La CNIL ou Commission Nationale de l'Informatique et des Libertés a été créée par la loi Informatique et Libertés du 6 janvier 1978. Sur son site, elle rappelle qu’elle est « chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés ».
Il s’agit d’une autorité administrative indépendante, en ce sens qu’elle agit au nom de l'État, mais sans être placée sous l'autorité du gouvernement ou d'un ministre. C’est également le cas de l’Arcep (gendarme des télécoms), des Autorités de la concurrence et de la sureté nucléaire, de la Haute Autorité pour la transparence de la vie publique, etc. Ce n’est toutefois pas le cas de l’ANFR (Agence nationale des fréquences), qui dépend du ministre de l'Économie et des Finances.
Retour en mars 1974…
La création de la CNIL remonte quelques années avant 1978. Elle prend racine en mars 1974 pour être précis, suite à un article du Monde. « Le 21 mars 1974, en page 9 de son édition du jour, avec un appel en "une", Le Monde publie un long article au titre étonnamment virulent qui tranche avec ceux, habituellement très neutres, du quotidien : “Safari” ou la chasse aux Français », explique Damien Leloup le 21 mars 2024, également sur Le Monde.
Safari pour « Système automatisé pour les fichiers administratifs et le répertoire des individus ». Il s’agit « de centraliser au ministère de l’Intérieur […] près de 100 millions de fiches réparties dans les 400 fichiers des services de Police », expliquait alors Antenne 2 (France 2 pour les plus jeunes). L’information avait été dévoilée par des informaticiens du ministère de l’Intérieur, comme nous le confirmait Louis Joinet lors d’un #14h42 il y a presque dix ans.
… avec des craintes sur des dérives potentielles
Louis Joinet était un magistrat français, ex-expert indépendant au Comité des droits de l’homme de l’ONU, qui avait fondé le Syndicat de la magistrature. Il est décédé en 2019. Lors de l’émission, réalisée en partenariat avec Arrêt sur Images, il expliquait à Jean-Marc Manach que les informaticiens du ministère « croyaient à leur travail, mais sentaient qu’on voulait en faire dire plus qu’il était nécessaire. C’est toujours le problème. Quand ils conçoivent des systèmes informatiques pour un but précis, ils essayent toujours de donner plus de possibilités à faire… ça pourrait être utile un jour ».
Une déclaration à mettre en face de celle de Claude Poulain, qui était alors informaticien à l’Insee, comme le rappellent nos confrères du Monde : « Il y avait à l’époque un slogan en interne : “On ne peut pas faire de statistiques sans partir d’informations individuelles, mais l’information individuelle ne nous intéresse pas” ». Il décrivait un « choc des cultures » avec les techniciens qui voulaient « mettre un peu de rationalité dans les fichiers » et en face « des juristes, avec des préoccupations très différentes ».
Et voici la Loi informatique et libertés de 1978.
Quoi qu’il en soit, cette information autour de Safari et de la « chasse aux Français » fit couler beaucoup d’encre en France (au-delà de nos frontières également). « Huit jours après la publication de l’article, le premier ministre d’alors, Pierre Messmer, met fin au projet Safari et convoque des experts dans une commission "informatique et libertés" chargée d’établir un cadre juridique », rappelle Le Monde. Ils rendront un rapport qui posera les bases de la loi informatique et libertés de 1978.
Après la création de la CNIL, le président de la Commission (Jacques Thyraud) a nommé Louis Joinet comme premier directeur de la CNIL. Il est « débarqué en décembre 1980 ce qui provoquera un scandale médiatique », précise sa fiche Wikipédia.
Pour le reste de l’histoire, on ne peut que vous conseiller de (re)regarder notre #14h42.
2004, année de grand chamboulement pour la CNIL
Sous couvert de transposer la directive européenne du 24 octobre 1995 sur la protection des données à caractère personnel (France aurait du transposer depuis 1998 et elle fut le dernier pays de l’Union à le faire), le Parlement adoptait, en 2004, une refonte de la loi de 1978 opérant un véritable renversement de perspectives. Cette refonte de 2004 avait d’ailleurs fait bondir Louis Joinet et Raymond Forni, ancien vice-président de la Commission de 1998 à 2000.
Nous aurons l’occasion d’y revenir en détails dans un prochain article. On y parlera notamment du fichier des « gens honnêtes » décidé par Bernard Cazeneuve, sans autre forme de procès qu’un simple décret. Il s’agissait de centraliser les empreintes digitales des français.
Défendre le citoyen des « aspects négatifs de l’utilisation de l’ordinateur »
Il y a 10 ans, la CNIL et l’INA publiaient une rétrospective pour les 45 ans de la Commission (avec 1978 comme année « 0 »). Une phrase est prononcée dans cette vidéo, et elle résonne encore aujourd’hui : « elle aura l’énorme travail de défendre le citoyen contre les aspects négatifs de l’utilisation de l’ordinateur ».
Après le fichage, la vidéosurveillance était l’un des premiers points de surveillance de la CNIL. L’ordinateur s’est déplacé dans Internet (le cloud), la CNIL a suivi le mouvement avec notamment le RGPD, ou Règlement Général sur la Protection des Données.
Quelques grandes lignes selon l’INA (sur chaque lien vous pouvez consulter de nombreuses vidéos sur les sujets d’époque) :
Le RGPD vient renforcer la loi de 1978
Cette décennie s’annonce comme celle du RGPD (du moins pour le moment). Profitons-en pour un rappel important, et trop souvent laissé de côté : le Règlement européen « s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant. Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels ».
« Un grand changement, c’est qu’on passe sur des montants de sanctions plus élevés. Ce sont des sanctions réellement dissuasives », expliquait Gwendal Le Grand, directeur des technologies et de l’innovation de la CNIL de 2014 à 2019, dans la vidéo commémorative des 45 ans.
Aujourd’hui, la CNIL est articulée autour de quatre « valeurs » : indépendance, conviction, expertise et collégialité. La Commission met en avant quatre missions :
-
- Informer, protéger les droits
-
- Accompagner la conformité / conseiller
-
- Anticiper et innover
-
- Contrôler et sanctionner
La CNIL a pris son temps pour sévir sur le RGPD
La CNIL a toutefois pris son temps pour commencer à taper – sérieusement – du poing sur la table par rapport aux cookies sur Internet, cookies dont des sites ont largement abusé… et continuent même parfois pour certains. Il a fallu attendre mai 2021, soit trois ans après l’application du Règlement, pour que les choses bougent. À cette époque, une vingtaine de mises en demeure ont été envoyées à « des organismes ne permettant pas aux internautes de refuser les cookies aussi facilement que de les accepter ».
Rappelons que la CNIL avait prévenu en avril 2021 que « le délai accordé pour mettre en conformité les sites et applications mobiles aux règles en matière de traceurs » avait pris fin le 31 mars 2021. La Commission européenne rappelle son côté que le RGPD « est entré en vigueur le 24 mai 2016 et s'applique depuis le 25 mai 2018 ». Deux ans entre l’entrée en vigueur et la mise en application, puis une période de grâce de trois ans. On monte donc à cinq ans entre le début officiel du RGPD et la mise en grogne de la CNIL.
La CNIL respecte-t-elle sa mission de « veiller au respect du RGPD » ?
La CNIL est également attaquée au Conseil d'État par un internaute – Aeris (BlueSky / Fediverse / Twitter) – qui conteste une décision de clôture. Il demande notamment à l’institution d’enjoindre la CNIL de… « se mettre en conformité avec le RGPD ». Aeris lui reproche aussi de ne remplir « sa mission de veiller au respect du RGPD ».
Il est rejoint par d’autres, notamment Morgan Schmiedt d’eWatchers qui ne mâche pas ses mots : « La CNIL envoie des messages types sans instruction réelle. Parfois, sans lien avec le manquement relevé. Parfois, avec le nom d’organismes différents, suite à des copiés-collés foireux. Parfois, elle ment ouvertement. Du foutage de gueule ». Ambiance…
Nous avions alors interrogé le service presse de la CNIL, qui a botté en touche : « s’agissant d’un contentieux en cours, la CNIL ne peut faire aucun commentaire ».
La CNIL est aussi au cœur de la polémique sur l’hébergement des données de santé (projet EMC2) du Health Data Hub chez Microsoft. Elle l’a, en effet, autorisé il y a quelques semaines à peine, mais… Il y a en effet un gros « mais », comme nous l’expliquait Philippe Latombe : « La CNIL met extrêmement bien les formes dans sa délibération. Quand elle nous dit "Je suis obligée de le faire", elle le pense vraiment et elle n’a pas le choix ».
« Ils n’ont pas eu le choix, encore une fois. Mais la décision laisse suffisamment de prise pour que tout le monde puisse la contester ». Et la contestation n’a pas tardé. Un groupe composé d’associations, d’entreprises et de particuliers l’a attaqué au Conseil d’État il y a peu.
Bilan 2023, actions pour 2024
Terminons par quelques chiffres. En 2023, les services de la CNIL ont « instruit plus de 16 000 plaintes, procédé à 340 contrôles et, in fine, ce sont 168 mises en demeure et 42 sanctions qui ont été prononcées », pour un montant de près de 90 millions d’euros.
En 2024, la Commission utilise de manière assez importante sa procédure simplifiée, avec quinze nouvelles sanctions depuis le début de l’année. Elle en avait déjà rendu six en novembre et décembre 2023. Pour la suite, la Commission a déjà dressée la liste de ses priorités : « données des mineurs, Jeux Olympiques, droit d’accès et tickets de caisse dématérialisés ».
Commentaires (6)
#1
Historique des modifications :
Posté le 25/03/2024 à 17h23
Que se passerait-il si le Conseil d'Etat donnait raison à Aeris (et les autres) ? Astreintes ? Annulations des prérogatives ? contrôle externe ?...
#2
#3
A l'époque, sans fichiers informatisés, cela à conduit à des désastres, comme la rafle du Vel D'Hiv. Alors je n'ose imaginé ce que cela aurait pu être en présence de tels fichiers.
Le projet SAFARI a pris place quelques décennies à peine après, la mémoire des disparus étant encore bien présente.
Autre temps, autres mœurs. "rares" sont celles et ceux à avoir connu la 2nd guerre mondiale. Aujourd'hui, j'ai l'impression qu'on va bien plus loin que ce qui était initialement prévu pour le projet SAFARI (déjà que certaines entreprise comme Facebook ou Google ont à disposition des profils très détaillés sur certains aspects, comme l'orientation sexuel, les convictions politiques ou la religion).
#3.1
Il ne faut pas oublier que le IIIe Reich avait totalement compris l'importance de l'automatisation des traitements et du rôle des calculateurs et de l'informatique à ce niveau. L'acquisition par l'Allemagne nazie de la machine Hollerith d'IBM et l'utilisation des cartes perforées a servi à industrialiser le traitement des cibles du régime.
Il y a quelques éléments sur le sujet dans l'article WP sur IBM (le bouquin de Black est tristement passionnant) : https://fr.wikipedia.org/wiki/IBM#IBM_et_le_r%C3%A9gime_nazi
#3.2
c'est un euphémisme
c'est la première raison de refuser le profilage
mais tout le monde s'en fout
Je cite Jean-Marc: La vie privée un problème de vieux cons
#3.3