La CNIL c'est quoi ?
Créée par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL est une autorité administrative indépendante chargée de veiller à la protection des données personnelles.
◆
Pourquoi la CNIL est-elle essentielle pour la sécurité des données ?
La sécurité des données est aujourd'hui un enjeu stratégique, aussi bien pour les entreprises que pour les individus.
Les cyberattaques, les violations de données ou les usages frauduleux sont autant de risques auxquels la CNIL répond
en imposant des règles strictes.
1. Prévenir les violations de données
Les entreprises sont tenues de mettre en place des mesures techniques et organisationnelles pour protéger les informations
collectées. La CNIL propose des outils et guides pratiques, comme son célèbre
guide de la sécurité des données personnelles, pour aider les organisations à :
- Identifier les données sensibles.
- Limiter les accès non autorisés.
- Prévenir les cyberattaques via des audits réguliers.
2. Garantir les droits des utilisateurs
La CNIL défend des droits fondamentaux pour les citoyens :
- Le droit d’accès : connaître les informations détenues sur soi.
- Le droit de rectification : corriger les données inexactes.
- Le droit à l’oubli : demander la suppression de certaines données.
Ces droits permettent de redonner du pouvoir aux utilisateurs face aux abus de certaines entreprises.
3. Sanctionner les pratiques abusives
En cas de manquement grave, la CNIL peut infliger des sanctions financières, allant jusqu’à 4 % du chiffre d’affaires annuel
mondial de l’entreprise. En 2023, plusieurs géants du numérique ont écopé d’amendes pour non-respect du RGPD.
◆
Qu'est-ce qu'une autorisation unique ?
Avant l'entrée en vigueur du RGPD, la CNIL encadrait certains traitements de données personnelles sensibles ou présentant des risques élevés par le biais d'autorisations uniques. Ces décisions-cadres, appelées autorisations uniques, établissaient des règles précises pour des traitements ayant une finalité commune et impliquant les mêmes types de données et de destinataires.
Concrètement, si votre traitement correspondait aux critères définis dans l’une de ces autorisations, il suffisait d’effectuer une déclaration de conformité auprès de la CNIL. Cette procédure simplifiée permettait d’accélérer la mise en conformité des systèmes tout en garantissant un cadre légal strict.
Faciliter l’utilisation des lecteurs biométriques
Dans le domaine de la biométrie, la CNIL avait mis en place plusieurs autorisations uniques pour réguler l’utilisation de dispositifs tels que les lecteurs biométriques. Ces décisions visaient à simplifier les démarches administratives tout en s’assurant que les données biométriques étaient manipulées en toute sécurité.
Réglementation stricte pour les données biométriques
Il est essentiel de noter que tous les traitements impliquant des données biométriques devaient obtenir une autorisation préalable de la CNIL. À ce jour, aucun dispositif biométrique n’a reçu de « label CNIL » ou d’agrément automatique. Cela signifie que chaque traitement devait être examiné avec soin, et les entreprises étaient responsables de leur conformité aux règles établies.
Important : Toute autorisation unique doit être lue attentivement. L’entreprise ou l’organisation qui s’y réfère doit respecter l’ensemble des critères énoncés dans le texte de l’autorisation pour garantir une conformité totale.
La sécurité des données est aujourd'hui un enjeu stratégique, aussi bien pour les entreprises que pour les individus.
Les cyberattaques, les violations de données ou les usages frauduleux sont autant de risques auxquels la CNIL répond
en imposant des règles strictes.
Contrôle d'accès et biométrie : Autorisation unique AU-052
Délibération n° 2016-186 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail et garantissant la maîtrise par la personne concernée sur son gabarit biométrique (AU-052)
Voir le texte complet sur Legifrance : Autorisation unique AU052
Contrôle d'accès et biométrie : Autorisation unique AU-053
Délibération n° 2016-187 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail, reposant sur une conservation des gabarits en base par le responsable du traitement (AU-053)
Voir le texte complet sur Legifrance : Autorisation unique AU053
Biométrie : accès aux cantines scolaires : Autorisation unique AU-009
Délibération n°2006-103 du 27 avril 2006 portant autorisation unique de mise en oeuvre de traitements automatisés de données à caractère personnel reposant sur l'utilisation d'un dispositif de reconnaissance du contour de la main et ayant pour finalité l'accès au restaurant scolaire.
Voir le texte complet sur Legifrance : Autorisation unique AU009
Contrôle d'accès et gestion du temps par badges d'identification : Norme Simplifiée NS-042
Délibération n°02-001 du 08 janvier 2002 concernant les traitements automatisés d'informations nominatives relatifs mis en oeuvre sur les lieux de travail pour la gestion des contrôles d'accès aux locaux, des horaires et de la restauration
Voir le texte complet sur Legifrance : Norme Simplifié NS042