Commission nationale de l'informatique et des libertés
La Commission nationale de l'informatique et des libertés (CNIL) est une Autorité administrative indépendante française chargée de veiller au respect de la Loi Informatique et Libertés et du Règlement général sur la protection des données (RGPD), ainsi qu'à la protection des données à caractère personnel dans les traitements automatisés ou les fichiers manuels. Instituée par la loi n° 78-17 du 6 janvier 1978, elle est l'autorité de contrôle nationale désignée au sens du RGPD pour la France depuis le 25 mai 2018. Ses décisions peuvent être portées devant le Conseil d'État, juridiction suprême de l'ordre administratif.
Histoire et fondation
La création de la CNIL découle directement de la polémique suscitée en mars 1974 par la révélation du projet SAFARI (Système automatisé pour les fichiers administratifs et le répertoire des individus). Ce projet prévoyait d'interconnecter les fichiers administratifs de l'État en utilisant le numéro INSEE comme identifiant unique, ouvrant la voie à un fichage centralisé de l'ensemble de la population. Sa divulgation par le journal Le Monde déclencha un débat public majeur sur la protection des libertés individuelles face à l'informatisation croissante de l'administration.
Le gouvernement confia à Pierre Sudreau la présidence d'une commission chargée d'élaborer un cadre légal adapté. Ses travaux aboutirent à la Loi Informatique et Libertés n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui créa officiellement la CNIL. Cette loi posa des principes fondateurs toujours en vigueur : finalité déterminée et légitime des traitements, proportionnalité des données collectées, durée de conservation limitée, et droits d'accès, de rectification et d'opposition reconnus aux personnes concernées.
La Loi Informatique et Libertés a connu deux réformes majeures : la loi n° 2004-801 du 6 août 2004, transposant la directive européenne 95/46/CE du Parlement européen et du Conseil, puis la loi n° 2018-493 du 20 juin 2018, qui a aligné le droit national sur les exigences du Règlement général sur la protection des données entré en application le 25 mai 2018.
Statut juridique
La CNIL est une Autorité administrative indépendante au sens de la loi organique n° 2017-54 du 20 janvier 2017 relative aux autorités administratives indépendantes. À ce titre, elle n'est soumise à aucune tutelle ministérielle et ses membres ne peuvent recevoir d'instruction d'aucune autorité extérieure. Elle dispose de la personnalité morale et d'une autonomie budgétaire ; son budget est inscrit au programme 308 de la mission « Direction de l'action du gouvernement ».
Ses actes normatifs (délibérations réglementaires, référentiels) et ses décisions individuelles (mises en demeure, sanctions) relèvent du Droit administratif et sont susceptibles d'un recours contentieux devant le Conseil d'État. La conformité de son organisation à la Constitution a été reconnue par le Conseil constitutionnel dans plusieurs décisions.
Composition et gouvernance
Le collège de la CNIL comprend 18 membres nommés pour un mandat de 5 ans non renouvelable.
| Origine | Nombre de membres |
|---|---|
| Conseil d'État (dont 2 en activité) | 4 |
| Cour de cassation (dont 2 en activité) | 4 |
| Cour des comptes (dont 1 en activité) | 2 |
| Personnalités qualifiées désignées par le Président de l'Assemblée nationale | 2 |
| Personnalités qualifiées désignées par le Président du Sénat | 2 |
| Personnalité qualifiée désignée par le Président du Conseil économique, social et environnemental | 1 |
| Personnalités qualifiées en matière d'informatique ou de libertés | 3 |
Le collège élit en son sein un président, un premier vice-président délégué et un second vice-président. Un bureau restreint de 6 membres prépare les délibérations du collège. La formation restreinte, composée de 6 membres tirés au sort parmi le collège (à l'exclusion du président), est l'organe compétent pour prononcer les sanctions administratives après procédure contradictoire. Les services permanents comptent environ 280 agents (données 2023).
Missions
Information et conseil
La CNIL informe les personnes physiques de leurs droits — droit d'accès, de rectification, d'effacement, de portabilité, d'opposition, de limitation du traitement — et accompagne les responsables de traitement dans leurs démarches de Conformité RGPD. Elle publie des référentiels sectoriels, des lignes directrices et des recommandations ayant valeur de doctrine.
Parmi ses productions notables figurent les lignes directrices sur les cookies et traceurs (délibérations des 17 septembre 2020 et 28 janvier 2022), les référentiels relatifs à la gestion des ressources humaines, à la vidéosurveillance et aux données de santé, ainsi qu'un guide pratique sur l'analyse d'impact relative à la protection des données (AIPD). La CNIL a également développé l'outil logiciel libre PIA (Privacy Impact Assessment), téléchargeable gratuitement, permettant aux organismes de formaliser et documenter leurs AIPD.
Contrôle
La CNIL exerce des missions de contrôle sur place (dans les locaux des organismes), sur pièces (examen de documents transmis) et en ligne (vérification de sites web et d'applications). En 2023, 340 contrôles ont été conduits. Les agents habilités par le président disposent d'un droit d'accès aux locaux professionnels, aux systèmes informatiques et à tout document utile à l'enquête, dans le respect des garanties constitutionnelles applicables.
Traitement des plaintes
Tout particulier estimant que ses droits n'ont pas été respectés peut déposer une plainte auprès de la CNIL. En 2023, la commission a enregistré 16 433 plaintes. Elle a également traité 4 275 demandes de droit d'accès indirect portant sur des fichiers de renseignement, de sécurité ou de justice. Le dépôt de plainte constitue un préalable fréquent, mais non obligatoire, avant tout recours juridictionnel.
Gestion des violations de données
Le RGPD impose aux responsables de traitement de notifier à la CNIL toute Violation de données personnelles dans un délai de 72 heures suivant sa découverte. En 2023, la CNIL a reçu 4 668 notifications. Ces violations résultent fréquemment d'incidents de Cybersécurité — cyberattaques, rançongiciels, pertes de supports physiques ou divulgations accidentelles — et peuvent engendrer une obligation d'information des personnes concernées lorsque le risque pour elles est élevé.
Pouvoirs de sanction
La formation restreinte peut prononcer, après procédure contradictoire garantissant les droits de la défense, les mesures suivantes :
- rappel à l'ordre ;
- mise en demeure de se conformer dans un délai déterminé ;
- injonction de cesser ou de limiter temporairement ou définitivement le traitement ;
- retrait d'une certification ou d'un agrément délivré par la CNIL ;
- amende administrative.
Depuis le 25 mai 2018, les amendes administratives peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial consolidé de l'exercice précédent, le montant le plus élevé étant retenu. Les décisions de sanction sont en principe rendues publiques (name and shame), sauf décision motivée contraire lorsque cette publicité serait susceptible de nuire gravement à la personne sanctionnée.
Parmi les sanctions les plus significatives prononcées figurent :
- Google LLC : 100 millions d'euros (décembre 2020) et 150 millions d'euros (janvier 2022) pour non-respect des règles applicables aux cookies ;
- Facebook (Meta) : 60 millions d'euros (janvier 2022) pour les mêmes manquements ;
- Clearview AI : 20 millions d'euros (octobre 2022) pour collecte illicite de données biométriques à partir d'images accessibles en ligne ;
- Amazon France Logistique : 32 millions d'euros (décembre 2023) pour surveillance disproportionnée des employés dans les entrepôts.
Rôle dans le cadre du RGPD
La CNIL est l'autorité de contrôle nationale compétente en France au sens du Règlement général sur la protection des données. Pour les organismes dont l'établissement principal au sein de l'Union européenne est situé en France, elle est également « autorité chef de file » (lead supervisory authority), chargée de coordonner les procédures transfrontalières vis-à-vis des autres autorités nationales de protection des données.
La Conformité RGPD implique pour les organismes de tenir un registre des activités de traitement, de conduire des analyses d'impact pour les traitements à risque élevé, de désigner un Délégué à la protection des données (DPO) dans les situations prévues par le règlement — notamment pour les autorités publiques et pour les traitements à grande échelle portant sur des données sensibles —, et d'encadrer contractuellement les transferts de données hors de l'Espace économique européen.
Relations européennes et internationales
La CNIL participe aux travaux du Comité européen de la protection des données (CEPD), instance réunissant les 27 autorités nationales de l'Union européenne et le Contrôleur européen de la protection des données. Le CEPD adopte des lignes directrices, des recommandations et des avis contraignants destinés à harmoniser l'interprétation du RGPD dans l'ensemble des États membres.
La CNIL est membre de l'Association francophone des autorités de protection des données personnelles (AFAPDP), qui regroupait 41 membres représentant 34 pays en 2024. Au plan mondial, elle participe au Global Privacy Assembly (GPA), réunissant plus de 130 autorités de protection des données. La coopération entre autorités s'exerce également dans le cadre des procédures d'assistance mutuelle et d'opérations conjointes prévues aux articles 60 à 67 du RGPD.
Domaines sectoriels
Données de santé
Les données de santé constituent une catégorie particulière de données sensibles au sens de l'article 9 du RGPD et nécessitent une base légale spécifique ou une autorisation. La CNIL instruit les demandes d'autorisation relatives aux recherches médicales et aux entrepôts de données de santé, en lien avec le Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES). Elle a notamment encadré les conditions d'accès au Système national des données de santé (SNDS).
Données des employés et droit du travail
La CNIL a publié des recommandations précises sur la vidéosurveillance en entreprise, la biométrie pour le contrôle d'accès, la géolocalisation des véhicules professionnels et le contrôle de l'activité numérique des salariés (messagerie, navigation web, journaux de connexion). Ces traitements s'articulent avec les dispositions du Droit du travail relatives à l'information préalable des salariés et à la consultation des représentants du personnel.
Intelligence artificielle
En 2023, la CNIL a publié un plan d'action sur l'intelligence artificielle articulé autour de cinq priorités : la licéité des bases d'entraînement des modèles, la transparence algorithmique, la protection des données dès la conception (privacy by design), les droits des personnes face aux décisions automatisées au sens de l'article 22 du RGPD, et la coopération européenne dans le cadre du règlement sur l'intelligence artificielle (AI Act). Des contrôles portant sur des systèmes d'IA générative ont été ouverts à partir du printemps 2023.
Cybersécurité et mesures techniques
La CNIL publie un guide de la sécurité des données personnelles, actualisé en 2024, qui traite de la Gestion des vulnérabilités, du Chiffrement des données en transit et au repos, du Hachage cryptographique pour le stockage des mots de passe, de l'Authentification multifacteur et de la Gestion des identités et des accès. Elle recommande l'adoption de référentiels reconnus tels que l'ISO/IEC 27001 et l'ISO/IEC 27017 pour la gouvernance de la sécurité de l'information.
La CNIL coopère avec l'ANSSI pour le traitement des incidents affectant simultanément la sécurité des systèmes d'information et la protection des données personnelles. Elle est par ailleurs concernée par les évolutions réglementaires en matière de résilience numérique telles que la Directive NIS2 et le DORA.
Certification et agrément
La CNIL peut délivrer des agréments à des organismes de certification accrédités par le Comité français d'accréditation (COFRAC). Ces organismes peuvent à leur tour délivrer des certifications à des délégués à la protection des données (DPO) ou des labels à des produits, procédures ou systèmes de gouvernance. Ce mécanisme vise à créer des garanties supplémentaires de conformité mesurables, complémentaires aux référentiels techniques comme l'ISO/IEC 27001.
Accès aux ressources officielles
Les délibérations, lignes directrices, référentiels et décisions de sanction de la CNIL sont publiés sur le site officiel cnil.fr. Les textes législatifs et réglementaires applicables — Loi Informatique et Libertés, Règlement général sur la protection des données tel qu'adapté en droit français — sont consultables sur Légifrance. Les décisions contentieuses impliquant la CNIL (recours exercés devant le Conseil d'État) sont accessibles via les bases de données jurisprudentielles de Légifrance et les services d'Accès au droit.