Commission nationale de l'informatique et des libertés
autorité administrative indépendante française De Wikipédia, l'encyclopédie libre
autorité administrative indépendante française De Wikipédia, l'encyclopédie libre
La Commission nationale de l'informatique et des libertés (CNIL) est une autorité administrative indépendante française. La CNIL est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée et informatique, ni aux libertés individuelles ou publiques. Elle exerce ses missions conformément à la loi Loi informatique et libertés du modifiée notamment en 2004 et en 2019.
Protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles |
Fondation |
---|
Sigle |
CNIL |
---|---|
Type | |
Forme juridique |
Autorité administrative ou publique indépendante |
Domaine d'activité |
Administration publique générale |
Siège |
7e arrondissement de Paris (3, place de Fontenoy - UNESCO, 75007) |
Pays | |
Coordonnées |
Membres |
20 |
---|---|
Présidente |
Marie-Laure Denis (depuis ) |
Secrétaire général |
Louis Dutheillet de Lamothe (d) |
Budget |
24,3 M€ () |
Site web |
SIREN | |
---|---|
OpenCorporates | |
data.gouv.fr | |
Annuaire du service public |
Le , la révélation par le quotidien Le Monde[1],[2],[3] d'un projet gouvernemental tendant à identifier chaque citoyen par un numéro et d'interconnecter, via ce numéro, tous les fichiers de l'administration créa une vive émotion dans l'opinion publique.
Ce projet, connu sous le nom de SAFARI (Système automatisé pour les fichiers administratifs et le répertoire des individus), visait à interconnecter les fichiers nominatifs de l'administration française, notamment par le biais du numéro d'Inscription au répertoire (NIR). Il soulignait les dangers de certaines utilisations de l'informatique et faisait craindre un fichage général de la population. Cette inquiétude a conduit le gouvernement à créer une commission afin qu'elle propose des mesures garantissant que le développement de l'informatique se réalise dans le respect de la vie privée, des libertés individuelles et publiques. Ce projet s'inscrit dans la thématique de la nouvelle gestion publique (new public management), modèle anglais qui prône une libéralisation économique et politique de l'administration. Cette « Commission Informatique et Libertés » proposa, après de larges consultations et débats, de créer une autorité indépendante. C’est ce que fit la loi du en instituant la Commission nationale de l’informatique et des libertés.
La loi relative à l'informatique, aux fichiers et aux libertés du constitue le fondement de la protection des données à caractère personnel dans les traitements informatiques mis en œuvre sur le territoire français. Elle a été réformée par la loi du , qui transposait, de façon libre, la directive européenne du sur la protection des données à caractère personnel (dir. 95/46/CE). La loi de 2004 allège de façon substantielle les obligations déclaratives des détenteurs de fichiers, accroît les pouvoirs de la CNIL en ce qui concerne les contrôles sur place et les sanctions, et renforce les droits des personnes[4]. Elle a également créé les « Correspondants Informatique et Libertés » (CIL). Il s’agit de professionnels, qui au sein de leur organisme (entreprise, administration ou collectivité locale), veillent au respect de la loi Informatique et Libertés.
Le , la Commission européenne a adopté un projet de règlement européen et de directive réformant le cadre de la protection des données. Le règlement devrait entrer en vigueur dans les deux ans à compter de sa publication après adoption par le Conseil et le Parlement européens dans chaque pays membre de l'Union. En mars 2012, le Groupe de Travail G29 a adopté un avis sur les propositions de réforme présentées par la Commission Européenne. Il se félicite du renforcement des droits des individus, des pouvoirs des autorités de contrôle et des responsabilités des responsables de traitements et sous-traitants. Toutefois, en dépit de ces avancées positives, le G29, comme la CNIL, estiment que le projet de règlement nécessite des éclaircissements et des améliorations[5].
Le règlement général sur la protection des données (RGPD) ainsi que la directive relative à la protection des données à caractère personnel à des fins répressives ont été adoptés le par le Parlement européen[6]. Ses dispositions sont directement applicables dans l'ensemble des 27 États membres de l'Union Européenne à partir du 25 mai 2018[6].
En 2018, plus de 11 000 plaintes ont été déposées auprès de la CNIL, soit une augmentation de 32% sur la période de 7 mois où le RGPD était en vigueur[7].
La loi « Informatique et Libertés » a été mise en conformité et cohérence avec la réglementation européenne successivement par la loi du 20 juin 2018, l'ordonnance du 12 décembre 2018, et plusieurs décrets[8].
La commission se compose d’un collège pluraliste de 18 personnalités nommées pour cinq ans renouvelable une fois :
12 des 18 membres sont élus ou désignés par les assemblées ou les juridictions auxquelles ils appartiennent.
Le président de la CNIL est choisi par le président de la République, et sa nomination est soumise à la validation des commissions des Lois de l'Assemblée nationale et du Sénat. Depuis le 1er septembre 2012 et l’adoption des lois organiques et ordinaires relatives au Défenseur des droits, la fonction de président de la CNIL est devenue incompatible avec toute activité professionnelle, tout mandat électif national, tout autre emploi public et toute détention, directe ou indirecte, d'intérêts dans une entreprise du secteur des communications électroniques ou de l'informatique. La fonction de président est désormais un emploi à plein temps.[réf. souhaitée]
La CNIL ne reçoit d’instruction d’aucune autorité. Les ministres, autorités publiques, dirigeants d’entreprises, publiques ou privées, ne peuvent s’opposer à son action.
Les décisions de la CNIL, qui prennent le nom de délibération, peuvent faire l’objet de recours devant le Conseil d'État.
Le budget de la CNIL relève du budget de l’État. Le président de la CNIL recrute librement ses collaborateurs, qui ont le statut d'agent contractuel[9]. Il est inscrit au programme budgétaire 08 "Protection des droits et libertés" rattaché aux Services du Premier ministre.
2016[10] | 2017[11] | 2018[12] | 2019[13] | 2020[14] | 2021[15] | 2022[16] | |
---|---|---|---|---|---|---|---|
Budget alloué | 16 964 049 € | 17 161 536 € | 16 838 254 € | 18 506 734 € | 20 143 890 € | 21 780 782 € | 23 950 763 € |
Titre 2 (personnel) | 13 842 841 € | 14 088 832 € | 14 402 426 € | 15 162 970 € | 16 710 552 € | 18 017 267 € | 20 000 658 € |
Hors titre 2 (fonctionnement, investissement et intervention) | 3 121 208 € | 3 072 704 € | 3 003 136 € | 3 343 764 € (auxquels s'ajoutent 180 000 € de réallocation) | 3 433 338 € | 3 763 515 € | 3 950 105 € |
2016[17] | 2017[18] | 2018[19] | 2019[20] | 2020[21] | 2021[22] | 2022[23] | |
---|---|---|---|---|---|---|---|
Nombre d'emplois (en fin d'année) | 195 | 198 | 199 | 215 | 225 | 245 | 270 |
Proportion de juristes | 38 % | 36 % | 44 % | 48 % | 34 % | 33 % | N/A |
Proportion d'assistants | 22 % | 26 % | 25 % | 22 % | 13 % | 12 % | N/A |
Proportion d'ingénieurs et auditeurs des systèmes d'information | 12 % | 14 % | 18 % | 19 % | 11 % | 11 % | N/A |
Présidents de la CNIL | Début du mandat | Fin du mandat |
---|---|---|
Pierre Bellet | ||
Jacques Thyraud | ||
Jean Rosenwald | ||
Jacques Fauvet | janvier 1999 | |
Michel Gentot | ||
Alex Türk | ||
Isabelle Falque-Pierrotin[24] | ||
Marie-Laure Denis[25] |
Le secrétaire général de la CNIL coordonne et encadre les activités des directions de la CNIL. Il organise également le fonctionnement du Collège et de la formation restreinte.
Les membres du Collège de la CNIL se réunissent en séances plénières quasiment une fois par semaine sur un ordre du jour établi à l’initiative de son président. Une partie importante de ces séances est consacrée à l’examen de projets de loi et de décrets soumis à la CNIL pour avis par le gouvernement. La CNIL autorise également la mise en œuvre de fichiers les plus sensibles, parmi lesquels ceux faisant appel à la biométrie.
Depuis le 25 mai 2018, la formation restreinte peut prononcer des sanctions[34] à l’égard d'organismes qui ne respectent pas le règlement général sur la protection des données (RGPD) de l'Union européenne jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires mondial.
Le , les lois organiques et ordinaires relative au Défenseur des droits ont modifié l’organisation de la formation restreinte. L’article 13 de la loi du modifiée en août 2004 a ainsi été modifié pour prévoir que le président et les deux vice-présidents de la CNIL (lesquels composent son bureau) ne sont plus éligibles à la formation restreinte de la CNIL. Celle-ci est composée d’un président distinct de celui de la formation plénière et de cinq autres membres élus par les 18 membres du Collège. Cette réforme donne aussi une plus grande liberté de publicité des décisions de la CNIL : le bureau peut désormais, sur demande du président, décider de la publicité des mises en demeure, et la formation restreinte dispose, elle, d’une plus grande liberté pour la publication des sanctions.
Seuls les dossiers nécessitant une décision ou une prise de position du collège des commissaires sont évoqués lors des séances plénières. En dehors des séances, les commissaires sont chargés de suivre plus particulièrement les secteurs qui leur sont attribués par le président en liaison avec les services. Les commissaires peuvent être chargés de représenter la CNIL dans diverses réunions ou instances, et participer à des missions de contrôle. Les commissaires ayant la qualité de magistrats ou d'anciens magistrats sont seuls habilités à avoir accès aux fichiers de police pour le compte des citoyens concernés (droit d'accès indirect).
La CNIL, dont les moyens ont plus que doublé depuis l'an 2000, s'appuie sur un effectif d'environ 270 agents (en 2022). Pour remplir ses missions, le président de la CNIL, assisté d'un secrétaire général, s’appuie sur différents services organisés au sein de quatre directions : une direction des affaires juridiques, internationales et de l’expertise, une direction des relations avec les usagers et du contrôle, une direction des ressources humaines, financières, informatiques et logistiques, et une direction des études, de l’innovation et de la prospective, créée en 2011.
Dans l’exercice de ses missions, la CNIL répond aux demandes de conseils qui lui sont adressées par des responsables de traitements, instruit les plaintes dont elle est saisie par les citoyens, organise des contrôles sur place. Elle procède également aux vérifications nécessaires dans le cadre du droit d’accès indirect aux fichiers intéressant la sécurité publique et la sûreté de l’État, et délivre à toute personne qui en fait la demande un extrait de la liste des traitements qui lui sont déclarés (« fichier des fichiers »).
Au-delà de ses activités de recensement, de contrôle des fichiers, des réponses faites aux demandes de conseil et de l’instruction des plaintes, la CNIL consacre une partie de son activité à l’information des personnes sur leurs droits et sur leurs obligations. Directement sollicitée par de nombreux organismes ou institutions pour conduire des actions de formation et de sensibilisation à la loi « Informatique et Libertés », la CNIL participe à des colloques, des salons ou des conférences pour informer. La CNIL a déjà organisé 21 rencontres régionales. Il s’agit d’aller périodiquement à la rencontre de l’ensemble des acteurs publics ou privés concernés par la protection des données personnelles, dans une région à l’instar des entreprises et des administrations déconcentrées de l’État. Pour donner plus d’écho à ses décisions ou à ses actions, la CNIL dispose de différents outils de communication : site internet, lettre mensuelle électronique adressée à 36 661 abonnés, rapports annuels, communiqués de presse ainsi qu’une collection de guides pratiques[35], la plupart étant édités uniquement en français, sauf pour les guides sur la sécurité[36] et la gestion des risques[37],[38] qui sont édités en français et en anglais.
La CNIL est investie d’une mission générale d’information des personnes sur leurs droits et leurs obligations. Elle aide les citoyens dans l'exercice de leurs droits. Elle établit chaque année un rapport public rendant compte de l'exécution de sa mission.
Sa feuille de route stratégique 2019-2021[39] prévoit notamment un renforcement de sa visibilité et un large relais de ses positions, auprès du public, de têtes de réseaux (AFCDP[40], réseau SupDPO[41], Conseil national des barreaux[42]…) et des délégués.
La CNIL régule et recense les fichiers, autorise les traitements les plus sensibles avant leur mise en place. L'avis de la CNIL doit d’ailleurs être sollicité avant toute transmission au Parlement d'un projet de loi relatif à la protection des données personnelles ; il doit aussi être sollicité par le Gouvernement avant d'autoriser les traitements intéressant la sûreté de l'État, la défense ou la sécurité publique. La CNIL établit des normes simplifiées, afin que les traitements les plus courants fassent l'objet de formalités allégées. Elle peut aussi décider de dispenser de toute déclaration des catégories de traitement sans risque pour les libertés individuelles. Elle agit également par voie de recommandations.
Entre 2004 et 2018, la CNIL avait la possibilité de délivrer des labels à des produits ou à des procédures ayant trait à la protection des personnes à l'égard du traitement des données à caractère personnel. Elle a procédé en 2012 à ses premières délivrances de labels dans les secteurs de la formation et de la procédure d'audit, puis mis fin à son activité de labellisation en déployant des certifications[43], après l'entrée en application du RGPD.
La CNIL doit veiller à ce que les citoyens soient informés des données contenues dans les traitements les concernant et qu'ils puissent y accéder facilement. Elle reçoit et instruit les plaintes des personnes qui rencontrent des difficultés à exercer leurs droits. Elle exerce, pour le compte des citoyens qui le souhaitent, l'accès aux fichiers intéressant la sûreté de l'État, la défense et la sécurité publique, notamment des services de renseignements et de la police judiciaire.
La CNIL vérifie que la loi est respectée en contrôlant les traitements informatiques. Elle peut de sa propre initiative se rendre dans tout local professionnel et vérifier sur place et sur pièce les fichiers. La Commission use de ses pouvoirs d’investigation pour instruire les plaintes et disposer d'une meilleure connaissance de certains fichiers. La CNIL surveille par ailleurs la sécurité des systèmes d'information en s'assurant que toutes les précautions sont prises pour empêcher que les données ne soient déformées ou communiquées à des personnes non autorisées.
Lorsqu'elle constate un manquement à la loi, la CNIL peut, après avoir mis en demeure les intéressés de mettre fin à ce manquement, prononcer diverses sanctions : l’avertissement, les sanctions pécuniaires pouvant atteindre 20 000 000 €[44], l’injonction de cesser le traitement. Enfin, le Président peut demander en référé à la juridiction compétente d'ordonner toute mesure de sécurité nécessaire. Il peut saisir également le Procureur de la République des violations de la loi dont il a connaissance.
Le , le Conseil d'État a annulé deux sanctions prononcées en 2006 par la CNIL à l’encontre de sociétés effectuant de la prospection commerciale par téléphone. Ces entreprises ayant exercé un recours contre ces sanctions devant le Conseil d'État, ce dernier a estimé que les contrôles doivent être « préalablement autorisés par un juge », à moins que le responsable de l'entreprise ait été « préalablement informé de son droit de s'opposer » au contrôle[45].
La CNIL doit s'attacher à comprendre et anticiper les développements des technologies de l'information afin d'être en mesure d'apprécier les conséquences qui en résultent pour l'exercice des droits et libertés. Elle propose au Gouvernement les mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques. Pour renforcer sa capacité d'anticipation, elle s'est dotée en 2012 d'un comité de la prospective rassemblant des experts extérieurs. Une direction des études, de l’innovation et de la prospective (DEIP) avait été préalablement mise en place en 2011 pour développer la réflexion prospective au sein de la CNIL.
Depuis 2016[46], la CNIL dispose d'un laboratoire d'innovation numérique (LINC), qui a été restructuré en 2021 pour devenir un service à part entière[47].
Toute personne peut s’adresser directement à un organisme pour savoir si elle est fichée ou pas.
Sauf pour les fichiers relevant du droit d'accès indirect, toute personne peut, gratuitement, sur simple demande avoir accès à l’intégralité des informations la concernant sous une forme accessible (les codes doivent être explicités). Elle peut également en obtenir copie moyennant le paiement, le cas échéant, des frais de reproduction.
Toute personne peut demander directement que les informations détenues sur elle soient rectifiées (si elles sont inexactes), complétées ou clarifiées (si elles sont incomplètes ou équivoques), mises à jour (si elles sont périmées) ou effacées (si ces informations ne pouvaient pas être légalement collectées par l’organisme concerné).
Toute personne peut s’opposer à ce qu’il soit fait un usage des informations la concernant à des fins publicitaires ou de prospection commerciale ou que ces informations la concernant soient cédées à des tiers à de telles fins. La personne concernée doit être mise en mesure d’exercer son droit d’opposition à la cession de ses données à des tiers dès leur collecte. L’utilisation d’automates d’appels téléphoniques, de fax ou de messages électroniques à des fins publicitaires est interdite si les personnes n’y ont pas préalablement consenti.
Toute personne peut demander à la CNIL de vérifier les informations la concernant éventuellement enregistrées dans des fichiers intéressant la sûreté de l’État, la défense ou la sécurité publique (droit d’accès indirect). La CNIL mandate l’un de ses membres magistrats (ou anciens magistrats) afin de vérifier la pertinence, l’exactitude et la mise à jour de ces informations et demander leur rectification ou leur suppression. Avec l’accord du responsable du traitement, les informations concernant une personne peuvent lui être communiquées.
La CNIL s'est dotée début 2023 d'un service dédié à l'intelligence artificielle[48].
La CNIL en 2011 :
La CNIL en 2012[53] :
La CNIL en 2017[54] :
La CNIL, indique, pour l'année 2022, les chiffres suivants[55] :
La CNIL indique pour 2023 un record d'activité[56],[57] :
L'Allemagne en 1971, la Suède en 1973 et la France en 1978 ont été les trois premiers pays dotés d'une loi informatique et libertés. Ces lois instituent la création d'autorités de contrôle indépendantes.
Certaines structures économiques et politiques internationales s'en sont inspirées, parmi lesquelles l'Organisation de coopération et de développement économiques (OCDE) en 1980, le Conseil de l'Europe en 1981 (Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel) et les Nations unies (ONU) en 1990. En 1995, la Communauté européenne a émis une directive en ce sens, que les pays de l'Union européenne doivent transposer.
Depuis le , une Journée européenne de la protection des données à caractère personnel est organisée par le Conseil de l'Europe et relayée en France par la CNIL[58].
L’Union européenne a adopté le une directive destinée à harmoniser au sein des États membres la protection assurée à toute personne quel que soit le lieu où sont opérés les traitements de ses données à caractère personnel.
À ce jour[Quand ?], les trente-et-un États membres de l'Espace économique européen (Union Européenne plus Islande, Liechtenstein, Norvège) disposent d’une loi « informatique et libertés » et d’une autorité de contrôle indépendante.
L’article 29 de la directive du sur la protection des données et la libre circulation de celles-ci a institué un groupe de travail de ces vingt-sept « CNIL européennes ». C’est le « groupe de l’article 29 » (G29)[59], par référence à l’article de la Directive 95/46/CE qui l’institue.
Il a pour mission de contribuer à l’élaboration des normes européennes en adoptant des recommandations, de rendre des avis sur le niveau de protection dans les pays tiers et de conseiller la Commission européenne sur tout projet ayant une incidence sur les droits et libertés des personnes physiques à l’égard des traitements de données personnelles. Le G29 se réunit à Bruxelles en séance plénière environ tous les deux mois. Environ quinze sous-groupes composés des collaborateurs des « CNIL européennes » se réunissent régulièrement à Bruxelles pour alimenter les réflexions des membres du G29 en séance plénière et rédiger les avis qui leur seront ensuite soumis pour adoption.
Ses avis sont publiés sur son site[60].
À compter de l'entrée en application du Règlement général sur la protection des données en mai 2018, il est remplacé par le Comité européen de la protection des données.
D’autres pays européens non membres de l’Union ont adopté des lois et des garanties similaires à celles reconnues par les États membres, tels que la Macédoine, les îles anglo-normandes, Monaco, Gibraltar et la Suisse.
Au-delà de l’Europe, des pays tels que le Canada, l’Argentine, l’Australie, la Nouvelle-Zélande, la Corée du Sud, la Tunisie, le Maroc, le Burkina Faso, le Sénégal, le Mali, le Cap Vert, le Ghana, le Madagascar, l'Ile Maurice, le Gabon, le Malawi, la Côte d'Ivoire et le Niger se sont également dotés d’une loi et d’une autorité indépendante de contrôle. D’autres États ont fait le choix d’adopter une législation de garanties, quelquefois limitée au seul secteur public ou à certaines activités du secteur privé, sans toujours instituer une autorité indépendante de contrôle dotée de larges pouvoirs ; il revient alors aux juridictions judiciaires de sanctionner la méconnaissance des droits reconnus. Tel est le cas pour les États-Unis, le Japon, le Paraguay, Taïwan, et la Thaïlande.
La Directive européenne du 24 octobre 1995 reconnaît le principe selon lequel les données personnelles ne peuvent être transmises hors de l’Union européenne que si l’entreprise destinataire des données ou le pays de destination offre un niveau de protection « adéquat ». C'est le cas d'Andorre, du Canada, de la Suisse, de l'Argentine, de Guernesey, de Jersey, de l'Uruguay, d'Israël, des îles Féroé et de l'île de Man.
Les échanges avec d’autres pays sont possibles seulement :
La CNIL participe à la conférence mondiale et à la conférence francophone des autorités de protection des données. Elle assure le secrétariat général de l’association des autorités francophones[61].
La CNIL est par exemple intervenue sur des cas portant préjudice à des personnes figurant dans des fichiers de police: mention ne devant plus y figurer, acte ne devant pas être référencé, personne fichée à tort. La CNIL doit aussi vérifier que l'exploitation privée de données de masse préserve la protection des données de santé personnelles :
Monsieur C., 24 ans, mécanicien aéronautique, a souhaité exercer son droit d’accès indirect aux fichiers de police judiciaire, à la suite de la décision de refus de délivrance de son badge aéroportuaire, indispensable à l’exercice de sa profession. Les vérifications effectuées par la CNIL, ont conduit à la suppression de son signalement dans le STIC pour une affaire de « vol simple » dont le délai de conservation, fixé à cinq ans, était expiré.
Monsieur P., 35 ans, a sollicité la délivrance d’une carte professionnelle pour exercer dans la sécurité privée. Il a parallèlement saisi la CNIL d’une demande de droit d’accès indirect aux fichiers de police judiciaire. Au terme des vérifications, deux affaires de nature contraventionnelle ont été supprimées du STIC et les deux restantes ont fait l’objet d’une mise à jour par mention des décisions de classement sans suite pour « carence du plaignant » et « préjudice peu important » dont il avait bénéficié. Monsieur P. qui, malgré ces inscriptions, a pu obtenir sa carte professionnelle, ne devrait, dès lors, pas avoir de difficultés à obtenir son renouvellement à l’avenir car il est désormais inconnu administrativement de ce fichier.
Une personne, fichée à tort, s'était vu écartée d'une candidature pour travailler sur le tarmac de l'aéroport de Roissy-Charles-de-Gaulle. Le temps de corriger les données, l'emploi a été attribué à une autre personne[62].
Monsieur G., 57 ans, commandant de bord depuis plus de vingt ans au sein d’une compagnie aérienne, a été en butte à des difficultés de renouvellement de son badge aéroportuaire. Si ce badge lui a finalement été délivré avec retard, sa validité a été limitée à un an au lieu de trois ans. N’ayant pu obtenir de plus amples explications, Monsieur G. a souhaité exercer son droit d’accès indirect afin de déceler l’origine de ses difficultés. Les vérifications menées par la CNIL ont conduit à la suppression de son enregistrement dans le fichier JUDEX pour une affaire de « travail clandestin, abus de biens sociaux et escroquerie » dans laquelle il n’était pas mis en cause. Monsieur G était juste cité dans la procédure mais ni en tant que mis en cause ni en tant que victime. Lors de l’intégration du compte rendu d’enquêtes dans JUDEX, il y a été intégré à tort comme l’auteur de ces faits, ce qui a été à l’origine de ses difficultés[63].
IQVIA a noué un partenariat avec 14 000 pharmacies françaises, stocke et traite des données de santé de clients de pharmacies en France. La CNIL qui avait donné un accord, lance une enquête et des contrôles[64],[65],[66].
Pour les expériences Reconnaissance faciale et possibles extensions en France[67] ou en Europe et éviter l'avènement d'une société de surveillance, il faut s'assurer que ces projets[68] soient conformes, avec les constitutions, aux règles du RGPD, et qu'ils soient contrôlés[69] par les autorités indépendantes telles que la CNIL.
L'entreprise Clearview AI fait l'objet de plusieurs controverses et procédures judiciaires vis-à-vis des milliards d'images qu'elle a collectées sur Internet[70],[71].
En décembre 2021, La CNIL met en demeure l’entreprise Clearview AI, lui demande de supprimer les données collectées en France et lui enjoint de cesser ce type de pratique sur le territoire français « Clearview AI ne dispose pas non plus d’un intérêt légitime à collecter et utiliser ces données, notamment au regard du caractère particulièrement intrusif et massif du procédé qui permet de récupérer les images présentes sur Internet de plusieurs dizaines de millions d’internautes en France. ». Les activités de l'entreprise font déjà l’objet de multiples enquêtes dans le monde[72]. Clearview n'ayant pas donné suite à la mise en demeure, la CNIL la condamne à une amende de 20 millions d'euros le , auquel elle a deux mois pour se conformer sous peine d'une astreinte de 100 mille euros d'amende supplémentaires par jour de retard[73],[74].
En 2022, la CNIL coupe l’accès à une base de données nécessaire au journal Le Point pour que celui-ci établisse son palmarès annuel des hôpitaux et des cliniques. Elle prend cette décision après que le Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (Cesrees), dépendant des ministères de la Santé et de la Recherche, a émis un avis négatif pour la délivrance des données, étant en désaccord avec la méthodologie de l'enquête du magazine. Dans sa décision, la CNIL« invite » Le Point à modifier sa méthodologie en fonction des remarques du Cesrees afin que soient « corrigés de façon substantielle » ses « biais » méthodologiques. La rédaction du magazine s'étonne qu'« un journal est sommé de faire valider son travail par l'administration »[75],[76].
La société d'exploitation de l'hebdomadaire, SEBDO, a ainsi contesté cette décision devant le Conseil d'État le 23 décembre 2022, pour « excès de pouvoir » et lui demandé d'enjoindre à la CNIL de lui délivrer à titre provisoire une autorisation lui permettant de réaliser ce classement. Cette requête a été rejetée par le Conseil d'État, au principal motif que la décision de la CNIL était régulière[77].
Le 14 décembre 2007 les locaux de la CNIL ont été occupés une matinée par plusieurs dizaines de personnes qui ont notamment déployé une banderole « Informatique ou libertés, il faut choisir »[78],[79]. Le collectif Pièces et Main d'Œuvre avance, dans un texte d'avril 2007, que la CNIL ne bénéficie que d'une « pseudo-indépendance » et rappelle que « depuis juillet 2004, la loi a décidé que les services de police n'auraient même plus à s'asseoir sur les avis de la CNIL pour créer de nouveaux fichiers. Celle-ci était inaudible et silencieuse, la voici muette. Rien qu'un guichet de police »[80].
En février 2013, Gilles Babinet, « digital champion » du gouvernement français auprès de la Commission européenne, attaque vivement l’autorité dans une interview accordée au magazine L’Usine nouvelle[81]. Au cours de cet entretien, il fustige l’action de la CNIL, l’accusant de pénaliser le développement de l’innovation numérique en France. À ce titre, il dénonce le caractère excessif et obstruant de la régulation pratiquée par l’autorité, trop arcboutée sur la défense des libertés individuelles, et dépeint une administration frileuse en fort décalage avec les aspirations de la société civile en matière d’innovation. Le maire de Nice Christian Estrosi formule en mai 2022 sur la radio Europe 1 des critiques comparables quant aux blocages de la CNIL dans le domaine de la surveillance électronique de masse à des fins sécuritaires, qualifiant la commission d'« espèce d’institution poussiéreuse »[82].
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.