Quel est le rôle de la CNIL depuis l’application du RGPD ?
Le RGPD met l’accent sur la responsabilisation des entreprises : les structures sont de plus en plus autonomes et le rôle de la CNIL est appelé à évoluer.
Historiquement, la CNIL est présente pour veiller à ce que les droits des citoyens soient respectés à travers l’usage de l’informatique.
Mais avec l’application du RGPD, les structures voient croître leurs responsabilités et leur autonomie. Les missions des acteurs de la protection des données personnelles évoluent, et il n’est plus aussi évident de savoir qui est responsable de quoi. Alors qu’en est-il, désormais, du rôle de la CNIL ?
Les missions principales de la CNIL.
La Commission nationale de l’informatique et des libertés se doit de veiller à ce que l’informatique demeure au service du citoyen et ne menace pas ses droits.
En s’assurant que le numérique ne porte pas atteinte aux droits de l’Homme, à la vie privée et aux libertés individuelles et publiques, la CNIL défend fortement le principe de protection des données.
Il est possible de distinguer 4 volets d’action de la CNIL à l’heure actuelle.
Informer et protéger l’utilisateur, accompagner et conseiller les structures, contrôler et sanctionner les mauvaises pratiques informatiques, et anticiper l’évolution des usages du numérique.
Informer et protéger l’utilisateur.
Ce premier volet est tourné vers tous les utilisateurs de l’informatique, professionnels ou particuliers. La CNIL est l’organisme de référence qui peut légitimement répondre aux demandes de tout citoyen rencontrant des difficultés à faire respecter ses droits. A titre d’autorité de contrôle, elle est la référence nationale en matière de protection des données et de la vie privée.
Accompagner et conseiller les structures.
Davantage tournée vers les organismes qui entreprennent des démarches pour se mettre en conformité, la CNIL fait aussi office de certificateur et de conseiller.
Elle est apte à répondre à toutes les questions sur le traitement des données personnelles, et peut également certifier les processus d’anonymisation et de sécurisation de ces données.
C’est aussi à la CNIL que doivent se référer les DPO et CIL pour toute question et pour déclarer leurs fichiers de données.
Contrôler et sanctionner les mauvaises pratiques.
Organisme de contrôle par excellence, la CNIL est chargée de vérifier l’application concrète de la loi.
Via différents processus (en ligne, sur place ou sur audition), la CNIL peut apprécier la conformité des structures et appliquer des sanctions si celles-ci ne respectent pas les lois françaises.
Anticiper les évolutions du numérique.
Émanant de la Loi Informatique de 1978, qui visait déjà à questionner les utilisations futures d’internet pouvant menacer la vie privée, la CNIL se doit d’anticiper les évolutions du secteur du numérique.
Pour ce faire, elle se doit de surveiller les nouvelles pratiques émergentes qui peuvent impacter la liberté, les droits et la vie privée des citoyens. L’objectif de cette veille est de prévenir les usages pouvant mettre en danger les données personnelles des utilisateurs.
La CNIL à l’heure du RGPD 2018.
Le RGPD vient renforcer les grands principes de la Loi Informatique et Libertés mise en pratique par la CNIL en accroissant sensiblement les droits des citoyens.
Le RGPD vient renforcer les grands principes de la Loi Informatique et Libertés mise en pratique par la CNIL en accroissant sensiblement les droits des citoyens.
Ceux-ci ont désormais une plus grande maitrise de leurs données, et les structures ont dorénavant l’obligation d’informer, mais aussi de protéger eux même la vie privée de leurs utilisateurs.
De ce fait, certaines missions de la CNIL sont amenées à disparaitre. Les formalités préalables (déclarations, autorisations) vont peu à peu laisser place à une logique de conformité continue et européenne.
Par ailleurs, cette notion « d’harmonisation européenne » vient à l’encontre du caractère « national » de la CNIL.
En effet, dans le contexte d’une coopération et d’une régulation internationales, il devient complexe de définir et de justifier le rôle des autorités nationales.
Une des innovations du RGPD est de proposer un guichet unique, facilitant une mise en conformité des acteurs européens concernés par le traitement de données personnelles.
A terme, il est raisonnable d’envisager la mise en place d’une autorité de contrôle unique pour les pays membres de l’UE.
Pour l’heure, le RGPD renforce les pouvoirs de sanction de la CNIL, en contrepartie de la réduction de son contrôle en amont.
La CNIL reste cependant un organisme de référence auquel les entreprises peuvent demander conseil, et conserve ses missions de contrôle.