Autorité de contrôle de la protection des données en France, la Commission Nationale de l’Informatique et des Libertés (ou CNIL) est dotée d’un pouvoir de sanctions, sur le fondement des articles 20 à 23 de la loi relative à l’informatique, aux fichiers et aux libertés (dite loi informatique et libertés). Le décret du 8 avril 2022 (décret n°2022-517, modifiant le décret n°2019-536 du 29 mai 2019 pris pour l’application de la loi informatique et libertés), a créé une nouvelle forme de procédure de sanctions au sein de la CNIL.

Aussi, désormais, la CNIL peut sanctionner sous l’angle de la procédure dite ordinaire, ou de la procédure simplifiée.

Toutes les affaires ne peuvent pas être traitées en procédure simplifiée. Cette procédure de sanction ne peut être engagée, par le président de la CNIL, que lorsque l’affaire en question ne présente pas de difficulté particulière, eu égard :

• A l’existence d’une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la CNIL
• Ou parce que les questions de droit ou de fait à trancher sont simples.

Le président de la formation restreinte ou l’un de ses membres désigné à cet effet statue alors seul sur l’affaire.

Cette procédure expose les organismes en cause uniquement aux sanctions suivantes : rappels à l’ordre, des injonctions de mises en conformité, et des amendes jusqu’à 20 000 euros. Les astreintes ne peuvent dépasser un montant de 100 euros par jour de retard. Les sanctions ne sont par ailleurs pas rendues publiques.

Toutefois, il est important de préciser qu’il est possible pour le président de la formation restreinte (organe de sanction de la CNIL) de refuser de recourir à cette procédure simplifiée, ou bien de l’interrompre à tout moment. L’affaire en cause passe alors en procédure ordinaire. Les restrictions concernant les sanctions ne s’appliquent alors plus, notamment sur les montants des amendes et la publicité de la sanction.

En 2024, la CNIL a rendu 87 sanctions, dont plus de la moitié l’ont été en procédure simplifiée : 18 sanctions ont suivi la procédure ordinaire, contre 69 en procédure simplifiée. C’est presque trois fois plus qu’en 2023, où 18 sanctions avaient été rendues en procédure ordinaire, contre 24 en procédure simplifiée.

Les principaux manquements que la CNIL a sanctionnés en procédure simplifiée en 2024 sont le défaut de coopération, le non-respect de l’exercice des droits, le manquement à la minimisation des données ; et enfin le défaut de sécurité des données personnelles.

18 février 2025

Connaitre la civilité des clients est-elle une donnée obligatoire ?  

Dans un arrêt du 9 janvier 2025, la Cour de justice de l’Union européenne (CJUE) s’est prononcée sur la collecte obligatoire des données de civilité dans le cadre de l’achat de titre de transport en ligne.

Ces informations étaient notamment collectées par une entreprise de transport ferroviaire afin d’envoyer une communication commerciale personnalisée à ses clients. Les données collectées se limitaient à « Madame », « Monsieur ».

A cette occasion, la CJUE a considéré que cette collecte n’est pas objectivement indispensable que le traitement de données en question se fonde sur l’intérêt légitime de l’entreprise, ou sur l’exécution du contrat entre l’entreprise et les acheteurs de titres de transport. En effet, aux termes de la CJUE, la personnalisation de la communication fondée sur l’identité de genre présumée, en fonction de la civilité des personnes, n’est pas indispensable à l’exécution correcte du contrat, c’est-à-dire à la fourniture d’un titre de transport.

S’agissant de la collecte de ces données sur le fondement de l’intérêt légitime, la CJUE considère qu’elle n’est pas nécessaire à plusieurs égards. L’intérêt légitime pourrait être réalisé sans ces données, c’est-à-dire en ne communiquant qu’avec des formules de politesse générique. Les libertés et droits fondamentaux des clients prévalent sur l’intérêt légitime de l’entreprise, vu le risque de discrimination fondé sur l’identité de genre.

Cette analyse se fonde en effet sur les trois critères de l’intérêt comme légitime : le fait que les personnes concernées aient été informées de la collecte des données, le fait que la collecte, et plus généralement le traitement, soit strictement nécessaire au traitement, et la mise en balance entre l’intérêt de l’organisme en cause, et les droits et libertés des personnes concernées.

En l’espèce, la collecte des données de civilité était rendue obligatoire par l’entreprise de transport ferroviaire. Aussi, une bonne pratique dans le cadre de la prospection commerciale est de ne collecter les données de civilité que de façon facultative.

• CJUE, 9 janvier 2025, C-394/23, Mousse c. CNIL

30/01/2025

La règlementation permet aux autorités de contrôle de mettre en œuvre des mécanismes de certification pour démontrer que les opérations de traitements effectuées sont conformes au RGPD. Dans ce contexte, la CNIL a ouvert une consultation publique jusqu’au 28 février 2025 concernant un projet de référentiel de certification des sous-traitants. Le responsable de traitement doit sélectionner un sous-traitant de confiance présentant les garanties suffisantes lui permettant de répondre aux exigences du RGPD.  

Cette certification a pour objectif de mieux orienter les responsables de traitement dans le choix de leurs sous-traitants .Elle permet d’assurer un niveau de garanties, certifiés par des organismes tiers, conformément à un référentiel reconnu par la CNIL, en tant qu’autorité de contrôle en France.  

Comme tout mécanisme de certification, ce processus est volontaire. Il sera ouvert à tout organisme, établi sur le territoire de l’Union européenne, ou d’un Etat membre de l’Espace Economique Européen, agissant en tant que sous-traitant pour un responsable de traitement, et ne se limite pas à un secteur en particulier. Aussi, les sous-traitants auront la possibilité de ne certifier qu’une partie de leurs activités et de leurs services.  

Ce projet de certification comprend 90 points de contrôles, organisés autour de quatre parties : la contractualisation, la préparation de l’environnement de traitement, et notamment les mesures de sécurité, la mise en œuvre du traitement, et la fin du traitement. L’un des critères de certification sera notamment que le sous-traitant doit avoir désigner un délégué à la protection des données auprès d’une autorité de protection des données (qui peut être la CNIL, ou non), ainsi qu’un référent certification qui pourra être le DPO s’agissant d’actions qui n’entrainent pas de conflit d’intérêts avec ses missions.  

Une cinquième partie sera dédiée à un plan d’actions à mettre en œuvre par le sous-traitant sur la période de certification de trois ans, renouvelable. A ce titre, il devra notamment établir un plan d’évaluation de ses propres sous-traitants (sous-traitants ultérieurs) lorsqu’il y a recours. Le sous-traitant doit également mettre en place une veille juridique et technologique.  

Le référentiel détaille la liste des mesures de sécurité comprenant notamment des mesures élémentaires de sécurité, tel que le chiffrement des données, les gestions des habilitations, la mise en place de contrôles des accès physiques, etc .  

• Article 28 du RGPD – Sous-traitant 

• Article 42 du RGPD – Certification 

24 décembre 2024 

La règlementation pose un principe fondamental selon lequel les données à caractère personnel ne peuvent être traitées que pour une durée limitée. En ce sens, le RGPD indique que les données ne doivent être conservées « sous une forme permettant l’identification des personnes concernées » que le temps d’accomplir la finalité du traitement en question.

La durée de conservation comprend deux notions :

• La conservation des données en base active, le temps d’accomplir l’objectif du traitement
• La conservation des données en archive intermédiaire, pour des raisons contentieuses notamment.

Ainsi, la durée de conservation s’entend des deux durées additionnées. Pour rappel, toutes les durées de conservation ne comprennent pas nécessairement d’archivage intermédiaire. En effet, cette notion n’intervient que lorsque le responsable de traitement a des obligations légales à remplir, qui impliquent de conserver les données. De surcroit, en cas d’archivage intermédiaire, il faut effectuer un tri. Seules les données nécessaires au respect de l’obligation légale doivent être conservées. Il ne faut donc pas faire basculer toutes les données de la base en archive.

Il convient donc de déterminer la durée de conservation des données préalablement à la mise en œuvre de tout traitement. Pour ce faire, le responsable de traitement dispose de ressources diverses dont notamment :

• la règlementation : Par exemple, le code de la santé publique exige que les dossiers médicaux soient conservés pendant 20 ans à compter de la dernière visite du patient (il existe des conditions particulières concernant les mineurs).
• les référentiels et doctrines de la CNIL, comme par exemple les méthodologies de référence qui proposent certaines durées de conservation

A défaut de textes ou de référentiel, il reviendra au responsable de traitement de déterminer cette durée eu égard à la finalité du traitement.

Pour ce faire, il s’interrogera sur la durée nécessaire dans le cadre de l’utilisation courante des données, ainsi que les durées de prescription éventuelles qui pourraient justifier une conservation plus longue.

Il est également possible d’anonymiser les données afin de les conserver plus longtemps. En effet, les dispositions du RGPD ne s’appliquent qu’aux données à caractère personnel, c’est-à-dire celles permettant l’identification des personnes concernées. Dès lors que les données ne permettent aucunement d’identifier les personnes concernées, et sont donc anonymes, elles sortent du champ du RGPD. Il est donc permis de les conserver sans limite de temps.

Attention toutefois à la notion d’anonymisation : l’identification des personnes concernées doit être « complètement » impossible, même en combinant les données avec d’autres.

Dans tous les cas, dans une démarche d’accountability, il est plus que recommandé de documenter le raisonnement ayant abouti au choix d’une durée de conservation :  par le biais de procédures internes, de document tel que le registre ou un document référençant les différentes durées de conservation de l’organisme.

A noter : ce n’est pas tout de définir les durées de conservation, il est important de les respecter !

En cas de contrôle, la CNIL vérifie que des durées sont définies, et cohérentes, mais aussi et surtout respectées. Ainsi, a été sanctionnée, dans le cadre de la procédure simplifiée en octobre 2024, une société commercialisant des portefeuilles de cryptomonnaie pour manquement à l’obligation de durée de conservation limitée.

• Article 5 du RGPD – Principes relatifs au traitement des données à caractère personnel
• Article 25 du RGPD – Protection des données dès la conception et protection des données par défaut
• Article 4 – Loi relative aux fichiers, à l’informatique et aux libertés n°78-17 du 6 janvier 1978

Date de mise à jour : 03.12.2024

La nouvelle organisation de la CNIL est parue au Journal Officiel du 20 novembre 2024 par une décision du 7 novembre 2024.

Organisée auparavant autour de cinq directions, ainsi qu’un service des affaires européennes et internationales, elle s’articule désormais autour de sept directions et un secrétariat général.

Le secrétariat général s’est notamment vu attribuer le service des affaires européennes et internationales, en plus de ses autres missions concernant notamment l’organisation du fonctionnement du collège de la formation restreinte, ou encore l’exécution des délibérations et décisions de la commission.

Concernant les sept directions, restent inchangées les directions suivantes :

• Une direction des relations avec les publics
• Une direction de l’accompagnement juridique
• Une direction des technologies, de l’innovation et de l’intelligence artificielle : cette direction existait déjà, mais ne comprenait pas l’aspect intelligence artificielle. A ce titre, cette direction est notamment chargée d’appréhender le fonctionnement des systèmes d’intelligence artificielle et leurs impacts pour les personnes. Elle réalise donc une veille sur les usages du numérique et les innovations technologiques.
• Une direction administrative et financière

La nouveauté principale réside dans la scission de la direction de la protection des droits et des sanctions en deux directions.  : Ddésormais, deux directions distinctes coexistent, l’une chargée des contrôles et des sanctions, et l’autre en charge de l’exercice des droits et des plaintes. Ces directions sont naturellement appelées à travailler de concert.

Leurs rôles sont toutefois distincts :

• La direction de l’exercice des droits et des plaintes se charge de traiter les réclamations, et plaintes introduites auprès de la CNIL, ainsi que des signalements concernant la protection des données émis par des lanceurs d’alerte. Elle a également la charge de l’exercice indirects des droits lorsqu’il s’applique.

Elle participe également à la mission de la direction des contrôles et des sanctions, en proposant des dossiers à orienter vers une procédure de sanction simplifiée notamment.

• La direction des contrôles et des sanctions, quant à elle, se charge d’élaborer et de mettre en œuvre la politique des contrôles et des sanctions de la commission. Ce programme est réalisé en collaboration avec la direction de l’exercice des droits et des plaintes. La direction des contrôles et des sanctions publie à ce titre son programme de contrôle annuel, validé par le président.

De plus, elle examine les signalements de violations de données, et instruit les mesures correctrices ainsi que les procédures de sanctions. Elle gère également le contentieux de la commission. Elle contribue enfin à la mise en œuvre de la stratégie répressive de la commission, et participe à la doctrine de la commission.

Par ailleurs, une nouvelle direction a vu le jour, et concerne la direction des systèmes d’information.

Cette nouvelle organisation sera progressivement mise en place jusqu’à juillet 2025.          

Version 20 novembre 2024