Alain Juppé pendant la présidentielle de 1988 ; trois ans plus tôt en 1985, la CNIL réglementait l’usage des fichiers « à des fins électorales ». PASCAL GEORGE / AFP

C’est l’histoire d’une autorité administrative chargée de veiller au respect de la loi qui a failli ne pas naître : il aura fallu qu’un article du Monde alerte sur la création du fichier Safari – qui visait en 1974 à en interconnecter plusieurs, « Safari ou la chasse aux Français » –, pour lancer la réflexion sur la nécessité de réguler les fichiers informatiques.

Quatre ans plus tard naissait la Commission nationale de l’informatique et des libertés (CNIL), chargée de faire appliquer la loi en particulier celle du 6 janvier 1978 « relative à l’informatique, aux fichiers et aux libertés ». Cette loi défend un droit d’accès aux données qui ne peuvent être récoltées que de manière licite et dans le respect du droit, de la vie privée et des libertés.

En quarante ans, la loi a été amendée pour faire face à la masse grandissante de données générées, collectées et réutilisées ; deux ressortent pour la période actuelle :

2004 : la loi du 6 août 2004 valide la liberté de circulation des données au sein de l’Union européenne et limite le contrôle « a priori » des fichiers par la CNIL au profit du contrôle « a posteriori ». A partir de cette date, la CNIL dispose d’un pouvoir de sanction (du simple avertissement à des sanctions financières jusqu’à 300 000 euros).

la loi du 6 août 2004 valide la liberté de circulation des données au sein de l’Union européenne et limite le contrôle « a priori » des fichiers par la CNIL au profit du contrôle « a posteriori ». A partir de cette date, la CNIL dispose d’un pouvoir de sanction (du simple avertissement à des sanctions financières jusqu’à 300 000 euros). 2014 : la loi du 17 mars 2014 donne le droit à la CNIL d’effectuer des constatations en ligne, à distance donc, dans un procès-verbal adressé ensuite aux organismes concernés.

Une activité en pleine accélération

Depuis sa création, et ses cinq délibérations en 1979, la CNIL a vu son champ de compétence et ses missions s’élargir. C’est la principale raison de la hausse du nombre des délibérations de la Commission et de son activité en général ; aujourd’hui, ses délibérations couvrent aussi bien les sanctions qu’elle peut appliquer en tant qu’autorité administrative que les autorisations, les recommandations, les dispenses, etc. On peut qualifier cette hausse de « mécanique ».

C’est à ce titre que, parmi les dernières délibérations, la Commission a infligé une sanction pécuniaire de 150 000 euros à Facebook le 17 mai 2017 (délibération n° SAN – 2017-006 du 27 avril 2017) pour avoir procédé « à la combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire ».

Une hausse des délibérations à partir de 2005 Ce graphique représente le nombre de délibérations (décisions, sanctions, recommandations, autorisations, etc.) rendues par la CNIL depuis 1979. Survolez Sélectionnez les ronds sur le graphique pour afficher le contexte d’un chiffre. Source : CNIL

Des contrôles multipliés par dix entre 2002 et 2016

En matières de problème de sécurité des données, l’absence (ou l’expiration) d’une autorisation, un défaut d’information du public, la CNIL a effectué des centaines de contrôles « a posteriori » depuis 2004 et ses nouveaux pouvoirs en la matière.

Une hausse exponentielle des contrôles à partir de 2005 Ce graphique représente le nombre de contrôles réalisés par la CNIL entre 1990 et 2016, avec l’accélération de 2005 et le pic historique en 2015. Survolez Sélectionnez les ronds sur le graphique pour afficher le détail. Source : CNIL

La forte hausse des contrôles n’a pour autant pas produit davantage de sanctions, puisqu’elles sont passées de 18 en 2014, 10 en 2015 à 13 en 2016. Sur ces 13 sanctions prononcées en 2016, 4 étaient pécuniaires.

Forte hausse des plaintes

Là encore, la tendance est à la hausse : rien qu’entre 2014 et 2015 (7 908 plaintes), la hausse est de 36 %. Depuis 2014, la CNIL compte à part les plaintes pour déréférencement, même tendance : 150 plaintes en 2014, 450 en 2015 et 410 en 2016.

Dans « l’immense majorité des cas », explique la Commission, une simple intervention suffit à ce que l’organisme ou l’entreprise concernée se mette en conformité. Des sanctions n’ont été prononcées (parmi les délibérations, voir plus haut) que pour 82 plaintes en 2016, dont 70 simplement pour des manquements en matière de sécurité. Une mise en demeure publique avait été doublée d’une dénonciation au parquet à l’encontre de l’application Gossip, pour « atteinte grave à la vie privée », avant que l’application soit retirée et rendue inutilisable.

Croissance continue des plaintes depuis 1980 Ce graphique représente le nombre de plaintes enregistrées de 1980 à 2016 par la CNIL, y compris celles pour déréférencement à partir de 2014. Survolez Sélectionnez les ronds sur le graphique pour afficher le détail. Source : CNIL

2018 est l’année d’une nouvelle « loi informatique et libertés », avec l’obligation de transposer la directive européenne dite « police justice » au plus tard le 25 mai. Cette directive, dénoncée par l’association La Quadrature du Net, permet de fusionner, croiser, traiter des données personnelles et de les rendre disponibles pour les services de police européens sur simple demande.