La Commission nationale de l'informatique et des libertés — ou Cnil — est l'autorité française de protection des données personnelles.

Ces dernières semaines, elle a fait parler d'elle en mettant en demeure l'application Gossip en raison d'atteintes graves à la vie privée et en avertissant Cdiscount pour la conservation de 4000 données bancaires de manière non sécurisée.

Avec les autres autorités européennes (G29), elle a également exhorté WhatsApp à ne plus partager avec Facebook les numéros de téléphone de ses utilisateurs.

On a voulu savoir comment, dans les faits, se déroule un contrôle. Que recherche la Cnil ? Réponses avec Mathias Moulin, adjoint à la Direction de la protection des droits et des sanctions (DPDS), et Richard Montbeyre, chef du service des contrôles à la Cnil.

1. La Cnil réalise 400 à 500 contrôles par an.

L'une des quatre missions principales de la Cnil est d'assurer 450 à 500 contrôles par an sur la mise en œuvre concrète de la loi du 6 janvier 1978 relative à "l'informatique, aux fichiers et aux libertés".

"Avant même d’avoir un nom et un prénom, d’être né, et après sa mort, un individu est dans un fichier. A chaque étape de sa vie, il fait l’objet d’un traitement de données", explique à Business Insider France Mathias Moulin.

Le service des contrôles joue un rôle important dans la détermination du suivi et dans la décision finale qui revient à la présidente.

2. Elle se repose sur quatre sources pour déclencher les contrôles.

Capture d'écran/Gossip

Capture d'écran/Gossip.

Il y a 4 sources de contrôles : les plaintes (dossier CDiscount), la veille dans les médias (dossier Gossip), les thématiques déterminées dans le programme annuel et le suivi de dossiers.

"Quand ça dépasse la dizaine de plaintes, ça commence à devenir significatif car nous ne sommes que la partie immergée de l’iceberg, estime Mathias Moulin. 80 plaintes, ça peut dire 800 à 1 000 personnes mécontentes".

La Cnil remarque que le nombre de plaintes est en augmentation, de 6 000 à 8 000 en moyenne par an, en raison de l'extension et de la facilité de leur dépôt.

C'est la présidente de la Cnil qui décide le déclenchement d'un contrôle effectué par l'un des 23 agents du service.

3. Quand un contrôle est décidé, l'entreprise n'est pas avertie.

Cookieviz.Dailymotion

L'outil Cookieviz de la Cnil. Dailymotion

Sociétés et organismes publics sont contrôlés, de la TPE à Facebook. Les entreprises privées représentent la majorité (environ 70 %) des établissements contrôlés. 

Une fois décidé, le contrôle est inopiné. Le Procureur de la République est prévenu. Il peut avoir lieu entre 6 h et 21 h comme l'autorise la loi.

"Dans les faits, on arrive souvent aux heures de bureaux. Il faut établir une relation de confiance dès notre entrée dans les locaux. Il y a une forte contrainte pour l'organisme concerné, ce n’est pas une simple visite", explique Richard Montbeyre.

Quand un contrôle est décidé, un informaticien est accompagné par un juriste. Mais dans certains cas, 5 à 6 agents peuvent être dépêchés sur place.

La Cnil a accès à tous les locaux. Les contrôles peuvent aussi être combinés, à distance et sur internet.

Une fois l’introduction faite, plusieurs documents sont remis : la décision de la présidente, l’ordre de mission, un récépissé avec l’information sur le droit d’opposition. 

"Assez vite, on passe dans une phase d’entretien qui peut durer 1 à 2 heures. On vient avec une idée la plus précise possible de ce qu’on cherche. On cherche à affiner et identifier les bons interlocuteurs", précise Richard Montbeyre.

Dans les grandes entreprises, il peut s'agir du DRH ou du DSI. Il est arrivé lors de contrôles que certaines entreprises rapatrient en urgence depuis l'étranger des juristes ou des ingénieurs.

4. Le contrôleur a accès à la base de données. Une empreinte numérique est calculée.

Muni de son ordinateur et d'une imprimante, l'enquêteur accède alors aux bases de données de l'entreprise. Mais pas question pour lui de fouiller dans tous les fichiers. 

"Nous sommes soumis au secret professionnel. Il n'y a aucune communication à des tiers. Notre unique objectif est de recueillir des preuves pour l’instruction et qui serviront à prononcer une mise en demeure voire une sanction."

Les pièces sont sous format électronique : une empreinte numérique est calculée à l’aide d’algorithmes et mentionnée dans le procès verbal remis à l’organisme. Avec cette technique, la Cnil s’assure qu'aucune modification ultérieure aura lieu sur la pièce et elle se protège contre toute contestation ou vice de procédure. 

"Quant une entreprise se montre réticente, si les données sont couvertes par le secret de la propriété intellectuelle, elle peut l’indiquer dans le procès-verbal".

Et si une entreprise cherche à supprimer des fichiers, la Cnil dispose des moyens techniques pour les retrouver.

5. Un contrôleur : "nous ne sommes pas dans une logique policière".

Isabelle Falque-Pierrotin, présidente de la Cnil. YouTube

Isabelle Falque-Pierrotin, présidente de la Cnil. YouTube

Le contrôle dure généralement une journée. Un PV fige tout ce qui a été dit et vu.

"Nous ne sommes pas dans une logique policière. Pour un organisme dont le cœur de métier n’est pas l’informatique ou la donnée (petit commerçant dans une ville éloignée ou autre cas), la Cnil n’est pas nécessairement connue et donc il faut d’autant plus rassurer par la précision de nos méthodes", confie Richard Montbeyre.

De retour à la Cnil, le début de l’instruction  peut démarrer : analyse des pièces, des données et de documents complémentaires. Cette instruction prend plusieurs mois. Pour Cdiscount elle a duré plus d'un an. 

A l'issue de l'instruction, la présidente de la Cnil Isabelle-Falque Pierrotin peut décider d'une mise en demeure de se conformer avec la loi, dans un délai de 1 à 3 mois. Cette décision n'est pas forcément publique.  

En cas de sanction, il peut s'agir d'un avertissement public, d'une amende qui peut aller jusqu'à 150.000 euros, d'une injonction de cesser le traitement ou d'un retrait de l’autorisation accordée par la CNIL. En 2015, Google avait écopé de cette amende maximale.

Après désignation d'un rapporteur, les sanctions sont prononcées par la formation restreinte composée de 5 membres.

En cas d’atteinte grave et immédiate aux droits et libertés, la présidente de la Cnil peut demander, par référé, à la juridiction compétente, d’ordonner toute mesure de sécurité nécessaire.

Elle peut également dénoncer au Procureur de la République les infractions à la législation dont il a connaissance. C'est ce qui s'est passé dans l'affaire Gossip.

6.  En mai 2018, la Cnil pourra effectuer des contrôles communs avec ses voisins européens.

A Captain America shield is held by an employee dressed as an Elf during a photocall at the launch of Hamley's predicted top ten toys that will be on children's lists this Christmas, in London, Britain October 6, 2016.

REUTERS/Peter Nicholls

Cet été, les Etats membres de l'Union européenne ont approuvé l’accord dit « Privacy Shield » (« bouclier de protection de la vie privée ») qui encadre depuis le 1er août le transfert des données personnelles des citoyens européens vers des data centers situés aux Etats-Unis.

De plus, un nouveau règlement européen sur la protection des données personnelles entrera en application en 2018. Il permettra au autorités européennes (G29) de procéder à des contrôles communs, d'adopter des décisions communes lorsque les traitements de données seront transnationaux et les sanctions seront renforcées.

Vous avez apprécié cet article ? Likez Business Insider France sur Facebook !

Lire aussi : Un débat à l'Assemblée nationale expose une pratique douteuse sur la rémunération de certains collaborateurs