’il doit aujourd’hui relever.

  • A quoi sert la CNIL ?

La Commission nationale de l’informatique et des libertés (CNIL) est le régulateur des données personnelles. « Elle accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits », peut-on lire sur son site. La CNIL est notamment chargée de faire appliquer la loi du 6 janvier 1978 « relative à l’informatique, aux fichiers et aux libertés ». Elle reçoit des plaintes, contrôle des organismes qu’elle peut sanctionner, et donne également des avis. « La CNIL, par construction, est un contre-pouvoir, explique sa présidente, Isabelle Falque-Pierrotin, au Monde. Elle donne des avis, mais elle n’est pas toujours entendue… Ce qui ne signifie pas que ses avis sont inutiles. »

L’organisme est né après un article du Monde alertant sur la création par le gouvernement français du fichier Safari en 1974, visant à ficher les individus. A l’aube de l’informatisation de la société, cette affaire avait fait grand bruit et conduit le gouvernement de Raymond Barre à créer la CNIL en 1978, pour encadrer les fichiers informatiques.

  • Que dit la loi sur les données personnelles ?

La loi informatique et libertés de 1978 encadre l’usage des données personnelles. Elle impose aux entreprises souhaitant utiliser les données personnelles des Français d’obtenir au préalable leur consentement et de se montrer claires sur leurs intentions. La loi garantit au citoyen le droit de s’opposer à la collecte de ses données, et de faire supprimer les données le concernant.

La loi informatique et libertés pose dans son article 1er que « l’informatique doit être au service de chaque citoyen (…). Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Pour cela, la loi définit cinq grands principes à respecter en cas d’exploitation des données personnelles : définir les objectifs du fichier, vérifier la pertinence des données, limiter leur conservation, respecter le droit des personnes et sécuriser les données.

  • En quarante ans, comment a évolué la mission de la CNIL ?

Initialement conçue pour encadrer les fichiers créés par l’Etat, la CNIL doit désormais composer avec la multiplication des fichiers engendrés par l’informatisation et le développement d’Internet. Aujourd’hui, le numérique est partout, de la carte bancaire à la biométrie, la géolocalisation, les réseaux sociaux et les objets connectés. Qui plus est, la gratuité de nombreux services en ligne se paie d’une constante marchandisation des données.

La loi informatique et libertés, relativement flexible, reste encore pertinente à l’heure actuelle, même si elle a subi quelques ajustements ces dernières années. En revanche, la CNIL n’a pas grandi à la même mesure que la collecte des données personnelles qu’elle doit encadrer. La commission vivote avec un petit budget, moins de la moitié de celui du Conseil supérieur de l’audiovisuel (CSA).

  • Quels sont les nouveaux dangers pour les données personnelles ?

Après l’explosion du numérique et d’Internet, d’autres technologies, qui commencent à s’imposer dans notre quotidien, annoncent encore d’autres défis à venir pour la protection des données. Ainsi des objets connectés et des programmes d’intelligence artificielle (IA). Les premiers récoltent plus de données que jamais sur leurs utilisateurs ; les seconds en consomment des masses considérables pour fonctionner – et les deux ne font parfois qu’un, comme dans le cas des enceintes « intelligentes ».

Leur développement pourrait entrer en conflit avec certains principes de la loi de 1978. Elle impose par exemple une minimisation de la collecte des données, ainsi qu’une limitation de la durée de leur conservation. Or, les technologies d’intelligence artificielle ont par exemple souvent besoin d’une immense quantité de données conservées sur le long terme pour fonctionner.

Lire nos explications : Objets connectés, données sensibles
  • Quelle est l’efficacité de la CNIL ?

Côté chiffres, le nombre de contrôles effectués par la Commission a été multiplié par dix entre 2002 et 2016 – sans que cela ne produise davantage de sanctions. La tendance est à la hausse aussi en ce qui concerne les plaintes : rien qu’entre 2014 et 2015 la hausse est de 36 %. Pour la seule année 2016, la CNIL a répondu à 166 565 appels, enregistré 7 703 plaintes, rendu 3 078 décisions.

Parmi les dernières délibérations, la Commission a infligé une sanction pécuniaire de 150 000 euros à Facebook le 17 mai 2017 (délibération n° SAN – 2017-006 du 27 avril 2017) pour avoir procédé « à la combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire ».

Mais sur la durée de son existence, c’est avec l’Etat que la lutte a été la plus féroce. La CNIL a par exemple réussi à poser des limites à la surveillance policière lors de l’informatisation de la carte nationale d’identité et la constitution du système Schengen. En outre, elle a systématiquement interdit les traitements discriminatoires, limité le système Gamin du ministère de la santé, qui visait à sélectionner « les enfants à risques », et généralisé les droits d’accès.

Trois domaines ont cependant donné du fil à retordre à la CNIL : l’administration fiscale, qui a accès à des fichiers centraux qui ne lui sont, a priori, pas destinés ; le secteur bancaire, qui a multiplié les recours contre la Commission ; et la police. Il a fallu attendre plus de dix ans pour que les principaux fichiers de la police et de la défense soient régularisés.

  • Que contient le futur règlement européen sur les données personnelles ?

A l’issue d’un intense lobbying, l’Union européenne a adopté le 27 avril 2016 le règlement général sur la protection des données (RGPD). Remplaçant une directive de 1995, qui avait été diversement interprétée dans chaque pays européen. Ce texte ambitieux définira, à partir du 25 mai, des règles uniques concernant les données personnelles de plus d’un ­demi-milliard d’habitants. Il remplacera, en France, la loi de 1978 sur les données personnelles.

S’il n’en change pas les grands principes, il apporte cependant quelques modifications, à commencer par la sanction encourue par les entreprises ne respectant par le RGPD : elle pourra atteindre 4 % de leur chiffre d’affaires mondial.

Les entreprises devront aussi être plus transparentes vis-à-vis des consommateurs et des internautes. Elles devront aussi avertir les personnes concernées si leurs données se révèlent compromises à la suite d’un piratage ou d’une faille de sécurité. Les citoyens européens auront également un droit à la « portabilité » de leurs données, c’est-à-dire que les entreprises devront permettre à leurs utilisateurs de récupérer leurs données personnelles afin qu’ils puissent les transférer à un autre service.