Cnil : Vos données sont-elles vraiment protégées ?


En France, la Commission nationale de l’informatique et des libertés (CNIL) agit comme l’autorité majeure pour la surveillance des données personnelles, disposant d’une expertise qui lui vaut une reconnaissance sur le continent européen. Cependant, avec des ressources limitées et une inclination notable pour l’approche pédagogique, est-elle réellement capable d’assurer le respect des lois en vigueur ?

Les données personnelles : le véritable « or noir » du XXIe siècle

Qu’ont en commun un médecin qui renseigne vos antécédents médicaux, un algorithme qui suit chaque action sur Facebook ou Amazon, et une entreprise de vidéosurveillance utilisant des caméras intelligentes pour capturer votre visage dans Paris ? Ces trois acteurs exploitent le « pétrole du XXIe siècle » : vos données personnelles. Tant que vous naviguez sur le web ou interagissez avec les services urbains, vous laissez derrière vous une trace précieuse, jalousement encadrée par la Commission nationale de l’informatique et des libertés (Cnil).

Au-delà des gros titres, souvent déclenchés par des amendes spectaculaires comme celle de 150 millions d’euros infligée à Google en 2022, la Cnil se voit confier un nombre sans fin de missions. Mais son efficacité est régulièrement remise en question : délai de traitement des plaintes rallongé, stratégie des petits pas, soutien à l’innovation trop timide… Les critiques fusent de toute part. Alors, quelle est vraiment la force de la Cnil comme gardienne de nos données personnelles en France ?

Rien (ou presque) ne peut lui échapper

Pour comprendre l’efficacité actuelle de la Cnil, un détour historique est nécessaire. Depuis près d’un demi-siècle, l’institution a évolué de manière substantielle. Initialement, la Cnil avait pour but de protéger les citoyens non pas des entreprises mais de l’État. Yoann Nabat, enseignant-chercheur en droit à l’université de Bordeaux, explique : « La Cnil est née en 1978 suite à l’affaire Safari. » L’époque voyait l’Insee et les ministères envisager un fichier unique pour réunir toutes les informations administratives d’une personne sous un même numéro, un projet qui suscita un tollé et fut suspendu, aboutissant à la création de la loi « Informatique et libertés ».

« L’Insee et les ministères voulaient que toutes les informations détenues sur une même personne par tous les services administratifs (Sécurité sociale, fisc…) soient consultables grâce à un numéro unique propre à chaque personne. »

Yoann Nabat, enseignant-chercheur à l’université de Bordeaux

Au fil des décennies, avec l’essor de l’informatique et d’Internet, les missions de la Cnil se sont élargies à la protection contre les abus des entreprises tech. En conséquence, l’organisme dispose d’une large panoplie de pouvoirs pour réguler l’utilisation des données : audits, accès aux bases de données, et interrogatoire des personnes concernées. Si des infractions sont constatées, des sanctions sévères peuvent tomber. Avec le Règlement général sur la protection des données (RGPD), la Cnil peut infliger une pénalité allant jusqu’à 4% du chiffre d’affaires annuel mondial d’une entreprise fautive, une sentence potentiellement colossale pour les Gafam.

Une institution qui pèse en Europe

La Cnil ne se contente pas de réprimer. Une grande partie de son travail consiste à éduquer le public sur la protection des données et à concevoir des documents législatifs : conditions de collecte des données, réalisation d’analyses d’impact, etc. Ce qu’on appelle le « droit souple » est un domaine où la Cnil excelle, selon les experts. En plus du conseil collectif, elle propose un accompagnement personnalisé aux entreprises.

Ce travail de fond permet à la Cnil de peser lourdement sur la scène européenne. Grâce au RGPD, les autorités de protection des données des différents pays de l’UE doivent collaborer pour des décisions cohérentes. La longue expérience de la Cnil est un atout majeur. « La Cnil a un poids politique très fort dans l’UE, et une expertise de fond reconnue de tous », souligne Flora Brac de la Perrière-Plénacoste, avocate et ex-juriste à la Cnil.

Une politique pas assez répressive ?

Mais cette institution mène-t-elle vraiment ses missions de front avec efficacité ? Les critiques estiment que la Cnil peine à réprimer sévèrement. Depuis 2004, elle ne peut plus s’opposer à la création de fichiers de police et ses avis restent non contraignants, souvent émis dans des délais restreints. En ce qui concerne les plaintes civiles, le nombre de sanctions reste faible par rapport à la quantité de dossiers traités, selon le rapport annuel 2023 de la Cnil.

« La Cnil n’a pas totalement délaissé le sujet des fichiers de police, elle rend souvent des avis critiques. Mais ça n’apparaît plus vraiment comme une priorité, et elle n’est plus trop un contre-pouvoir. »

Yoann Nabat, enseignant chercheur à l’université de Bordeaux

Alors que la Cnil se défend en soulignant la hausse des sanctions depuis le RGPD, son homologue espagnole, l’AEPD, se révèle beaucoup plus stricte et prolifique en termes d’amendes. Avec un mode de fonctionnement plus léger et des amendes fréquentes, l’Espagne semble avoir trouvé un modèle plus efficace pour dissuader les contrevenants.

Des procédures longues

Un autre problème récurrent est la longueur des procédures. Si certaines affaires sont bouclées en dix jours, d’autres prennent des années. La Cnil explique ce retard par l’afflux massif des plaintes (+91% en dix ans) et le temps nécessaire pour assurer un traitement juridique efficace. Les procédures doivent respecter un contradictoire rigoureux pour les sanctions rendues publiques.

Des sources internes évoquent des problèmes structurels : validation excessive, difficultés de management dans une administration publique… Depuis 2022, la Cnil est dotée d’une procédure de sanction simplifiée, mais les critiques pointent le montant maximum des amendes plafonné à 20 000 euros et l’anonymisation des décisions, rendant difficile l’identification des fautifs.

Un débat principalement politique

Un consensus émerge autour de l’idée que la Cnil manque de ressources, malgré une augmentation de budget significative depuis 2018. Pour Guillaume Champeau, ce manque de moyens n’excuse pas tout, en prenant pour exemple l’équivalent espagnol beaucoup plus productif avec un budget inférieur.

« C’est difficile d’affirmer que 288 personnes suffisent pour répondre aux attentes de la société entière. »

Flora Brac de la Perrière-Plénacoste, avocate et ex-juriste à la Cnil

De l’autre côté, certains estiment que la Cnil n’encourage pas assez l’innovation. Selon les experts, le RGPD n’est guère favorable à l’épanouissement économique. Yann Padova, avocat et conseiller pour des entreprises, estime que la Cnil ne tient pas suffisamment compte de l’impact économique de ses décisions.

Au cœur de ces débats réside une question philosophique : faut-il punir ou éduquer ? La Cnil prône une approche de conseil et d’accompagnement, privilégiant des avancées progressives. Cette stratégie est également adoptée dans son rapport avec l’État. Pour certains, elle manque ainsi de poigne. Le ministère de l’Économie perçoit parfois la Cnil comme un frein à l’innovation, surtout quand la France se veut « start-up nation ».

Un changement politique pourrait-il insuffler une nouvelle dynamique à la Cnil ? La pression pourrait venir des citoyens, mais l’intérêt pour la protection de la vie privée s’estompe. Cela laisse à la Cnil le rôle primordial de faire respecter des règles que l’on pourrait vite oublier.