Commission nationale de l'informatique et des libertés - Définition
La liste des auteurs de cet article est disponible ici.
Son statut et sa composition
Un collège de 17 membres
La commission se compose d’un collège pluraliste de 17 personnalités nommées pour 5 ans :
- 4 parlementaires (2 députés, 2 sénateurs)
- 2 membres du Conseil économique, social et environnemental ;
- 6 représentants des hautes juridictions (2 conseillers d’État, 2 conseillers à la Cour de cassation, 2 conseillers à la Cour des comptes)
- 5 personnalités qualifiées désignées par le Conseil des ministres (3), le Président de l’Assemblée nationale (1) et le Président du Sénat (1).
Une autorité administrative indépendante
12 des 17 membres sont élus ou désignés par les assemblées ou les juridictions auxquelles ils appartiennent.
La CNIL élit son Président parmi ses membres ; elle ne reçoit d’instruction d’aucune autorité. Les ministres, autorités publiques,dirigeants d’entreprises, publiques ou privées, ne peuvent s’opposer à son action.
Les décisions de la CNIL peuvent faire l’objet de recours devant la juridiction administrative.
Budget et moyens
Le budget de la CNIL relève du budget de l’État. Le Président de la CNIL recrute librement ses collaborateurs, qui ont le statut d'agent contractuel. Dans le cadre de l'application de la loi organique relative aux lois de finances (LOLF), il fait partie du programme 308 : "Protection des droits et libertés".
En 2010 :
- le budget de la CNIL était de 14,7 millions d'Euros.
- la CNIL comptait 140 collaborateurs. Les dépenses de personnel représentaient 9,3 millions d'Euros (soit en moyenne 5356 euros par personne employée et par mois).
Les Présidents de la CNIL
| Présidents de la CNIL | Début du mandat | Fin du mandat |
|---|---|---|
| Pierre Bellet | 5 décembre 1978 | 27 novembre 1979 |
| Jacques Thyraud | 1979 | 1983 |
| Jean Rosenwald | 1983 | Juin 1984 |
| Jacques Fauvet | 14 juin 1984 | 1999 |
| Michel Gentot | 3 février 1999 | 7 janvier 2004 |
| Alex Türk | 3 février 2004 |
Le Président actuel, Alex Türk, est sénateur du Nord (non-inscrit) et membre de la Commission des Lois depuis 1992. Il est Président de la Commission Nationale de l'Informatique et des Libertés depuis le 3 février 2004. Il a été Président du groupe des « CNIL » européennes (dit G29) du 19 février 2008 au 15 février 2010.
La protection des données personnelles sur le plan international
L'Allemagne en 1971, la Suède en 1973, les États-Unis en 1974 et la France en 1978 ont été les quatre premiers pays dotés d'une loi informatique et libertés. Ces lois instituent la création d'autorités de contrôle indépendantes.
Certaines structures économiques et politiques internationales s'en sont inspirées, parmi lesquelles l'Organisation de coopération et de développement économiques (OCDE) en 1980, le Conseil de l'Europe en 1981 (Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel) et les Nations unies (ONU) en 1990. En 1995, la Communauté européenne a émis une directive en ce sens, que les pays de l'Union européenne doivent transposer.
Depuis le 28 janvier 2007, une Journée européenne de la protection des données à caractère personnel est organisée par le Conseil de l'Europe et relayée en France par la Cnil.
Au niveau européen
L’Union européenne a adopté le 24 octobre 1995 une directive destinée à harmoniser au sein des États membres la protection assurée à toute personne quel que soit le lieu où sont opérés les traitements de ses données à caractère personnel.
À ce jour, les 27 États membres ainsi que les pays de l’Espace Économique Européen (Islande, Liechtenstein, Norvège), disposent d’une loi « informatique et libertés » et d’une autorité de contrôle indépendante.
Ces autorités indépendantes se réunissent régulièrement à Bruxelles pour conseiller la Commission européenne sur ses initiatives législatives et pour harmoniser leurs pratiques ou recommandations destinées aux concepteurs et aux utilisateurs des technologies de l’information. Ces “CNIL” européennes réunies au sein du “groupe de l’article 29”, par référence à l’article de la directive qui l’institue, se prononcent par des avis qui sont rendus publics.
Le G29
L’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci a institué un groupe de travail des 27 « CNIL européennes ». Il a pour mission de contribuer à l’élaboration des normes européennes en adoptant des recommandations, de rendre des avis sur le niveau de protection dans les pays tiers et de conseiller la Commission européenne sur tout projet ayant une incidence sur les droits et libertés des personnes physiques à l’égard des traitements de données personnelles. Le G29 se réunit à Bruxelles en séance plénière tous les deux mois environ. Environ 15 sous-groupes composés des collaborateurs des « CNIL européennes » se réunissent régulièrement à Bruxelles pour alimenter les réflexions des membres du G29 en séance plénière et rédiger les avis qui leur seront ensuite soumis pour adoption. Depuis le 15 février 2010, le nouveau président du G29 est le hollandais Jacob Kohnstamm.
Administrations équivalentes dans d'autres pays
D’autre pays européens non membres de l’Union ont adopté des lois et des garanties similaires à celles reconnues par les États membres tels que la Croatie, la Macédoine, les îles anglo-normandes,Monaco, Gibraltar et la Suisse.
Au-delà de l’Europe, des pays tels que le Canada, l’Argentine,l’Australie, la Nouvelle Zélande, la Corée du Sud, le Maroc, le Burkina Faso et le Sénégal se sont également dotés d’une loi et d’une autorité indépendante de contrôle. D’autres États ont fait le choix d’adopter une législation de garanties, quelquefois limitée au seul secteur public ou à certaines activités du secteur privé, sans toujours instituer une autorité indépendante de contrôle dotée de larges pouvoirs ; il revient alors aux juridictions judiciaires de sanctionner la méconnaissance des droits reconnus. Tel est le cas pour les États-Unis, le Japon, le Paraguay, Taiwan, et la Thaïlande.
L’Union européenne a posé, dans la directive du 24 octobre 1995, le principe selon lequel les données personnelles ne pouvaient être transmises hors de l’Union européenne que si l’entreprise destinataire des données ou le pays de destination offrait un niveau de protection “adéquat”. Ce principe n’interdit pas les échanges internationaux de données, il les subordonne à des garanties minimales. Ces garanties peuvent résulter de l’adoption de législations particulières, de clauses d’un contrat liant l’exportateur de données à l’importateur ou des règles internes mises en œuvre dans les entreprises. Parmi ces garanties figurent le droit d’accès et de rectification, la confidentialité des données, l’interdiction d’utiliser les données à des fins de publicité ou de prospection commerciale si les personnes concernées n’en n’ont pas été préalablement informées et mises en mesure de s’y opposer.
La CNIL participe à la conférence mondiale et à la conférence francophone des autorités de protection des données. Elle assure le secrétariat général de l’association des autorités francophones.
