Rapport Annuel 2015 de La CNIL

COMMISSION NATIONALE DE LINFORMATIQUE ET DES LIBERTS / 36E RAPPORT DACTIVIT 2015
rapport dactivit
2015
COMMISSION NATIONALE DE
LINFORMATIQUE ET DES LIBERTS
PROTGER LES DONNES PERSONNELLES,
ACCOMPAGNER LINNOVATION,
PRSERVER LES LIBERTS INDIVIDUELLES
Diffusion
Direction de linformation lgale
et administrative
La Documentation franaise
Tl. 01 40 15 70 10
www.ladocumentationfranaise.fr
Commission nationale de
linformatique et des liberts
8, rue Vivienne
75083 Paris Cedex 02
Tl. 01 53 73 22 22
Fax 01 53 73 22 00
ISBN: 978-2-11-010351-2
DF: 5HC42290
Prix : 15e
www.cnil.fr
La
documentation
Franaise
rapport dactivit
2015
Prvu par larticle 11 de loi du 6 janvier 1978,

modifie par la loi du 6 aot 2004
Les chiffres cls de 2015

Conseiller
& rglementer
2 571
DCISIONS ET DLIBRATIONS
dont :
- 244 autorisations
- 122 demandes davis
1 076
AUTORISATIONS DE TRANSFERT
50 339
FORMALITS SIMPLIFIES
Accompagner la conformit
96 323
6 852
12 463
359
DOSSIERS DE FORMALITS
DCLARATIONS POUR
DES SYSTMES DE
VIDOSURVEILLANCE
73
LABELS
DLIVRS
DCLARATIONS
POUR DES DISPOSITIFS
DE GOLOCALISATION
AUTORISATIONS EN MATIRE
DE BIOMTRIE
16 406
78
ORGANISMES ONT DSIGN

UN CORRESPONDANT soit 4.321 CIL
GROUPES
ONT ADOPT
DES BCR
Plus de 1000 participants

aux 34 ateliers CIL
Informer
34 367
COURRIERS REUS
136 251
APPELS TLPHONIQUES
250
INTERVENTIONS
LORS DE CONFRENCES,
COLLOQUES, SALONS.
Contrler
& sanctionner
510
CONTRLES DONT:
- 155 contrles en ligne
- 87 contrles vido
93
10
MISES EN DEMEURE
SANCTIONS DONT:
- 3 sanctions financires
- 7 avertissements
7 908
450
PLAINTES
suite des refus de demandes
de drfrencement auprs
des moteurs de recherche
192
GE MOYEN :
POSTES
40
ANS
- 64 %: Femmes
- 36 %: Hommes
- 48 % des agents
travaillant la CNIL
sont arrivs il y a 5 ans
- 71 % des agents occupent
un poste de catgorie A
Protger
PLAINTES,
dont 36 % concernent internet
Ressources
humaines
5 890
DEMANDES DE DROIT DACCS

INDIRECT (fichiers de police,
de gendarmerie, de renseignement,
FICOBA, etc).
8 784
VRIFICATIONS RALISES
UNE ANCIENNET
MOYENNE DE
ANS ENVIRON
SOMMAIRE
RAPPORT DACTIVIT 2015
Commission Nationale
de lInformatique et des Liberts
INTRODUCTION
03
Les chiffres cls de 2015
06
Avant-propos de la Prsidente
09
Mot du secrtaire gnral
ANALYSES
12
Lutte contre le terrorisme

et donnes personnelles:
quelles garanties pour
les citoyens?
18
Les camras-pitons utilises

par les forces de lordre
22
Comment concilier
protection de la vie prive
et libert de la presse ?
28
La protection des donnes

personnelles au cur
de la cyberscurit
32
Linvalidation du Safe Harbor :

le travail coordonn de la CNIL
et du G29 pour prendre en compte
les consquences de larrt
SCHREMS
BILAN DACTIVIT
38
Informer le grand public

et les professionnels
41
Conseiller et rglementer
46
53
Protger les citoyens
62
Contrler et sanctionner
69
Anticiper et innover
73
La rgulation internationale,
un lment indispensable de
la protection des donnes
lre numrique
BILAN
FINANCIER ET
ORGANISATIONNEL
88
Les membres de la CNIL
89
Les ressources
humaines et financires
LES SUJETS DE
RFLEXION EN 2016
80
Data brokers,
le ptrole et liceberg
82
Vhicules connects :
en route vers le pack
de conformit
84
Des objets connects

aux objets autonomes :
quelles liberts dans
un monde robotis ?
ANNEXES
92
Liste des sanctions

prononces en 2015
93
Liste des mises en demeure

prononces en 2015
AVANT-PROPOS
DE LA PRSIDENTE
La libert
envers et
contre tout !
Isabelle Falque-Pierrotin,
Prsidente de la CNIL
2015, CEST AVANT TOUT LE CHOC,

LA SIDRATION
anne 2015 a commenc et sest termine dans la

violence des attentats qui ont endeuill la France.
Il y aura bien un avant et un aprs 2015. Chacun
dentre nous a t intimement meurtri par la violence
physique de ces attaques qui visaient nos valeurs dmocratiques, cest--dire ce qui nous unit et nous runit
et ce qui constitue le socle de notre identit franaise
et europenne. Ces valeurs humanistes ont un sens
tout particulier la CNIL, auprs des 200 agents et 17
membres du Collge.
La CNIL a maintenu
son cap, la recherche dun
quilibre dlicat entre des
impratifs divers mais pas
forcment antagonistes.
Depuis, le curseur entre impratifs de scurit et dfense

des liberts fondamentales sest incontestablement
dplac. Dans ce contexte particulier, sous-tendu par
une intense motion, la CNIL a maintenu son cap,
la recherche dun quilibre dlicat entre des impratifs
divers mais pas forcment antagonistes. Au-del de leurs
impacts individuels et collectifs, ces vnements ont eu
des effets trs directs sur lactivit de la CNIL. En effet,
la Commission a eu se prononcer sur 14 textes (dcrets
dapplication, projets de loi) en lien avec la lutte contre
le terrorisme ou le renseignement. Si certains dentre
eux taient dj prvus, il est vident que les attentats
ont acclr leur mise en uvre.
Concernant la loi sur le renseignement, le texte final a
tenu compte de diffrents points que la CNIL avait souligns dans son avis. Pour autant, et comme jai pu tre
amene le dire publiquement, la CNIL a regrett que
les fichiers de renseignement ne soient pas soumis un
contrle effectif a posteriori de leur rgularit du point
de vue de la loi Informatique et Liberts. Or, ce contrle
constitue une exigence fondamentale afin dasseoir la
lgitimit de ces fichiers dans le respect des droits et
liberts des citoyens.
AVANT-PROPOS DE LA PRSIDENTE
Le plan stratgique doit dessiner un projet pour

la CNIL, dans une priode extraordinaire , synonyme
dopportunits et de dfis.
Dans un autre registre et toute proportion garde bien

sr, je qualifierai aussi de choc la dcision de la Cour de
Justice de lUnion Europenne du 6 octobre qui a invalid
le Safe Harbor. Cette dcision a constitu un vrai sisme
en Europe et aux Etats-Unis, pour les entreprises, les
gouvernements, la Commission Europenne mais aussi
les autorits de protection des donnes.
Sur le fond, la CJUE a relev que les autorits publiques
amricaines peuvent accder de manire massive et
indiffrencie aux donnes transfres dans le cadre de la
dcision de Safe Harbor de juillet 2000, sans assurer de
protection juridique efficace aux personnes concernes.
Constatant que la Commission na pas recherch si les
Etats-Unis assurent effectivement une protection
adquate, la Cour a prononc linvalidation de la dcision
dadquation. La question de la surveillance massive
et indiscrimine est donc au cur de linvalidation du
Safe Harbor par la CJUE, ce qui rejoint la position du
G29 qui avait considr quune telle surveillance tait
incompatible avec le cadre juridique europen et que les
outils de transferts ne pouvaient constituer une solution
ce problme.
Les autorits europennes, sous lgide du G29, se sont
immdiatement mises en ordre de marche pour tirer les
consquences oprationnelles de cette dcision majeure
pour la protection des donnes de citoyens europens.
Le 16 octobre, elles ont demand aux Etats membres et
aux institutions europennes dengager, dans un dlai de
trois mois, les discussions avec les autorits amricaines
afin de trouver des solutions politiques, juridiques et
techniques permettant de transfrer des donnes vers
le territoire amricain dans le respect des droits fondamentaux. Force est de constater que ce sont dabord les
enjeux commerciaux qui ont capt lattention des ngociateurs qui ont sembl minorer voire ignorer, au moins
dans un premier temps, la problmatique centrale de
la surveillance. Ce nest donc seulement qu quelques
heures de la date butoir du 31 janvier que lesquisse dun
nouvel accord intitul Privacy Shield a t annonce.
Le G29 analysera ce nouvel accord la lumire des

garanties europennes essentielles rappeles par la CJUE.
Il a dj prvu de se runir en sance plnire extraordinaire en avril prochain.
Dans le cas du Safe Harbor, les autorits de protection
europennes doivent dfendre une position commune
europenne la fois ferme et pragmatique, dans un
univers dune extrme complexit avec des enjeux conomiques et politiques considrables. Car, ce dont il
est question finalement, cest bien llaboration dun
standard mondial permettant de garantir aux citoyens
europens une protection en continu sur leurs donnes
et leurs droits, y compris quand elles quittent lEurope.
ET MAINTENANT, QUE DIRE DE 2016 ?

2016 sera assurment une anne dlicate, o tout peut
arriver. Dans ce contexte instable, il est essentiel de fixer
un cap et de le maintenir car, comme 2015 en tmoigne,
la stabilit ne viendra pas de lextrieur, loin sen faut.
Ce cap, cest le plan stratgique 2016-2018 de la CNIL
qui le fixera. Son laboration a donn lieu un processus
collaboratif associant lensemble des agents afin dalimenter la rflexion collective.
Ce plan stratgique triennal doit permettre la CNIL,
non seulement de poursuivre les volutions dj engages mais aussi de dessiner un projet pour une priode
que lon peut qualifier dextraordinaire , synonyme
dopportunits et de dfis.
Le premier dfi consiste assurer la transition vers le
rglement europen et leuropanisation de certaines
activits de la CNIL. Le rglement europen tant attendu
va tre finalement vot au printemps. Son adoption en
dcembre 2015 constitue un aboutissement de quatre
annes de travail et de ngociations intenses et marque
un tournant majeur dans la rgulation des donnes personnelles. En effet, nous passerons dun cadre national
un cadre prioritairement europen. Il faudra donc que
la CNIL intgre, dans lensemble de son fonctionnement,

la dimension europenne de la rgulation.
Cette adoption signifie aussi le dbut dun compte
rebours qui va durer deux ans, jusqu la mise en uvre
effective du rglement en 2018. La CNIL devra adapter ses procdures, ses outils et le rle de la formation
plnire mais aussi suivre de prs la refonte de la loi
Informatique et Liberts qui sappliquera encore pour
les traitements des autorits publiques et pour certains
traitements de sant.
Lexercice est complexe puisquil sagit de changer compltement de logiciel tout en continuant dici 2018 de
veiller la bonne application du cadre juridique actuel.
Pour autant, cette priode de transition constitue une
opportunit pour la CNIL, afin de lui permettre de mettre
jour ses doctrines, ses pratiques, et ses outils.
En introduisant un pouvoir de dcision conjointe des
autorits de protection des donnes de toute lUnion
europenne, le rglement implique de systmatiser la
coopration, le partage dinformation avec nos homologues. Il implique galement de cooprer en amont, au
stade de la conformit, afin de pouvoir fournir aux acteurs
europens des outils harmoniss dont ils sont demandeurs (rfrentiels, labels, packs de conformit, etc.).
Le deuxime dfi que la CNIL doit relever consiste
ancrer son action dans laccompagnement et la facilitation de la transition numrique des acteurs conomiques et publics. Ce tournant, bien que dj engag
ces dernires annes, saccentuera dans les trois ans
venir. La CNIL doit accompagner le dveloppement de la
confiance dans les services numriques dans une logique
de conformit et de respect des droits des personnes.
Pour ce faire, elle sera plus ouverte sur lextrieur et
plus proche des acteurs de terrain, elle dveloppera une
doctrine plus mobile ainsi que de nouveaux outils
pratiques (outils dauto-valuation, nouveaux labels ou
rfrentiels, etc.).
Enfin, le dernier dfi cest de faire de la CNIL, la rfrence pour le grand public en matire de numrique.
Lune des forces de la CNIL rside dans sa capacit
sadresser une communaut de publics trs divers et
notamment au grand public. Les citoyens sont toujours
plus nombreux sadresser la CNIL quils identifient
comme le service public de rfrence sur le numrique et
La CNIL
est prte se rinventer
pour tre plus agile,
plus pragmatique.
un interlocuteur de confiance comme en tmoignent les

7 900 plaintes reues en 2015 (soit un nombre record),
les 136 000 appels, les 4 385 requtes lectroniques
via le bouton Besoin daide dont les questions/rponses
ont t consultes 122 000 fois.
Le projet de loi pour une Rpublique Numrique conforte
le rle de la CNIL et prvoit de lui confier le soin dorganiser la rflexion sur lthique du numrique. Cette mission
doit permettre dassocier la socit civile des dbats
publics sur les questions de socit nouvelles poses par
le numrique, et ce, au-del du strict cadre des donnes
personnelles. Cette nouvelle mission de rflexion, la CNIL
ne lentend pas la porter seule mais au contraire jouer
un rle de catalyseur du dbat citoyen et danimateur
de communaut.
Tous ces dfis sont immenses. Ils illustrent la mutation
considrable de notre socit qui est en cours du fait du
numrique. La CNIL est prte relever ces dfis et elle ne
le fera pas seule. Dans un univers numrique complexe,
foisonnant, multiple et volutif, elle partagera la charge
de la rgulation avec dautres, en France et en Europe,
en dveloppant de la corgulation et de linterrgulation.
Mais les questions ne sont pas seulement techniques,
juridiques ou conomiques. Elles nintressent pas seulement les professionnels ou les experts. Ce qui est en
cause est le plus souvent une vision de la socit, un
choix de valeurs.
ce titre, je voudrais dire que la CNIL est rsolument au
service des liberts. Dans le contexte actuel, lensemble
des agents et membres de la CNIL souhaite travailler
avec toutes les composantes de la socit et participer
avec audace et dtermination la mise en place dune
socit numrique visage humain.
MOT DU SECRTAIRE GNRAL
Faire de la CNIL un vritable

rgulateur tourn vers ses publics.
MOT DU SECRTAIRE GNRAL
La CNIL en 2015 :
pour une rgulation
performante
et de qualit
douard Geffray,
Secrtaire gnral
a CNIL avait, en 2012, arrt un plan dorientations stratgiques et oprationnelles pour les annes
2012-2015. Lanne 2015, dont le prsent rapport
annuel reflte lactivit et une partie des rflexions de
fond, a donc t marque par laboutissement de nombreux projets conformes ces orientations : faire de la
CNIL un vritable rgulateur tourn vers ses publics,
quil sagisse dinformer et de protger les droits des
personnes, ou daccompagner la mise en conformit des
entreprises, administrations ou associations qui traitent
des donnes.
Ce plan ambitieux tait en avance de phase sur le projet
de rglement europen, qui a fait lobjet dun accord
politique en dcembre 2015 et est en cours dadoption
dfinitive. Il sest traduit par lvolution des mtiers de
la CNIL, notamment vers laccompagnement de la mise
en conformit. Comme les annes prcdentes, il a t
conduit dans un environnement lui-mme en forte volution, que ce soit sous leffet du progrs technologique,
des bouleversements socitaux induits par le numrique
ou des nouvelles lgislations. Enfin, les volutions et

projets mens lont t dans un contexte marqu par la
poursuite de la croissance de lactivit de linstitution.
A titre indicatif, les plaintes reues par la CNIL ont bondi
de 36 % en un an, tandis que les autorisations adoptes
ont, elles, augment de plus de 9 %. La Commission
a pu, pour cela, sappuyer sur la dtermination et lengagement des quelques 200 femmes et hommes qui composent ses services, et qui, anims de la conviction que
protection des donnes personnelles et innovation vont
de pair dans un Etat de droit, se sont attachs rendre
un service public performant et de qualit.
Pour le grand public, tout dabord, la CNIL a men
bien, au cours de lanne 2015, trois projets fondamentaux. Le premier est celui de la refonte du site internet :
dsormais adapt tous les supports de consultations
(smartphones, tablettes ou ordinateurs), il a t conu
pour rpondre aux besoins spcifiques, soit des particuliers, soit des professionnels. Son lancement a t
prcd par lamlioration du tlservice des plaintes
10
en ligne en avril 2015. Dsormais, les personnes qui

saisissent la CNIL sont accompagnes pour mieux comprendre leurs droits et mieux formuler leurs demandes.
Enfin, la CNIL a dvelopp un nouveau service, intitul
Besoin daide , qui permet tout internaute dinterroger une base de connaissances en langage naturel
et dobtenir ainsi les rponses aux questions les plus
proches. En labsence de rponse satisfaisante, il peut
saisir la CNIL par courriel. Ce service a t interrog,
entre son lancement le 1er juillet et le 31 dcembre 2015,
plus de 122 000 fois, 4 385 personnes ayant sollicit
des informations complmentaires par courriel. La base
de questions-rponses est constamment enrichie pour
apporter des rponses au plus prs des besoins des
personnes. Ces trois projets ont ainsi permis damliorer
significativement le service aux publics.
La CNIL est en effet de plus en plus sollicite par les
particuliers, et est amene traiter de sujets de plus en
plus complexes, quil sagisse darticuler protection de
la vie prive et droit du public linformation, comme
en matire de drfrencement ou denjeux techniques
complexes (comme en matire de cyberscurit).
Pour les acteurs du traitement des donnes, 2015
a galement t lanne de la maturit des nouveaux
outils de conformit de la CNIL, ce qui est essentiel
dans la perspective du rglement europen. Cest ainsi
que les labels ont confirm leur ancrage dans les outils
de conformit, avec les premiers renouvellements de
ceux dlivrs en 2012, mais aussi les premiers labels
gouvernance des donnes personnelles , qui valorisent les entits, publiques ou prives, qui optent pour
une organisation interne vertueuse pour la protection
des donnes. De la mme manire, les CIL ont ft
leurs 10 ans, et pass, cette mme anne, la barre des
15 000 organismes pour atteindre 16 500 entits dotes
de cette fonction.
Or, recourir un CIL est aujourdhui le meilleur moyen
pour une entreprise ou une administration de se prparer
au rglement europen sur la protection des donnes
personnelles venir. Le CIL est en effet le chef dorchestre interne de la conformit la loi informatique
et liberts, et sera rendu obligatoire dans de nombreux
cas en 2018, dans le cadre du rglement europen.
Entreprises et administrations ont donc intrt se doter
ds maintenant de CIL pour monter en puissance en vue

du rglement europen, et bnficier ainsi de laccompagnement de la CNIL.
Enfin, les packs de conformit sont galement ancrs
dans le paysage de la conformit, et deux nouveaux
packs sont envisags en 2016 pour accompagner louverture des donnes publiques et le dveloppement des
vhicules connects dans le respect du droit la protection des donnes.
Sagissant enfin des pouvoirs publics, la CNIL a t
particulirement sollicite, dans le contexte de ladoption de textes relatifs la lutte contre le terrorisme.
Elle a ainsi reu 122 demandes davis ou dautorisations de la part dadministrations centrales de lEtat,
et en dpit dune forte hausse (+39 %), a russi diminuer les dlais de traitements de plus de 10 %.
Le prsent rapport annuel retrace lensemble de ces
volutions, non seulement quantitatives, mais galement qualitatives. La CNIL se veut rsolument tourne
vers ses publics, dans un souci de qualit technique
et juridique, et de performance.
2015 a t lanne
de la maturit des
nouveaux outils de
conformit de la CNIL.
ANALYSES
Lutte contre le terrorisme et donnes personnelles:
quelles garanties pour les citoyens?
Les camras-pitons utilises par les forces de lordre
Comment concilier protection de la vie prive et libert de la presse ?
La protection des donnes personnelles au cur de la cyberscurit
Linvalidation du Safe Harbor : le travail coordonn de la CNIL
et du G29 pour prendre en compte les consquences de larrt SCHREMS
12
Lutte contre le terrorisme

et donnes personnelles :
quelles garanties pour
le citoyen ?
La srie dattentats tragiques qui a marqu lanne 2015 a naturellement conduit les
pouvoirs publics sinterroger sur les moyens et lefficacit des services de renseignement.
Le Gouvernement a ainsi pris plusieurs mesures visant renforcer les moyens dactions
des services de renseignement, dont certaines intressent directement la vie prive et la
protection des donnes personnelles.
La CNIL a donc t particulirement
sollicite durant cette anne sur ces
questions et sur les modalits darticulation entre les impratifs de scurit et
de libert quelles soulvent. Dans ce
cadre, son rle est, au-del dune dichotomie rductrice entre scurit et liberts,
de sassurer que des garanties, relles
et effectives, seules mme de garantir
lquilibre ncessaire au pacte rpublicain, accompagnent le renforcement des
moyens mis la disposition des services
anti-terroristes et vitent toute atteinte
disproportionne au droit fondamental
au respect de la vie prive.
LUTTE CONTRE LE TERRORISME ET PROTECTION DES DONNES

PERSONNELLES : UNE LONGUE HISTOIRE
La lutte contre le terrorisme ncessite
la collecte et lanalyse des informations
pertinentes et, par consquent, de donnes caractre personnel. Le lgislateur
est ds lors intervenu de nombreuses
reprises en cette matire, tant sur le volet
judiciaire que sur le volet administratif de
la lutte anti-terroriste, afin de prvoir les
garanties lgales propres assurer une
conciliation quilibre entre lobjectif de
valeur constitutionnelle de sauvegarde de

lordre public et le droit au respect de la
vie prive. Ainsi, depuis les annes 80 et
jusqu ladoption de la loi du 24 juillet
2015 relative au renseignement, prs
dune vingtaine de lois sont intervenues
en la matire. Parmi les plus substantielles, on peut citer la loi du 10 juillet
1991 relative au secret des correspondances mises par la voie des communi-
cations lectroniques, qui a notamment

cr le dispositif des interceptions de
scurit ( coutes administratives ), la
loi du 23 janvier 2006 relative la lutte
contre le terrorisme ( LAT ), ou encore
la loi du 18 dcembre 2013 relative
la programmation militaire ( LPM ).
La LAT a en effet dot les services de
renseignement de nombreux pouvoirs en
posant les premiers jalons du cadre juri-
BILAN DACTIVIT
dique applicable aux rquisitions administratives des donnes de connexion,

en permettant la mise en uvre de dispositifs vido dans les lieux publics aux
fins de prvention dacte de terrorisme
ou encore en autorisant la surveillance
des dplacements des personnes susceptibles de participer une action
terroriste, aussi bien au niveau national (dispositifs de lecture automatise
des plaques dimmatriculation ou LAPI)
quau niveau international, en autorisant
la mise en uvre de traitements de donnes recueillies loccasion de dplacements internationaux ariens.
La LPM a galement permis un renforcement des moyens dont disposent les
services de la communaut du rensei-
RETOUR SUR LANNE

2015
Lanne 2015 se caractrise par le
nombre substantiel de mesures lgislatives et rglementaires adoptes
concernant le traitement de donnes
personnelles des fins de lutte antiterroriste, au premier rang desquelles
figurent les nombreuses dispositions
de la loi du 24 juillet 2015 relative au
renseignement.
En outre, des dispositifs dune nouvelle ampleur, en termes de volume de
donnes traites comme de modalits
de collecte, ont t lgaliss.
Du point de vue de la collecte et du
traitement de donnes caractre personnel, trois tendances peuvent ainsi
tre observes :
la cration de nouveaux fichiers
ayant pour objet la lutte anti-terroriste,
ou la modification de certains fichiers
existants utiliss en la matire ;
la surveillance et le contrle des
communications lectroniques, y
compris par lutilisation de nouvelles
techniques denqute et de recueil de
donnes ;
lvolution du renseignement, avec
la possibilit de collecter un volume
important de donnes aux fins diden-
gnement en leur permettant daccder

certains traitements administratifs et
judiciaires, en modifiant substantiellement le rgime juridique applicable aux
rquisitions administratives de donnes
de connexion et en permettant, par
exemple, la golocalisation des terminaux mobiles des personnes en temps
rel. Elle a en outre autoris la mise en
uvre, titre exprimental, du systme
API-PNR France , qui permet la collecte des donnes relatives aux passagers ariens et leur utilisation par les
agents de la police et de la gendarmerie nationales, des douanes, ainsi que
des services de renseignement spcialiss, notamment des fins de lutte
anti-terroriste.
La CNIL sest prononce sur la plupart de ces dispositions lgislatives,

ainsi que sur leurs textes rglementaires
dapplication. Elle a ainsi pu examiner la
proportionnalit de ces diffrents dispositifs au regard du droit la protection
des donnes et faire tat de ses analyses
aux pouvoirs publics. Si ces observations
nont pas toutes t suivies deffets, un
cadre juridique a t progressivement
dfini quant lutilisation des diffrents
traitements de donnes caractre
personnel auxquels ont recours les services de renseignement. Ses volutions
tmoignent en outre de laccroissement
des moyens de surveillance mis disposition du renseignement ces dernires
annes.
En 2015, la CNIL sest prononce

sur 14 projets de dispositions lgislatives
ou rglementaires directement relatives
au traitement de donnes des fins
de renseignement ou de lutte contre
le terrorisme.
tifier les personnes surveiller. La loi
relative au renseignement contient en
elle-mme ces trois tendances.
La cration de nouveaux
fichiers et la modification
de fichiers existants
la suite des attentats de janvier
2015, le Gouvernement avait annonc
la cration dun nouveau fichier de
suivi des personnes mises en cause ou
condamnes pour des infractions lies
au terrorisme. La CNIL sest prononce, le 7 avril 2015, sur un projet de
dispositions lgislatives visant crer
un fichier national des auteurs dinfractions terroristes (FIJAIT), intgres
par voie damendement au projet de loi
relatif au renseignement. Cet avis a t
rendu public par le Gouvernement.
Les conditions de mise en uvre de
ce traitement sont trs proches de celles
du fichier judiciaire national automa-
tis des auteurs dinfractions sexuelles

ou violentes (FIJAISV), sur lequel la
Commission sest prononce plusieurs
reprises et qui a fait lobjet dun examen
tant par le Conseil Constitutionnel que
par la Cour europenne des droits de
lhomme. Lobjectif est en effet de disposer dun fichier dadresses des auteurs
dinfractions lies au terrorisme, afin
dassurer un suivi de ces personnes au
travers de diffrentes obligations (justification dadresses, des dplacements
ltranger, etc.).
Dans la mesure o des garanties
identiques au FIJAISV ont t prvues
pour le FIJAIT, la Commission a considr que celles-ci taient a priori de
nature assurer un quilibre entre le
respect de la vie prive et la sauvegarde
de lordre public. Elle a toutefois formul
plusieurs observations afin de limiter au
strict ncessaire les atteintes aux droits
et liberts fondamentaux.
13
Ainsi, la CNIL a rappel que la conservation dadresses non mises jour napparait pas utile au regard de la finalit de
suivi des personnes concernes, ce qui
est le cas des adresses conserves audel de la date de fin des obligations qui
psent sur ces personnes, de mme que
la conservation, au-del de cette date,
de donnes qui pourraient dj figurer
dans dautres fichiers judiciaires (TAJ
et casier judiciaire, par exemple) ou de
renseignement (tel CRISTINA). Sur les
destinataires de ces informations, elle a
estim que les autorits judiciaires et les
services spcialiss de renseignement ne
devaient pouvoir accder au FIJAIT que
dans le seul cadre de leurs missions de
lutte contre le terrorisme et que, sagissant des prfets et administrations de
ltat, le primtre des enqutes leur permettant de recevoir communication des
donnes devait tre prcis et restreint
certaines activits ou professions en lien
avec les infractions pouvant donner lieu
une inscription dans le fichier.
En avril 2015, la CNIL a galement
examin un traitement, mis en uvre par
ladministration pnitentiaire, relatif au
suivi des personnes places sous main
de justice et destin la prvention
des atteintes la scurit publique ,
dnomm CAR . Lavis de la CNIL sur
le projet de dcret en portant cration
na pas t rendu public, car le ministre de la justice a entendu se prvaloir
de plusieurs drogations dont peuvent
bnficier les traitements intressant la
scurit publique et la sret de lEtat
prvues par la loi du 6 janvier 1978
modifie, et en particulier de labsence
de publication dudit dcret et de lavis
de la CNIL correspondant. Nanmoins,
il na pas exclu ce traitement du contrle
de la Commission. Ce traitement, finalement cr par dcret du 10 novembre
2015 et qui est donc pleinement soumis
ses pouvoirs de contrle, a bnfici
dun avis favorable avec rserve de
la CNIL.
En parallle de la cration de ces
nouveaux traitements, plusieurs fichiers
ont t modifis en 2015.
Dans le cadre des dbats parlementaires relatifs la loi sur le renseignement, le Gouvernement a ainsi dpos
un projet damendement visant per-
DERNIRE MINUTE
14
Le FIJAIT cr par dcret

du 29 dcembre 2015
Le 3 dcembre 2015, la CNIL a t amene se prononcer sur
le projet de dcret dapplication des dispositions lgislatives
finalement adoptes relatives au FIJAIT. Elle a ainsi pu relever
une diminution substantielle tant des dures de conservation
des donnes que des dures des obligations incombant aux
personnes inscrites dans le FIJAIT, tout en soulignant que,
pour certaines des infractions concernes, les dures de
conservation des donnes ntaient pas similaires aux dures
pendant lesquelles les personnes inscrites au FIJAIT sont
soumises ces obligations. La CNIL a ainsi pu rappeler quil
appartenait au ministre concern de prendre toutes mesures
utiles pour que les donnes inexactes ou incompltes soient
rectifies ou effaces, conformment larticle 6-4 de la loi
Informatique et Liberts . Le nouveau fichier national des
auteurs dinfractions terroristes a finalement t cr par
dcret du 29 dcembre 2015. La gestion de ce traitement est
confie au service du casier judiciaire national, sous lautorit
du ministre de la Justice et sous le contrle dun magistrat.
mettre aux services de renseignement

de police et de gendarmerie daccder
au traitement des antcdents judiciaires (TAJ), que la CNIL a dj examin de nombreuses reprises. Pour
rappel, le TAJ est le fichier dantcdents
commun la police et la gendarmerie nationales, qui sest substitu aux
fichiers STIC et JUDEX dfinitivement
supprims.
La CNIL sest prononce sur les dispositions lgislatives projetes, le 7 mai
2015, puis sur le dcret dapplication
prvu par la loi relative au renseignement, le 10 dcembre. Le cadre juridique de laccs au TAJ par les services
de renseignement spcialiss ainsi que
par les services concourant la mission
de renseignement a ainsi t substantiellement modifi : pour la protection
des intrts fondamentaux de la Nation,
ces services peuvent dornavant prendre
connaissance des donnes relatives
lensemble des procdures judiciaires
donnant lieu enregistrement dans le
TAJ, y compris aux procdures en cours
et aux procdures ayant donn lieu
une mention, lexclusion toutefois des
donnes relatives aux victimes.
Le traitement dnomm FSPRT
a galement fait lobjet de modifica-
tions. Tout comme le traitement CAR,

les dcrets relatifs ce fichier ne font
pas lobjet dune publication mais le pouvoir de contrle de sa mise en uvre
par la CNIL na pas t cart par le
Gouvernement. Si les caractristiques du
traitement initial lui avaient permis de
rendre un avis favorable fin 2014, la
CNIL sest montre plus rserve sur les
modifications qui lui ont t prsentes,
ce qui la conduit rendre un avis favorable avec rserve ces modifications,
actes par dcret du 30 octobre 2015.
Enfin, les conditions de mise en
uvre de quatre autres fichiers ont t
modifies cette anne dans le cadre de
lapplication de la loi du 13 novembre
2014 renforant les dispositions relatives la lutte contre le terrorisme.
Cette loi a en effet cr les dispositifs
dinterdiction de sortie du territoire et
dinterdiction administrative du territoire.
Ladoption de ces nouvelles mesures a
ncessit la modification du fichier des
personnes recherches (FPR), du traitement automatis de donnes caractre personnel relatif aux passeports
(TES), du traitement relatif aux cartes
nationales didentit scurises (FNG)
ainsi que du fichier des objets et des
vhicules signals (FOVeS).
BILAN DACTIVIT
Un an auparavant, la LPM avait t

loccasion de modifier le rgime juridique
applicable aux accs administratifs aux
donnes de connexion, afin dlargir les
modalits daccs ces donnes par les
services anti-terroristes.
La loi relative au renseignement a
nanmoins constitu un tournant sagissant de la surveillance des communications lectroniques. En effet, son principal
objet, du point de vue de la protection des
donnes personnelles, a t dautoriser
ou de lgaliser de nouvelles modalits
de collecte, pour certaines dj utilises par les services de renseignement,
des donnes transitant sur les rseaux
lectroniques.
est en effet ncessaire afin de limiter les

consquences dfavorables qui rsulteraient du maintien, dans ces fichiers,
de personnes ne remplissant plus les
conditions pour y tre enregistres.
La surveillance dInternet et des

communications lectroniques
Lutilisation croissante, par les
citoyens, des moyens de communication lectroniques, et tout particulirement dInternet, a conduit le lgislateur
adopter plusieurs dispositions ces dernires annes en matire de contrle et
de surveillance de ces moyens par les
services en charge de la lutte contre le
terrorisme.
La loi n 2014-1353 du 13
novembre 2014 renforant les dispositions relatives la lutte contre le terrorisme a ainsi autoris le blocage et
le drfrencement administratifs des
sites Internet provoquant des actes
INFO +
La CNIL a ainsi t saisie dun projet de dcret portant amlioration des

changes dinformations entre services
dans le cadre de la lutte contre le terrorisme. Celui-ci visait tenir compte
du dispositif dinterdiction de sortie du
territoire, qui emporte, ds son prononc
et titre conservatoire, linvalidation
du passeport et de la carte nationale
didentit, en permettant la transmission
aux autorits policires des Etats europens la transmission des informations
relatives ces titres. Ce dcret visait
galement permettre linscription au
FPR des personnes faisant lobjet dune
interdiction de sortie du territoire et des
trangers faisant lobjet dune interdiction administrative du territoire. La CNIL
sest prononce sur ce dcret, publi le
15 fvrier 2015, par dlibration du 29
janvier 2015.
Le FOVeS a galement t modifi,
par arrt du 18 fvrier 2015 pris aprs
avis de la CNIL, afin de permettre lenregistrement des dcisions dinvalidation
de documents prononces par les autorits administratives. Tout comme pour
les trois autres fichiers concerns (FPR,
TES et FNG), la Commission a notamment rappel limportance de sassurer
de la mise jour des donnes figurant
dans ce traitement afin de prendre en
compte, dans les meilleurs dlais, tout
changement dans la situation des personnes ou des objets inscrits ou signals
dans ces fichiers. La mise jour rapide
et effective des quatre fichiers concerns
de terrorisme ou en faisant lapologie,

renforant un arsenal lgislatif important en matire de lutte contre ce phnomne, rgulirement complt et sur
lequel la Commission a pu se prononcer
plusieurs reprises.
De manire gnrale, ces mesures
administratives, prcises par deux
dcrets du 5 fvrier et du 4 mars 2015
pris aprs avis de la CNIL, permettent
dassocier directement les prestataires
techniques dans la lutte contre le terrorisme et de bloquer ou drfrencer
des sites ne faisant pas lobjet dinvestigations judiciaires. Afin de garantir le
respect des liberts individuelles, la loi
prvoit quune personnalit qualifie,
dsigne par la CNIL en son sein, sassure de la rgularit de ces diffrentes
demandes et des conditions dtablissement, de mise jour, de transmission et
dutilisation de la liste des sites faisant
lobjet dune mesure de blocage.
Monsieur Alexandre Linden, commissaire au sein de la CNIL,

a t dsign le 29 janvier comme personnalit qualifie
charge du contrle de la mise en uvre de ce nouveau
dispositif. La loi pour la confiance dans lconomie numrique,
modifie par la loi prcite du 13 dcembre 2014, prvoit
que cette personnalit doit rendre chaque anne un rapport
public dactivit, distinct du rapport annuel de la CNIL, sur
les conditions dexercice et les rsultats de son activit,
remis au Gouvernement et au Parlement.
La cration de plusieurs techniques

de recueil du renseignement , dornavant encadres par les dispositions du
code de la scurit intrieure (CSI), a ainsi
consacr limportance majeure des outils
de surveillance de ces rseaux dans le
cadre de la lutte contre le terrorisme.
Comme la rappel la CNIL dans son
avis du 5 mars 2015 sur le projet de loi,
rendu public la demande du Prsident
de la Commission des Lois de lAssemble
Nationale, ces dispositions ont en outre
permis la mise en uvre de mesures de
surveillance beaucoup plus larges que
celles autorises ces dernires annes.
Les conditions de rquisition classique des donnes de connexion ont
ainsi t modifies, en allongeant substantiellement leur dure de conservation par les services de renseignement :
initialement conserves pendant un an,
puis trois ans avec la LPM, elles peuvent
dornavant tre conserves cinq ans par
ces services. Les interceptions de scurit, cest--dire les coutes administratives des contenus des conversations
lectroniques (tlphone, mail, chat,
etc.), ont t tendues aux personnes
appartenant lentourage des personnes
surveilles.
La loi relative au renseignement a en
outre tendu aux services de renseignement lemploi de moyens dj autoriss
dans la cadre de la police judiciaire et
15
16
autoris lusage de nouvelles

techniques.
Par exemple, elle a prvu la possibilit de nouveaux dispositifs techniques
permettant daccder des donnes
informatiques stockes dans un systme
informatique, qui saffichent sur lcran
dun utilisateur, que celui-ci introduit
par saisie de caractres ou encore qui
sont reues et mises par des priphriques audiovisuels. Ces key-loggers ,
que peuvent utiliser dans certaines
procdures les autorits judiciaires,
permettent ainsi de collecter toutes les
donnes informatiques produites ou
reues par une personne sur son terminal lectronique.
Les dispositions du CSI autorisent la
pose de sondes qui permettent de
recueillir les informations traites par
les oprateurs relatives une personne
pralablement identifie comme prsentant une menace. Ce recueil seffectuera
en temps rel et directement sur sollicitation du rseau des oprateurs de
communications lectroniques.
Elles permettent en outre linstallation, chez les oprateurs, de dispositifs
permettant de dtecter, par surveillance
du trafic, des connexions susceptibles
de rvler une menace terroriste. Ces
botes noires ou traitements algorithmiques visent ainsi dtecter des
signaux dits faibles de prparation dun
acte de terrorisme partir de critres
prtablis.
Des appareils permettant de capter
distance les donnes de connexion
comme les correspondances changes
pourront galement tre utiliss par les
services de renseignement. Ces IMSIcatchers constituent en pratique de
fausses antennes relais, installes proximit (de lordre dune centaine de mtres,
dans ltat actuel des techniques) de la
personne dont on souhaite intercepter les
changes lectroniques, afin de capter
lensemble des donnes transmises entre
le priphrique lectronique et la vritable
antenne relais.
Dans son avis sur le projet de loi, la
Commission a observ que, parmi ces
techniques, certaines sont susceptibles
de conduire une surveillance massive
et indiffrencie des personnes.
Elle a rappel que de telles atteintes
au droit au respect de la vie prive, et
notamment de la protection des donnes

caractre personnel, peuvent tre justifies au regard de la lgitimit des objectifs poursuivis et des intrts en cause et
que les outils ncessaires lexercice des
missions des services de renseignement
doivent tre adapts aux nouvelles formes
dactions des personnes et organismes
menaant ces principes fondamentaux.
Nanmoins, elle a rappel que les
atteintes portes au respect de la vie prive
doivent tre limites au strict ncessaire.
Elles doivent tre adquates et proportionnes au but poursuivi et des garanties
suffisantes doivent tre prvues pour en
encadrer et contrler la mise en uvre.
cet gard, si la CNIL a pu relever
plusieurs garanties dans le projet qui lui a
t soumis, elle a formul de nombreuses
observations complmentaires, en particulier concernant les mesures de surveillance des communications lectroniques,
afin que ces dernires soient davantage
encadres. De fait, plusieurs de ses propositions ont t prises en compte et
intgres dans la loi finalement adopte,
sensiblement diffrente du projet de loi
qui lui avait t soumis.
Dune surveillance individuelle

cible lidentification
de personnes considres
comme surveiller :
un changement dchelle
en matire de renseignement
Au-del des mesures concrtes adoptes en 2015 par le lgislateur ou le
pouvoir rglementaire, la Commission
a constat, dans sa dlibration sur la
loi relative au renseignement, que les

mesures de surveillance ne portent plus
uniquement sur des personnes identifies
comme prsentant une menace terroriste : elles peuvent galement reposer
sur la collecte gnralise et indiffrencie dun volume important de donnes,
parmi lesquelles les services de renseignement devront ensuite identifier les
donnes utiles laccomplissement de
leur mission.
titre dexemple, si les conditions
exactes de mise en uvre des botes
noires ne sont pas encore connues,
ces dispositifs reposent sur un postulat :
identifier les personnes prsentant une
menace ncessite de collecter et traiter
les donnes dun groupe plus large, en
lespce des utilisateurs des rseaux de
communications lectroniques.
En effet, ces traitements de dtection
des connexions obligeront les oprateurs,
non plus seulement conserver les donnes qui transitent par leurs rseaux aux
fins de leur ventuelle mise disposition des autorits, mais exploiter les
informations relatives toutes les communications rpondant aux paramtres
tablis par les services de renseignement.
De nombreuses donnes, principalement
relatives des personnes ne prsentant aucune menace pour la sret de
lEtat, seront donc concernes par ces
dispositifs.
Il est donc ncessaire que ces volutions soient encadres par des garanties
permettant dassurer une relle protection
des donnes.
BILAN DACTIVIT
QUELLES GARANTIES POUR LES CITOYENS ?

Des garanties substantielles
contenues dans la loi relative
au renseignement
La CNIL avait soulign, dans son avis
du 5 mars 2015, certaines mesures de
nature limiter les atteintes disproportionnes la vie prive des citoyens, au
premier rang desquelles figurent la dlimitation du primtre des activits des
services de renseignement, la dfinition
de leurs missions, des techniques quils
peuvent mettre en uvre et des conditions de contrle a priori et a posteriori
de ces mesures. Des garanties supplmentaires ont ensuite t prvues dans le
cadre des travaux parlementaires, reprenant pour partie les recommandations
de la CNIL.
Le projet de loi finalement adopt a
t examin par le Conseil constitutionnel, qui a estim que, lexception des
mesures de surveillance internationale et
des procdures dites durgence oprationnelle , les dispositions relatives aux
techniques de recueil du renseignement
prvoient des moyens dencadrement suffisants au regard des principes constitutionnellement garantis (droit au respect
de la vie prive, libert de communication
et droit un recours juridictionnel effectif)
et ne portent ds lors pas datteinte disproportionne ces droits fondamentaux.
Ces dispositions ont donc t dclares conformes la Constitution, notamment au regard des garanties principales
suivantes :
les finalits prcises pour lesquelles
chacune de ces techniques peut tre mise
en uvre, les techniques les plus intrusives ne pouvant tre mises en uvre que
pour certaines de ces finalits ;
le respect du principe de subsidiarit pour la mise en uvre de ces techniques, certaines ntant autorises que
lorsque les renseignements ne peuvent
tre recueillis par un autre moyen ;
les modulations de leurs conditions
exactes de mise en uvre, permettant
dassurer la proportionnalit des mesures :
en ce qui concerne leurs modalits et
leurs dures dautorisation de mise en
uvre, les dures dexploitation et de
conservation des informations recueil-
lies, les lieux dans lesquels les dispositifs techniques peuvent tre installs
ou encore les catgories de personnes
faisant lobjet de telles mesures (avocats,
parlementaires, etc.) ;
la possibilit de mettre en uvre
de telles techniques rserve aux seuls
agents individuellement dsigns et spcialement habilits ;
le contrle hirarchique sur les autorisations de mise en uvre de ces techniques, qui relvent du Premier ministre ;
le contrle exerc par une nouvelle
autorit administrative indpendante, la
Commission Nationale de Contrle des
Techniques de Renseignement (CNCTR),
notamment charge dexaminer pralablement toute demande dautorisation
dune telle technique et de contrler la
mise en uvre de cette dernire ;
lindpendance de la CNCTR et leffectivit de son contrle ;
la possibilit pour toute personne de
saisir la CNCTR et le Conseil dEtat aux
fins de vrifier quaucune technique de
renseignement nest irrgulirement mise
en uvre son gard.
Ainsi, le lgislateur a soumis les techniques de renseignement deux types de
contrle, le premier exerc par la CNCTR
et le second par le Conseil dtat. La nouvelle autorit administrative indpendante
est ainsi charge dexaminer les motifs de
la demande des services de renseignement, sa finalit ainsi que la proportionnalit du recours la technique invoque.
Le Conseil dtat est quant lui charg
dexaminer les recours contentieux dans
le cadre du recours illgal lune des
techniques de recueil du renseignement
et peut donc exercer un contrle juridictionnel sur ces activits.
Concrtement, le citoyen peut ainsi
saisir dune rclamation la CNCTR
lorsquil souhaite vrifier quaucune
technique de renseignement nest irrgulirement mise en uvre son gard.
Cette commission doit alors procder au
contrle de la ou des techniques invoques, en vue de vrifier quelles ont t
ou sont mises en uvre dans le respect
du cadre juridique, et peut adresser des
recommandations aux autorits comptentes dans le cas contraire.

lissue de cette procdure, le citoyen
peut en outre saisir le Conseil dEtat aux
fins dobtenir lannulation de lautorisation de mise en uvre dune technique
de recueil du renseignement, la destruction des renseignements irrgulirement
collects et lindemnisation du prjudice
subi.
Ces garanties sajoutent ainsi
celles que contient la loi Informatique
et Liberts . En effet, les informations
collectes par lintermdiaire de ces techniques de recueil du renseignement ont
vocation alimenter les fichiers utiliss
par les services en charge de la lutte
anti-terroriste.
La cration et la modification de ces
fichiers sont soumises lexamen pralable de la Commission, qui dispose en
outre dun pouvoir de contrle des conditions de mise en uvre de la plupart de
ces traitements. Toute personne peut
en outre saisir la CNIL dune demande
dexercice de ses droits daccs et de rectification aux donnes qui la concernent.
Depuis la loi relative au renseignement,
le Conseil dEtat est comptent pour
connatre des requtes concernant la mise
en uvre du droit daccs ces fichiers.
Enfin et de manire plus gnrale,
lensemble des dispositions de la loi devra
galement faire lobjet dune valuation
par le Parlement, dans un dlai maximal
de cinq ans lissue de lentre en vigueur
de cette loi.
Cette clause de rendez-vous permettra donc au lgislateur de rexaminer
les dispositifs quil a crs, laune de
leurs consquences concrtes pour les
citoyens. Il sagit dun point fondamental, au vu du caractre particulirement
intrusif de certaines techniques et des
prmices de lavnement dune nouvelle
logique daction des services de renseignements, base sur la collecte et lexploitation indiffrencies de donnes
caractre personnel.
Par ailleurs, dans son champ de comptence, la CNIL sassurera du respect
des garanties poses par la loi informatique et liberts.
17
18
Les camras-pitons utilises

par les forces de lordre
Depuis quelques annes se multiplient de nouveaux usages en matire de camras
utilises par des personnes pour des besoins de plus en plus varis, dans des lieux
nouveaux et en recourant des technologies de plus en plus avances. Par exemple, les
dispositifs de camras embarques (sur des vhicules ou des personnes) se dveloppent
aujourdhui grande chelle et, en particulier, les camras dites boutonnires dont
se dotent notamment des agents de scurit prive, de police municipale ou encore de
police et de gendarmerie nationales.
En ce qui concerne les camras-pitons utilises par les forces de lordre,
des exprimentations souhaites par le
ministre de lintrieur ont t mises en
uvre dans plusieurs zones de scurits
prioritaires (ZSP). Des initiatives locales
ont galement donn lieu lquipement
de personnels. Depuis 2013, plusieurs
centaines de camras ont ainsi t affectes dans des services de police et units
de gendarmerie.
Ce dveloppement imposait que
la CNIL examine plus prcisment les
conditions de mise en uvre de ces dispositifs et fasse connatre son analyse
en la matire.
QUELS ENJEUX DU POINT DE VUE DE LA PROTECTION

DE LA VIE PRIVE ?
De manire gnrale, linstallation de
camras sur la voie publique ou dans des
lieux ouverts au public soulve de nombreuses questions en matire de respect
des liberts individuelles. Cest pourquoi
le Lgislateur a prcisment encadr la
mise en uvre de ces dispositifs, notamment afin de limiter les atteintes la vie
prive quils peuvent occasionner.
Ainsi, le code de la scurit intrieure
(CSI) prvoit notamment :
les finalits pouvant justifier lins-
tallation de camras de vidoprotection

(prvention des atteintes la scurit
des personnes et des biens, prvention
dactes de terrorisme, mais galement
secours aux personnes et dfense contre
lincendie, rgulation des flux de transport, etc.) ;
les lieux que ces camras peuvent
filmer (la voie publique et les lieux et tablissements ouverts au public lorsquils
sont particulirement exposs des
risques dagression ou de vol, lexclu-
sion de lintrieur des immeubles dhabitation et de leurs entres) ;

une dure maximale de conservation
des enregistrements, fixe un mois ;
des droits pour les personnes concernes par ces enregistrements (dtre informes de manire claire et permanente
de lexistence du systme de vidoprotection et de lautorit ou de la personne
responsable , daccder aux enregistrements qui les concernent et den vrifier
la destruction dans le dlai prvu) ;
BILAN DACTIVIT
RETENIR
Le Lgislateur
a encadr
linstallation
de camras sur
la voie publique
ou dans des
lieux ouverts
au public car
celle-ci soulve
de nombreuses
questions
de respect
des liberts
individuelles.
des modalits de contrle de ces

dispositifs, pralablement leur installation (autorisation prfectorale
prise aprs avis dune commission
dpartementale de vidoprotection) et
durant leur mise en uvre (contrle de
la CNIL).
Or, certaines de ces garanties sont
difficilement applicables aux camras
embarques. En effet, ces camras sont,
par dfinition, susceptibles de filmer la
voie publique, des lieux et tablissements ouverts au public, des lieux non
accessibles au public, ainsi que des
lieux privs, le tout dans le cadre dune
mme opration, en fonction des circonstances de lintervention prsidant
lutilisation de ces dispositifs. En outre,
ces camras sont susceptibles, par dfinition, de filmer indiffremment tout ce
qui se trouve dans leur champ de vision,
alors que lorientation des camras fixes
est strictement dlimite.
La possibilit de filmer des zones
prives, et en particulier des domiciles
privs, soulve dimportantes questions :
elle est susceptible de porter atteinte
lintimit de la vie prive des personnes

concernes. Une telle ingrence de lautorit publique ncessite ds lors que
des garanties substantielles soient prvues afin dassurer la proportionnalit
du dispositif.
Lobligation dinformation prvue
pour les camras de vidoprotection
peut galement poser des difficults sagissant des camras-pitons. Il
faut en effet sassurer par un dispositif
adapt que les personnes filmes sont
pleinement conscientes de lenregistrement dont elles font lobjet et, par consquent, de leur possibilit dexercer un
droit daccs aux enregistrements qui les
concernent, puisquil sagit de garanties
essentielles du point de vue du respect
des droits des personnes concernes.
Les camras-pitons utilises par
les forces de lordre sont en outre frquemment dotes de microphones
permettant denregistrer les paroles
prononces par les personnes filmes.
La collecte de telles informations nest
pas prvue explicitement par les dispositions prcites du CSI.
Des questions similaires se posent pour lensemble des camras mobiles utilises par les autorits
publiques, quil sagisse de camras embarques sur des vhicules par exemple ou encore de drones.
Pour des raisons diverses, lensemble des garanties prvues par le lgislateur sagissant des camras
filmant la voie publique semble difficilement applicable de tels dispositifs. Leur utilisation croissante
soulve ds lors des enjeux importants en matire de vie prive quil importe de mieux prendre en
compte.
QUEL ENCADREMENT PRVOIR POUR LES CAMRAS EMBARQUES ?

Dans ce contexte, la CNIL estime
quun encadrement lgal, spcifique et
adapt de tels dispositifs, est ncessaire.
Un tel encadrement doit tre de nature
lgislative : seule la loi peut en effet fixer
les rgles concernant les garanties fondamentales accordes aux citoyens pour
lexercice des liberts, au titre desquelles
figure le droit au respect de la vie prive. Lintervention du lgislateur semble
donc ncessaire, linstar de ce qui a
t fait au milieu des annes 90 dans le
cadre du dveloppement des camras de

vidosurveillance, afin de concilier, sous
le contrle du Conseil constitutionnel, le
respect de la vie prive et la sauvegarde de
lordre public et la recherche des auteurs
dinfractions.
Un encadrement qui doit tre

de nature lgislative
Ce cadre juridique devrait en premier
lieu prciser les finalits exactes de ces
dispositifs. En effet, les camras-pitons,
la diffrence des camras de vidoprotection classiques, ne sont pas utilises

comme des instruments de surveillance
continue. Ils visent prvenir les incidents susceptibles de survenir au cours
des interventions des agents de la police
et de la gendarmerie nationales, par leur
effet modrateur, et dterminer les circonstances de tels incidents, en permettant lutilisation des enregistrements des
fins probatoires dans le cadre de procdures engages lencontre de ces agents
19
20
ou de la personne filme. Le dploiement de ces dispositifs entend donc

principalement rpondre un besoin de
scurisation physique et juridique des
interventions des agents de la police et
de la gendarmerie nationales.
Ces objectifs, qui se distinguent de
ceux prvus par le code de la scurit
intrieure, devraient donc tre clairement
tablis dans la loi, de mme que toute
autre finalit envisage pour les camras-pitons, comme par exemple leur
utilisation des fins pdagogiques et de
formation. En consquence, ce cadre juridique devrait galement dfinir les catgories de personnes pouvant utiliser ces
dispositifs.
En deuxime lieu, le cadre juridique
devrait prciser les lieux dans lesquels
ces enregistrements pourraient intervenir, le cadre juridique permettant ces
enregistrements ainsi que les catgories
de donnes susceptibles dtre collectes.
Ainsi, la possibilit de procder des
enregistrements audio, non prvue par
le CSI mais qui peut tre ncessaire au
vu des objectifs poursuivis, devrait tre
expressment prvue. Elle impose nan-
moins, du fait de son caractre davantage

intrusif que le seul enregistrement visuel,
des mesures de confidentialit stricte des
enregistrements.
Le primtre exact de mise en uvre
des dispositifs de camras individuelles
devrait galement tre prcis, et notamment la dtermination des lieux dans lesquels les interventions des agents de la
police et de la gendarmerie nationales
pourraient permettre de tels enregistrements. Sil est envisageable, au vu des
finalits assignes ces camras, que
toute intervention soit concerne, sans
distinction du caractre public ou priv
du lieu en cause, un tel champ dapplication exigerait la mise en uvre de fortes
garanties, juridiques et techniques, afin
dassurer la proportionnalit du dispositif,
tout particulirement si cette captation de
donnes est autorise au sein de domiciles
privs dans le cadre dinterventions des
forces de scurit.
Cest pourquoi lencadrement juridique
de ces dispositifs devrait prvoir, en troisime lieu, des mesures permettant de
sassurer dune utilisation strictement
conforme ces caractristiques. Ainsi,
ces camras ne devraient pas procder

des enregistrements permanents mais
devraient uniquement pouvoir tre actives dans certaines circonstances. Les
agents du ministre de lintrieur devraient
en outre disposer de lignes directrices
claires, dans le cadre dune doctrine
demploi, par exemple, dont le respect
devra tre strictement contrl, quant
aux circonstances permettant lactivation
de leurs camras. Ces rgles devraient
rserver un sort particulier aux enregistrements raliss au sein des domiciles
privs, que seules certaines circonstances
imprieuses devraient autoriser.
Dans la mesure o les enregistrements
doivent uniquement permettre de disposer de preuves en cas dinfraction ou de
manquement, seule louverture dune
procdure judiciaire, administrative ou
disciplinaire ncessitant de consulter
ces enregistrements devrait permettre
lexploitation de ces vidos.
De mme, lutilisation des enregistrements des fins de formation des agents
commande la suppression de tout lment permettant lidentification directe
ou indirecte des personnes filmes, qui
BILAN DACTIVIT
napparat pas ncessaire dans ce cadre.

Des procds de floutage des visages et
de dformation du son devraient ds lors
tre mis en uvre.
Les droits des personnes doivent galement faire lobjet dune attention toute
particulire. Tout comme pour les camras de vidoprotection, le principe de
transparence lgard du public doit tre
la rgle, et ce dautant plus que lutilisation des camras-pitons a notamment
pour objet de prvenir tout incident en
apaisant les tensions qui peuvent survenir
loccasion de certaines interventions.
Plusieurs mesures pourraient tre
prvues pour assurer cette transparence.
Linformation des personnes concernes
sur lenregistrement dont elles font lobjet doit ainsi tre obligatoire. Le recours
des signaux visuels spcifiques, permettant la personne filme de prendre
conscience quelle est effectivement enregistre, devrait galement tre privilgi.
En outre, le public devrait pouvoir accder
directement aux enregistrements qui le
concernent, dans les mmes conditions
que celles qui prvalent pour les camras
de vidoprotection.
Des mesures de scurit devraient
galement garantir labsence de visualisation des enregistrements avant louverture
de toute procdure, la traabilit totale
des consultations de ces enregistrements,
ainsi que lintgrit de ces derniers, de
lactivation de la camra lexploitation

des images collectes.
Enfin, des mesures de contrle de
lensemble de ces dispositions devraient
tre prvues. Dans la mesure o seront
collectes par lintermdiaire de ces dispositifs de nombreuses donnes personnelles, dont certaines touchant lintimit
de la vie prive, il semble naturel que leur
mise en uvre soit soumise au contrle
a posteriori de la Commission, qui dispose dj de telles prrogatives pour les
camras de vidoprotection comme pout
tout traitement de donnes caractre
personnel.
Ces analyses de la CNIL concernant

les camras-pitons utilises par les
agents de police et de gendarmerie ont
t transmises au ministre de lintrieur lt 2015. Le ministre a suivi le
raisonnement de la Commission sagissant de la ncessit dun cadre lgislatif
ad hoc pour encadrer la mise en uvre
de ces dispositifs et sest engag prvoir plusieurs des garanties identifies
par la Commission.
Cet encadrement lgislatif est essentiel. En effet, la prservation du droit
fondamental la protection des donnes
personnelles constitue non seulement une
obligation juridique, mais galement une
condition dacceptabilit, par les citoyens,
de ces nouvelles camras. Il importe ds
lors que le cadre juridique applicable
ces dispositifs concilie efficacement les
diffrents intrts en cause.
La Commission aura en tout tat de
cause loccasion de prciser ses analyses
dans le cadre de son avis sur le projet de
dcret dapplication de ces dispositions
lgislatives. Elle aura en outre la possibilit de contrler et de sanctionner tout
manquement ce cadre.
DERNIRE MINUTE
QUEL AVENIR POUR LES CAMRAS-PITONS ?

Le projet de loi renforant
la lutte contre le crime organis,
le terrorisme et leur financement
et amliorant lefficacit et
les garanties de la procdure pnale
Ce projet de loi, dpos le 3 fvrier 2016, contient des dispositions
spcifiques relatives aux camras-pitons (article 32 du projet
de loi), qui reprennent plusieurs des garanties demandes par la
CNIL. Par exemple, labsence denregistrement permanent des
interventions, linformation des personnes filmes et limpossibilit,
pour les personnels dots de ces camras individuelles, daccder
directement aux enregistrements sont expressment prvus
dans le projet de loi. Celui-ci prvoit en outre que les modalits
dapplication de ces dispositions sont fixes par dcret en Conseil
dEtat pris aprs de la Commission.
La prservation du droit fondamental

la protection des donnes personnelles
constitue une condition dacceptabilit,
par les citoyens, de ces nouvelles
camras.
21
22
Comment concilier
et libert de la presse ?
Lapplication de la loi
Informatique et Liberts
aux traitements journalistiques rsulte de linformatisation de lensemble de la chane de production de linformation,
de la rdaction dun
article sa diffusion. Elle
rsulte aussi de la volont
expresse du lgislateur
qui, tout en amnageant un rgime drogatoire propre, na pas souhait exclure
compltement cette activit du champ de la loi. Il convient ainsi de trouver un juste
quilibre entre libert de la presse et protection des donnes.
DES LIENS ANCIENS

La question de larticulation entre la
protection des donnes et lactivit des
organes de presse a t aborde ds les
travaux parlementaires relatifs la future
loi Informatique et Liberts. Interrog lors
de la sance publique du 5 octobre 1977,
le rapporteur du projet de loi a en effet
soulign quil ny avait pas doubli sur ce
point : Cest une question dlicate sur
laquelle le Gouvernement estime que nul
nest mieux plac que vous-mmes pour
se prononcer. Nous avons donc dcid
de nous en remettre sur ce point la
sagesse du Parlement. Vous reprsentez,
mesdames, messieurs les dputs, toutes
les nuances des opinions politiques franaises. Cest vous quil appartient lgitimement de trancher cette question. .
Aujourdhui pour linformatique,

comme hier pour la presse, les choses
vont vite. De mme que le droit sur la
libert de la presse ne se prsentait plus
du tout dans les mmes conditions aprs
linvention des rotatives en 1867 que
sous la Rvolution franaise, de mme,
aujourdhui, le droit de linformatique
doit tenir compte de lvolution de la
technique depuis une trentaine dannes.
Jean FOYER,
rapporteur du projet de loi relatif linformatique
et aux liberts devant lAssemble Nationale
5 octobre 1977
BILAN DACTIVIT
UNE APPLICATION ADAPTE DS LORIGINE

Le lgislateur a donc dcid dappliquer la loi du 6 janvier 1978 la presse
crite et audiovisuelle, tout en prvoyant
les ncessaires amnagements dicts par
la spcificit du secteur.
Il a ainsi adopt une position mdiane
en Europe, mi-chemin des pays ayant
choisi de ne pas appliquer leur loi de
protection des donnes aux organes
de presse et ceux qui, linverse,
avaient fait le choix de la leur appliquer
intgralement.
Les organes de presse installs en France

nont donc pas t soumis, et ce ds
lorigine, :
linterdiction de traiter informatiquement les donnes dites sensibles (origines
raciales ou ethniques, opinions politiques,
philosophiques et religieuses, appartenances syndicales, murs) ;
la limitation du traitement des infractions, condamnations et mesures de
sret ;
lencadrement des transferts de donnes dun pays vers lautre.
Cependant, lobligation dinformation pralable la mise en uvre dun

traitement, lobligation de choisir et de
respecter une dure de conservation des
donnes traites et la possibilit dexercer les droits dopposition, daccs, de
rectification et de suppression nont pas
t carts.
Par ailleurs, le lgislateur de 1978
a subordonn lapplication du rgime
dexception deux conditions : que les
donnes considres soient traites par
les organes de presse dans le cadre des
lois qui les rgissent et dans les seuls
cas o leur application aurait pour
effet de limiter lexercice de la libert
dexpression .
DES AMNAGEMENTS COMPLMENTAIRES PROMUS PAR LA CNIL

Cest lissue dune mission dinformation mene en 1994 dans les locaux du
Figaro que la CNIL a pris conscience des
difficults que pouvait poser lapplication
de la loi la presse et, notamment, que
lexercice des droits reconnus aux personnes par la loi avant publication pouvait
conduire une forme de censure.
La Commission a donc engag de sa
propre initiative des travaux pour fixer des
lignes directrices conciliant protection des
donnes et libert de la presse.
lissue dune srie dauditions et
de visites sur place dans lensemble de
lHexagone, la Commission a adopt le 24
janvier 1995 une recommandation relative aux traitements journalistiques et
rdactionnels des donnes personnelles
par les organismes de la presse crite ou

audiovisuelle .
La CNIL y mettait en avant trois
prconisations :
ladoption de mesures techniques
particulires destines prserver la
scurit des donnes traites ;
la mise en place systmatique dun
lien informatique entre larticle faisant
lobjet dune rectification, dun droit de
rponse ou dune dcision judiciaire dfinitive et les prcisions apportes ;1
la dsignation dun correspondant
de la CNIL, charg de lapplication de
la recommandation au sein de chaque
organe de presse.
Cette premire initiative a t complte, en 2001, par une seconde
recommandation concernant plus spcifiquement les chroniques judiciaires

diffuses en ligne. La CNIL mettait
notamment le souhait quune rflexion
dontologique puisse tre entame ou
se poursuivre, linitiative des organes de
presse et en concertation avec la CNIL,
dans le souci de mnager la vie prive et
la rputation des personnes concernes
lorsque, en tout cas, la libert dinformation ne parat pas ncessiter quelles
soient cites nominativement .
1 Cette prconisation a dailleurs t impose le 25 juin
2009 par le tribunal de grande instance de Paris qui,
dans une ordonnance de rfr, a ordonn lditeur
dun site web de prendre toute mesure propre assurer
que la consultation en ligne dun article depuis son fonds
darchives saccompagne dun texte joint qui devra tre
immdiatement accessible par lien hypertexte, depuis la
page consulte , au titre du droit de suite .
UN RENFORCEMENT DU RGIME DROGATOIRE EN 2004

Larticle 67 de la loi Informatique et
Liberts, cr par la loi du 6 aot 2004
la suite de la transposition de la directive
europenne du 24 octobre 1995 sur la
protection des donnes, a largi le nombre
de dispositions de la loi ne sappliquant
pas aux traitements journalistiques.
Aux trois exceptions dj prvues en
1978 se sont effet ajoutes :
la possibilit de traiter les donnes

sans limitation de dure ;
labsence dobligation dinformation
des intresss ;
lexclusion des droits daccs, de rectification et de suppression.
En dpit de ces dispositions explicites, lapplication la presse de la loi
Informatique et Liberts et, notamment,
du droit dopposition aux organes de

presse a pu tre conteste au motif que
les ventuelles atteintes la libert de la
presse, constitutionnellement protge,
doivent ncessairement bnficier des
garanties institues par la loi du 29 juillet 1881 (formalisme des demandes et
des actes de procdure, dlais de rigueur,
prescriptions courtes, etc.). Toutefois, les
23
organes de presse ne sont pas soumis

cette seule loi, mais galement des
dispositions diverses, telles que larticle
9 du code civil, certaines dispositions du
code pnal, ou encore larticle 6 de la loi
pour la confiance dans lconomie numrique. Larticle 67 de la loi Informatique et
Liberts se borne rappeler que le droit
dopposition pour motifs lgitimes est un
outil juridique parmi dautres.3
Enfin, il convient de rappeler ce stade
que, lorsque la CNIL intervient lappui
dune demande dopposition, ce nest
pas pour obtenir le retrait de larticle
concern, mais pour sassurer que la
demande sera bien examine et quelle
fera lobjet dune rponse motive, ainsi
que le prvoit les textes applicables.
RETENIR
24
En dfinitive, et depuis la modification de la loi Informatique

et Liberts en aot 2004, restent seulement applicables aux
organes de presse :
lobligation de mise jour, prvue par larticle 6 de la loi ;2
le respect du droit dopposition pour motifs lgitimes,
prvu par larticle 38 de la loi ;
lobligation de dclaration des fichiers informatiss,
sauf si lorgane de presse dsigne un correspondant
informatique et liberts .
2 Rejoignant par l larticle 13 de la loi du 29 juillet 1881 modifie qui offre une possibilit particulire de
mise jour la personne mise hors de cause dans une procdure pnale, la charte europenne des devoirs
et des droits des journalistes, qui rappelle lobligation de rectifier toute information publie qui se rvle
inexacte et la charte dthique professionnelle des journalistes adopte par le Syndicat National des Journalistes,
qui indique quun journaliste digne de ce nom dispose dun droit de suite, qui est aussi un devoir, sur les
informations quil diffuse et fait en sorte de rectifier rapidement toute information diffuse qui se rvlerait
inexacte. .
3 Selon lexpos des motifs du projet de loi modifiant la loi du 6 janvier 1978 prsent par Madame Marylise
LEBRANCHU, Garde des sceaux, ministre de la Justice, cette disposition rappelle que les drogations la loi
du 6 janvier 1978 applicables aux traitements journalistiques ne font pas obstacle lapplication des
dispositions civiles et pnales ayant pour objet la protection de la vie prive, ainsi que la protection des
personnes contre les atteintes leur rputation .
LEXERCICE DU DROIT DOPPOSITION

Une personne cite dans un article
de presse en ligne peut donc sopposer,
pour des motifs lgitimes, la diffusion
des donnes le concernant (en pratique,
son identit complte). Elle ne peut en
revanche demander la rectification ou la
suppression de larticle en se fondant sur
la loi Informatique et Liberts, qui exclut
cette possibilit depuis 2004.
Cette demande dopposition doit tre
accompagne dun justificatif didentit et
tre motive au regard, par exemple, du
temps coul depuis la premire diffusion
de larticle (notion dactualit), des consquences de cette diffusion sur le demandeur (rinsertion, recherche demploi,
scurit personnelle), etc.
Lorgane de presse saisi doit rpondre,
positivement ou ngativement, dans un
dlai de deux mois.
Si la demande dopposition est incomplte (adresse, justificatif didentit) ou
imprcise (article concern, motifs de la
demande), lorgane saisi doit inviter le
demandeur les lui fournir en prcisant en

quoi ces lments complmentaires sont
ncessaire au traitement de sa demande.
Si lorgane de presse, considrant les
motifs invoqus comme lgitimes, choisit
de faire droit une demande dopposition,
il peut, en pratique, anonymiser larticle
concern, dsindexer volontairement la
page web correspondante4 ou le supprimer de son site web ou de ses archives
en ligne. Il nappartient pas la CNIL
dimposer lune de ces solutions, mais
lorgane de presse de recourir celle
qui lui semble la plus adapte eu gard
la situation.
Lanonymisation dun article implique
de signaler aux moteurs de recherche
(signalement dun lien prim ) la
modification effectue afin que lidentit
complte du demandeur, disparue de larticle, napparaisse plus dans les rsultats
dune interrogation au moyen dun moteur
de recherche.
Un organisme qui refuse de faire
droit une demande dopposition doit

motiver sa dcision au regard des raisons
invoques par le demandeur lappui de
sa demande. En effet, tant la demande
dopposition de la personne que lventuel
refus de lorgane de presse ne peuvent
reposer sur des motifs gnraux (atteinte
la rputation, la vie prive ou droit
loubli sans plus de dtail pour les
personnes / libert de la presse, respect
du travail accompli pour les organes de
presse).
4 La dsindexation volontaire dune page web par le responsable du site web considr na pas les mmes effets que le drfrencement dun rsultat de recherche par un moteur
de recherche. Dans le premier cas, cest lensemble des informations diffuses par lintermdiaire de la page web en question ; dans le second, seul un rsultat apparaissant sur
des critres dfinis ne figurera plus dans les rsultats dune recherche utilisant ces critres (imaginons, par exemple, que M. Roger Cuniculi, leveur de lapins Rambouillet,
obtienne le drfrencement du rsultat apparaissant sur interrogation de son identit ; linformation reste nanmoins accessible si lon utilise dautres critres de recherche
notamment ici leveur + lapin + Rambouillet . Dans lhypothse dune dsindexation volontaire de la page web correspondante, il ne serait pas possible daccder
linformation, quels que soient les critres de recherche utiliss.).
BILAN DACTIVIT
LES DIFFICULTS RENCONTRES

Alors que les plaintes concernant les
organes de presse sont en augmentation
constante depuis quelques annes (cf.
encadr), la CNIL est parfois confronte
des difficults, de nature diverse, dans
leur instruction :
labsence de rponse : si le silence
de lorgane de presse pendant deux mois
est constitutif dun refus la demande
dopposition la Commission prconise
dindiquer, a minima, au demandeur les
motifs de ce refus.
Dans tous les cas, les organes de
presse ne sont pas dispenss de rpondre
la Commission lorsquelle intervient
lappui dune demande dopposition.
Il en est de mme des rponses qui
se contentent dindiquer aux plaignants
que leur demande ne peut tre examine
car elle nest pas conforme aux conditions
poses par les textes en vigueur (cf. plus
haut).
Comme on la vu, cest lorgane de
presse saisi dinviter le demandeur com-
plter sa requte.
les refus mal fonds : certains
organes de presse considrent quils
relvent exclusivement du droit de la
presse et refusent de faire droit aux
demandes dopposition dont ils sont saisis en arguant, par exemple, que la loi
informatique et liberts ne leur est pas
applicable, quun site web nest pas un
traitement ou que la loi prvoit un rgime
drogatoire pour les archives de presse.
Or, comme rappel plus haut, cest
volontairement que le lgislateur na pas
cart lapplication du droit dopposition
pour motifs lgitimes aux traitements
journalistiques.
Certains organes de presse refusent
aussi de faire droit aux demandes dont
ils sont saisis par un simple courrier strotyp, sans examen au fond des motifs
invoqus. Or, leur refus doit tre motiv
ds lors que la demande nest pas abusive.
La CNIL a ainsi d adopter une mise en
demeure lgard dun organe de presse
qui adressait la mme lettre-type de refus

tous les demandeurs.
la lourdeur de dmarches : dans certains cas, des articles anonymiss restent
rfrencs de faon nominative par les
moteurs de recherche. Une recherche
effectue sur la base de lidentit du plaignant renvoie donc toujours vers larticle
en cause.
Une demande dopposition accepte
par un organe de presse ne peut produire
tous ses effets que si larticle anonymis
ou supprim fait lobjet dun signalement
volontaire aux moteurs de recherche afin
que la page web correspondante soit
indexe dans sa version modifie.
Ainsi, un journal qui fait droit la
demande dune personne doit sassurer
quaucune recherche sur la base de son
identit ne permette de renvoyer vers larticle anonymis ou dsindex.
Si le nombre de plaintes a augment, la
CNIL relve toutefois que la multiplication
des contacts avec les organes de presse
a permis une trs sensible amlioration
du traitement des demandes dopposition
formules par des personnes auprs des
organes de presse.
LINSTAURATION DU DROIT AU DRFRENCEMENT

ET SES CONSQUENCES
La reconnaissance, en mai 2014,
du droit au drfrencement a modifi
lquilibre et provoqu une certaine confusion dans lutilisation des outils juridiques
disponibles.
En effet, la dsindexation de la page
web concerne tait souvent utilise, plutt que la suppression ou lanonymisation
de larticle. Cette solution permettait de
ne pas modifier larticle, qui tait toujours diffus sur le site web de lorgane
de presse ; elle satisfaisait le plaignant,
larticle ne figurant plus dans les rsultats
dune recherche effectue sur son identit
complte.
Or, la reconnaissance du droit au drfrencement a pu donner limpression que
cette nouvelle procdure se substituait
lexercice du droit dopposition auprs des
organes de presse.
Pourtant, cette voie juridique nouvelle

na aucune incidence sur la possibilit pour
le plaignant dexercer son droit dopposition ou sur la qualit de responsable
de traitement des organes de presse. La
Cour de justice de lUnion europenne a en
effet explicitement jug que ces deux voies
daction taient ouvertes paralllement. En
effet, si les personnes sont dsormais en
mesure de solliciter le drfrencement
des pages contenant des informations
les concernant directement auprs des
moteurs de recherche, cela nexonre
cependant pas les organes de presse, en
tant que responsable de traitement, de
donner suite aux demandes qui leurs sont
adresses sur le fondement de larticle 38
de la loi Informatique et Liberts.
Ainsi, sur les 132 plaintes concernant
des articles de presse adresses en 2015
la CNIL, 75 % portaient sur des difficults dans lexercice du droit dopposition,

8 % portaient sur des demandes de drfrencement5 et 16 % portaient sur ces
deux aspects.6
En outre, si le droit dopposition et le
droit au drfrencement se ressemblent,
leurs effets sont diffrents : le premier permet dobtenir la suppression la source
dune information diffuse en ligne et
lautre permet uniquement dobtenir la
suppression dun rsultat dune recherche
effectue sur lidentit dune personne.
132
PLAINTES REUES EN 2015

CONCERNANT DES ARTICLES
DE PRESSE
5 Le dernier pour cent concerne une interrogation gnrale sur droit dopposition et droit au drfrencement.
6 Certains plaignants justifient leur demande de drfrencement par lignorance que leurs propos ou leur photographe seraient diffuss en ligne ou diffuss de faon nominative.
25
LE BILAN DES AUDITIONS MENES EN 2015

La CNIL a organis, au printemps
2015, laudition de diffrents reprsentants
dhebdomadaires, de quotidiens rgionaux
et nationaux, quils soient sur divers supports ou tout en ligne .
Ces rencontres visaient mieux
connatre les pratiques des organes de
presse en matire de gestion des demandes
dopposition et leur prsenter les critres
danalyse des demandes de drfrencement dgags par le G 29 (autorits europennes de protection des donnes).
Les professionnels invits ont ainsi pu
LES INITIATIVES
ENVISAGES
lissue de ces auditions, la
Commission a dcid de poursuivre ses
efforts de conciliation de la libert de la
presse et de la protection des donnes,
en concertation avec les professionnels
du secteur.
Dans ce but, la Commission sapprte
communiquer sur le bilan des auditions
menes en 2015 et diffuser deux fiches
pratiques Comment exercer son droit
dopposition et Comment rpondre
une demande dopposition destination
du grand public et des organes de presse.
De mme, elle organisera, destination des organes de presse, une journe
dinformation et dchanges sur les modalits de traitement des demandes dopposition (forme des demandes, possibilits
de rponse, rle de la CNIL, consquence
dune rponse positive, etc.) et le droit
au drfrencement (acteurs, effets, critres, etc.).
Enfin, elle proposera aux organes de
presse un accompagnement juridique dans
le traitement des demandes dopposition
qui leur sont adresses directement et
envisage une mise jour de la recommandation du 21 janvier 1995.
dresser un tat des demandes dont ils sont

saisis et faire part de leurs difficults et
inquitudes. Ils ont notamment soulign
quils :
reoivent de plus en plus de demandes
dopposition, qui concernent des contenus
de plus en plus varis (articles, mais galement rsultats du baccalaurat ou dlection, voire diffusion de photographies) ;
souffrent dun manque de moyens
matriels et humains qui ne leur permet pas un traitement satisfaisant de
ces demandes qui ne font, par ailleurs,
INFO +
26
lobjet daucune procdure ou de critres

prdfinis ;
souhaiteraient tre mieux informs
des drfrencements oprs par les
moteurs de recherche afin de pouvoir, le
cas chant, les contester ;
craignent que ce droit limite la visibilit de leurs contenus et ne soit utilis
comme un moyen de contourner le formalisme et les dlais courts de la loi sur la
libert de la presse (laction en diffamation
est enferme dans un dlai de trois mois,
par exemple - cf. plus haut).
Des plaintes en augmentation

Depuis le 7 janvier 1978, la CNIL a reu 785 plaintes
concernant la presse.
Prs de 90 % dentre elles lui ont t adresses dans les cinq
dernires annes et elle en a reu 356 (soit plus de 45 %
de lensemble) au cours des deux dernires annes.
Le nombre de plaintes concernant des organes de presse et,
tout particulirement, les articles diffuss par lintermdiaire
de leur site web connat ainsi une augmentation quasi
constante depuis quelques annes : 35 en 2010, 55 en 2011,
98 en 2012, 149 en 2013, 224 en 2014 et 132 en 2015. La
diminution en 2015 doit tre rapproche de laugmentation
du nombre de demandes de drfrencement, mais pourrait
aussi sexpliquer par une plus grande habitude des organes
de presse de traiter les demandes dopposition qui leur
parviennent.
Ces chiffres ne sont pas importants au regard du nombre
total de plaintes reues annuellement par la CNIL (7900
en 2015), mais ils mettent en lumire un recours croissant
au droit dopposition pour motifs lgitimes et au droit au
drfrencement (cf. ci-dessous) lgard des articles de
presse diffuss en ligne. Compte tenu de limportance de la
conciliation entre protection de la vie prive et droit de la
presse, ils justifient une action daccompagnement particulire
de la CNIL
BILAN DACTIVIT
Typologie des plaintes : objet de larticle concern

Les 132 plaintes reues en 2015 se rpartissent de la faon suivante :
OBJET DE LARTICLE
PLAINTES
PROPORTION
Chroniques judiciaires (procs, condamnations, etc.)
55
42 %
Mise en cause judiciaire (rumeur, enqute, tmoin, instruction, etc.)
19
14 %
Faits divers
10
8%
Prise de position publique (grve de la faim, appel au boycott,

critique du gouvernement, dfense dun homme politique, etc.)
6%
vnement de la vie (mariage, dcs, etc.)
5%
Vie professionnelle (volution, changement de mtier, cumul, etc.)
5%
lections (rsultats, photo et ge de candidats)
4%
Actualit sociale et syndicale (lection, procs, manifestation, etc.)
4%
Actualit conomique (liquidation, interview, etc.)
3%
Information factuelle (activit dun centre de loisirs, etc.)
3%
Faits de socit (garde parentale, mal logs, mammectomie, etc.)
3%
Parcours scolaire ou universitaire
2%
Photographie juge peu valorisante

Total
1%
132
100 %
Cette typologie rejoint celle des organes de presse auditionns au dbut de lanne 2015. On constatera que les trois premires
catgories ( chroniques judiciaires , mise en cause judiciaire et faits divers ) rassemblent presque 64 % des motifs de saisines
concernant la presse. On soulignera aussi que certaines plaintes portent sur des articles pouvant entrer dans plusieurs des catgories cidessus (portrait voquant la fois le parcours professionnel et la vie prive, candidat une lection prenant une position publique, etc.).
Histoires vcues
Un ancien mdiateur pnal est mis
en cause, en 2001, dans une affaire
pnale ; un quotidien rgional relate
ses dboires et se fait lcho de
ses protestations dinnocence.
En 2013, deux articles de 2001 et
2002 sont toujours diffuss en ligne.
Le plaignant exerce alors son droit
dopposition auprs du quotidien,
en mettant en avant lanciennet
des faits et latteinte son honneur
du fait dune dcision en sa faveur
rendue en appel. Le quotidien lui
rpond que sa demande nest pas
conforme aux textes en vigueur et
lui demande une copie de larrt

dappel. Les articles tant toujours
en ligne en 2015 malgr lenvoi de
larrt, lintress saisit la CNIL,
qui intervient auprs du quotidien.
Ce dernier a procd au retrait et au
drfrencement des deux articles.
Une personne, prsente dans le
vhicule dun membre dune famille
royale europenne, est lorigine
dun incident avec les nombreux
journalistes suivant lvnement.
Lincident est videmment relay
par de nombreux mdias.
La personne demande le
drfrencement des liens
hypertextes pointant vers les
divers articles, mais essuie un
refus. Il saisit alors la CNIL dune
plainte. Aprs instruction,
la Commission a refus dintervenir
lappui de sa demande aux motifs
que cet incident rcent est
intervenu dans lespace public,
sinscrivant dans le contexte de
votre relation avec une personne
jouant un rle dans la vie publique.
En outre, le rcit de cet incident a t
effectu des fins journalistiques. .
27
28
La protection des donnes

personnelles au cur
de la cyberscurit
Cyberscurit et protection de la vie prive ne sont plus dissociables. Pour amliorer
la confiance dans lcosystme numrique, le rle de la CNIL est dsormais autant
daccompagner directement les responsables de traitements et le grand public dans
lamlioration de la scurit des systmes et rseaux, que de promouvoir les bonnes
pratiques de scurit en France et linternational.
LA CYBERSCURIT
AU CUR DE LACTION
DE LA CNIL
Lanne 2015 fut marque par de
nombreux changements dans lcosystme du numrique et de la cyberscurit :
le cloud computing, les objets connects et le big data ont pris de lampleur ;
le paysage lgal a volu avec la loi de
programmation militaire et la loi relative
au renseignement ; le nombre de cyberattaques a encore progress ; les violations de donnes se sont multiplies
(Uber, Anthem, Ashley Madison) et le
nombre de donnes concernes se sont
souvent comptes en dizaine de millions.
Comment, dans ce contexte, instaurer la confiance des partenaires et des
internautes pour accompagner linnovation numrique ? Les efforts en matire
de scurit devront tre non seulement
poursuivis, mais aussi adapts.
Le besoin dintgrer
la cyberscurit et la
Le respect de la vie prive est au cur
du dveloppement du numrique. Il en
est de mme de la prise en compte de
la scurit des systmes dinformation,
permettant dassurer notamment la rsilience des infrastructures.
Les notions de scurit et de protection de la vie prive sont aujourdhui

indissociables. De mme quil nest plus
envisageable aujourdhui de dvelopper
un service sans prendre en compte la
dimension scurit, la confiance dans le
monde du numrique passe notamment,
comme la rappel le Premier Ministre lors
de la prsentation de la stratgie nationale pour la scurit du numrique, par la
prise en compte et le respect des notions
de vie prive et de protection des donnes
caractre personnel.
Les notions
de scurit et
de protection
de la vie prive
sont aujourdhui
indissociables.
INFO +
BILAN DACTIVIT
Les rgles de
base de scurit
la mise en uvre de
solutions de scurisation
des flux et des donnes
stockes,
le cloisonnement
des environnements
en fonction de leur
sensibilit et des donnes
qui y sont traites(le
rseau WiFi ouvert
aux clients ne doit par
exemple pas tre connect
au rseau bureautique
ou de production de
lentreprise),
la gestion des
habilitations permettant
de limiter laccs des
donnes aux seules
personnes autorises,
la contractualisation
de la scurit dans la
relation avec les tiers.
De nombreuses violations de donnes

caractre personnel continuent davoir
lieu. Or, leur occurrence aurait pu tre
vite ou, tout le moins, leurs consquences auraient pu tre rduites, par
la mise en uvre et le respect de rgles
simples de scurit. Si tout le monde
saccorde sur le fait quil est illusoire
desprer atteindre un niveau absolu de
scurisation, il parat inconcevable que
ce premier niveau de scurit ne soit pas
respect.
Les objets qui nous entourent
deviennent de plus en plus autonomes,
intelligents et traitent toujours plus de
donnes. Dans ce contexte, la cybercriminalit se dveloppe, ne ciblant plus
uniquement les grandes entreprises, mais

visant dsormais les petites structures ou
les individus eux-mmes. Lomniprsence
du phnomne cybercriminel sur Internet
ncessite la mise en uvre de solutions
de scurit toujours plus pousses, dans
le respect de la protection de la vie prive, afin de dceler les fraudes ou les
attaques. La dtection devient un lment fondamental de la protection des
entreprises, des institutions et des utilisateurs en gnral.
En consquence, dans lintrt de
lcosystme du numrique et des personnes qui le composent, des rgles de
transparence et dinformation doivent
tre instaures, sappuyant sur ces nouvelles solutions de scurit. Ces dernires
doivent tre mises en uvre pour garantir
la protection des individus derrire les
donnes.
Le rle de la CNIL en matire

de cyberscurit
La CNIL aide construire la
confiance dans lenvironnement numrique. Elle est charge, en vertu de larticle 34 de la loi Informatique et Liberts,
de sassurer que les entits qui traitent
des donnes personnelles le font dans
des conditions de scurit optimale.
ce titre, elle mne plusieurs actions :
travers ses missions (conseil, formalits, contrles, sanctions) la CNIL veille
au niveau de scurit mis en place par les
organismes dans les systmes et rseaux.
Elle accompagne galement lvolution
du cadre juridique (participation au
dbat sur le rglement protection des
donnes, rglement eIDAS sur lidentit
lectronique, loi pour une Rpublique
Numrique). Elle participe activement
plusieurs groupes de travail spcialiss en
scurit de linformation runissant des
experts issus dhorizons multiples (Club
EBIOS, Club des experts de la scurit
La prise en compte de la scurit

doit tre au centre de nos proccupations
pour protger les citoyens, les clients,
les socits, et lcosystme du numrique
dans son ensemble.
de linformation et du numrique). Elle

est enfin trs active dans le domaine de
la sensibilisation, notamment travers
son action dans le domaine de lducation
au numrique.
La CNIL propose des solutions
techniques aux responsables de traitements et au grand public. En matire
de scurit, elle publie notamment des
guides, fiches pratiques et recommandations pour aider les entreprises et les
citoyens adopter les bonnes pratiques
et ainsi se protger des risques. Elle
se prononce sur les mesures de scurit
mises en uvre par les responsables de
traitement, les accompagne dans leurs
choix et les conseille. Elle dveloppe aussi
la labellisation de procdures ou de produits (ex : coffre-fort lectronique, label
gouvernance).
La CNIL apporte une assistance aux
victimes dactes de cybermalveillance.
Dune part, elle reoit des plaintes, dans
tous les domaines lis aux nouvelles technologies et apporte une assistance aux
victimes par exemple en les rorientant
vers les services comptents (police,
parquet). Dautre part, elle reoit les
notifications de violations de donnes
caractre personnel, permettant ainsi aux
personnes concernes dtre prvenues
et de prendre les mesures appropries.
Elle est galement partenaire de Signal
spam et peut notamment tre amene
contrler des entreprises identifies par
Signal spam.
La CNIL porte les valeurs de la
France au sein du G29 et dautres instances internationales qui travaillent sur
la scurit et les nouvelles technologies
(OCDE, ISO, groupe de Berlin, Confrence
internationale des commissaires). Elle a
ainsi dit la principale norme en scurit
de linformation lISO (ISO/IEC 27001),
a contribu aux travaux europens pour
dfinir les mesures de scurit pour les
smart grids, a reprsent le G29 dans
lun des groupes permanents conseillant
lENISA (lagence europenne de scurit), et a fourni des recommandations
techniques, au niveau national ou europen, dans diffrents domaines lis aux
nouvelles technologies (cloud computing,
internet des objets, etc.) Elle ralise aussi
des actions de rgulation visant les grands
acteurs de linternet, promouvant ainsi les
valeurs europennes.
29
30
Vers le Privacy by design

La mise en uvre de la scurit doit
passer par une prise en compte ds llaboration du projet et doit suivre tout le
cycle de vie de la donne. Il en va de
mme pour la protection de cette dernire
au sens de la vie prive.
Cela passe par la mise en uvre dun
dialogue entre les mtiers et la direction
des systmes dinformation, et par la
comprhension mutuelle des enjeux
associs ces dveloppements.
Idalement, cette rflexion sera mene
le plus tt possible, ds la conception des
projets (notion de privacy by design ).
LTUDE DIMPACT SUR LA VIE PRIVE : UN NOUVEL OUTIL

POUR BTIR ET DMONTRER SA CONFORMIT
Pour aider les TPE et PME prendre
toutes prcautions utiles, au regard de la
nature des donnes et des risques prsents par le traitement, pour prserver
la scurit des donnes (article 34 de
la loi informatique et liberts), la CNIL a
publi en 2010 un premier guide intitul
La scurit des donnes personnelle .
Celui-ci prsente les prcautions lmentaires mettre en place pour sassurer de
la scurit dun traitement.
En juin 2012, la CNIL a mis en ligne
un guide de gestion des risques sur la
vie prive pour les traitements complexes
ou aux risques levs. Ce dernier a pour
but daider les responsables de traitements avoir une vision objective des
risques engendrs par leurs traitements,
de manire choisir les mesures de scurit ncessaires et suffisantes.
Ce guide a t rvis depuis afin dtre
plus en phase avec le projet de rglement
europen sur la protection des donnes,
et avec les rflexions du G29 sur lapproche par les risques pour dterminer les
mesures de scurit. Il tient aussi compte
des retours dexprience et des amliorations proposes par diffrents acteurs.
Enfin, il marque explicitement le passage
dune simple application de bonnes pratiques de scurit une vritable mise en
conformit globale la loi Informatique
et Liberts.
Cest ainsi que depuis juillet 2015,

la Commission communique sur sa
mthode pour mener des tudes dimpacts sur la vie prive (EIVP), plus communment appele PIA (Privacy Impact
Assessment) ou encore, dans le projet de
Rglement europen sur la protection des
donnes, DPIA (Data Protection Impact
Assessment).
Problmatiques lies la gestion

des risques et aux PIA
le responsable du traitement est tenu

de prendre toutes prcautions utiles, au
regard de la nature des donnes et des
risques prsents par le traitement, pour
prserver la scurit des donnes.
Par ailleurs, larticle 33 de la proposition de rglement europen sur la protection des donnes impose de raliser
une tude des risques ds lors quun traitement expose les personnes concernes
des risques sur leur vie prive, avant la
mise en uvre du traitement.
La conformit dans le domaine de la

protection de la vie prive repose principalement sur des exigences lgales. Le
principe de scurit relve quant lui
de la gestion des risques.
Larticle 17 de la Directive 95/46/CE
dispose ainsi que le responsable du
traitement doit mettre en uvre [des]
mesures [assurant] un niveau de scurit
appropri au regard des risques prsents par le traitement et de la nature des
donnes protger .
En outre, larticle 34 de la loi
Informatique et Liberts dispose que
La conformit relative la scurit repose sur une rflexion des risques

sur la vie prive (de qui ou de quoi ?), et non pas sur la seule comparaison
avec de bonnes pratiques ou sur lapplication seule de la doctrine
(quelle doctrine ?).
BILAN DACTIVIT
En revanche, les outils, mesures et

documentations requises (produites selon
le principe daccountability) peuvent
varier selon les risques auxquels le traitement est expos.
Ainsi, le fait mme de mener un PIA,
de consulter pralablement lautorit de
protection des donnes ou de mettre en
place telle ou telle mesure pour traiter
les risques de scurit des donnes,
dpend du niveau de risque qui pse sur
le traitement.
En quoi consistent les guides PIA ?
Quest-ce quun PIA ?
Cette mthode repose sur deux

piliers :
les principes et droits fondamentaux, non ngociables , qui sont fixs
par la loi et doivent tre respects. Ils ne
peuvent faire lobjet daucune modulation,
quelles que soient la nature, la gravit et
la vraisemblance des risques encourus ;
la gestion des risques sur la vie
prive des personnes concernes, qui
permet de dterminer les mesures (techniques et dorganisation) appropries
pour protger les donnes personnelles.
INFO +
En avance de phase par rapport au

projet de rglement europen sur la protection des donnes, la CNIL a publi sa
mthode pour mener des tudes dimpact sur la vie prive (galement appele
PIA - Privacy Impact Assessment).
Larticle 33 du rglement europen sur
la protection des donnes dcrit le DPIA
de la manire suivante :
Lanalyse contient au moins une
description gnrale des traitements
envisags, une valuation des risques
pour les droits et liberts des personnes
concernes, les mesures envisages pour
faire face aux risques, les garanties,
mesures de scurit et mcanismes
visant assurer la protection des donnes caractre personnel et apporter la preuve de la conformit avec le
prsent rglement, en tenant compte
des droits et des intrts lgitimes des
personnes concernes et des autres personnes touches .
Les guides PIA sont des guides mthodologiques. La mthode de la CNIL a

t conue conformment au projet de
Rglement europen sur la protection des
donnes et aux normes internationales.
Elle se compose de trois guides :
le guide PIA 1 : la dmarche mthodologique ;
le guide PIA 2 : loutillage ;
le guide PIA 3 : le catalogue de
bonnes pratiques.
La dmarche (guide PIA 1) comprend

4 tapes :
tude du contexte : dlimiter et
dcrire les traitements considrs, leur
contexte et leurs enjeux ;
tude des mesures : identifier les
mesures existantes ou prvues (dune
part pour respecter les exigences lgales,
dautre part pour traiter les risques sur
la vie prive) ;
Le PIA
Le PIA est une tude comprenant une rflexion sur
le traitement de donnes caractre personnel,
lapprciation des risques sur la vie prive, et la
description de leur traitement. Il correspond la mise
en uvre du processus de gestion des risques sur la vie
prive aux fins den tirer les consquences sur les mesures
de scurit mettre en uvre.
Pour tous les cas non couverts par des packs de conformit,
des formalits simplifies ou des guides sectoriels, et en
complments de ceux-ci, le PIA aide la mise en conformit,
notamment pour les traitements complexes, jugs risque
ou forts enjeux dun point de vue informatique et liberts.
tude des risques : apprcier les

risques lis la scurit des donnes et
qui pourraient avoir des impacts sur la
vie prive des personnes concernes, afin
de vrifier quils sont traits de manire
proportionne ;
validation : valider la manire dont
il est prvu de respecter les exigences
lgales et de traiter les risques, au regard
des enjeux identifis dans ltape 1, ou
bien refaire une itration des tapes
prcdentes.
Loutillage (guide PIA 2) contient des
exemples et des modles, destins
aider ceux qui mnent un PIA raliser
leur tude et formaliser leur rapport :
les exemples permettent de disposer
de bases de connaissances relatives
tous les lments utiles pour mener un
PIA (sources de risques, impacts sur la
vie prive, menaces et vulnrabilits
exploitables) ;
il contient galement des modles
de tableaux et de textes, permettant de
prsenter les rsultats de lensemble des
tapes de la mthode.
Enfin, le catalogue de bonnes
pratiques (guide PIA 3) propose des
exemples de mesures mettre en
uvre, dune part pour respecter les
exigences lgales, et dautre part pour
traiter les risques identifis en utilisant
la mthode.
31
32
Linvalidation du Safe Harbor :

le travail coordonn de la CNIL
et du G29 pour prendre
en compte les consquences
de larrt SCHREMS
Les rvlations dEdward Snowden faites en juin 2013 ont
suscit un dbat sur lchelle des activits de surveillance
menes par les services de renseignement, tant aux
tats-Unis quau sein de lUnion europenne. Ce dbat a
notamment port sur les consquences dune surveillance
de masse sur les droits au respect de la vie prive et la
protection des donnes.
M. Maximillian Schrems, citoyen
autrichien, utilise Facebook depuis
2008. Comme pour les autres abonns
rsidant dans lUnion, les donnes fournies par M. Schrems Facebook sont
transfres, en tout ou partie, partir
de la filiale irlandaise de Facebook sur
des serveurs situs sur le territoire des
tats-Unis, o elles font lobjet dun
traitement.
M. Schrems a dpos une plainte
auprs de lautorit irlandaise de protection des donnes, considrant quau
vu des rvlations faites en 2013 par M.
Edward Snowden au sujet des activits
des services de renseignement des tatsUnis (en particulier la National Security
Agency ou NSA), le droit et les pratiques
des tats-Unis noffrent pas de protection suffisante contre la surveillance,
par les autorits publiques, des donnes
transfres vers ce pays.
Lautorit irlandaise a rejet la
plainte, au motif notamment que,
dans sa dcision du 26 juillet 2002,

la Commission a considr que, dans
le cadre du rgime dit de la sphre de
scurit ou Safe Harbor, les tats-Unis
assurent un niveau adquat de protection aux donnes caractre personnel
transfres.
Saisie de laffaire, la Haute Cour de
justice irlandaise (High Court of Ireland)
a souhait savoir si cette dcision de
la Commission avait pour effet dempcher une autorit nationale de contrle
denquter sur une plainte allguant
quun pays tiers nassure pas un niveau
de protection adquat et, le cas chant,
de suspendre le transfert de donnes
contest.
La question de la surveillance massive

et indiscrimine est au cur de la dcision
de la CJUE.
BILAN DACTIVIT
LARRT RENDU PAR LA COUR DE JUSTICE DE LUNION EUROPENNE

Larrt1 rendu par la Cour de Justice de
lUnion europenne (ci-aprs CJUE )
dans laffaire Schrems est majeur pour
la protection des donnes plusieurs
gards.
Tout dabord, la Cour a rpondu
la Haute Cour de justice irlandaise
que lexistence dune dcision de la
Commission constatant quun pays tiers
assure un niveau de protection adquat
aux donnes caractre personnel transfres ne saurait annihiler ni mme
rduire les pouvoirs dont disposent les
autorits nationales de contrle en vertu
de la Charte des droits fondamentaux de
lUnion europenne et de la directive .
Elle a ajout que, mme en prsence
dune dcision de la Commission, les
autorits nationales de contrle, saisies
dune demande, doivent pouvoir examiner en toute indpendance si le transfert des donnes dune personne vers un
pays tiers respecte les exigences poses
par la directive. Elle a donc consacr lindpendance des autorits de protection
des donnes vis--vis de la Commission
europenne.
La CJUE
a consacr
lindpendance
des autorits
de protection
des donnes
vis--vis de la
Commission
europenne.
Toutefois, il revient la seule Cour de

dcider si une dcision de la Commission
est valide ou non. A ce titre, elle a, par
larrt Schrems, invalid la dcision par
laquelle la Commission europenne avait
constat que les principes du Safe Harbor
assuraient un niveau de protection suffisant des donnes caractre personnel
europennes transfres 2.
La Cour a notamment relev que la
Commission navait pas suffisamment
dtaill dans sa dcision les mesures par
lesquelles les Etats-Unis assuraient un
niveau de protection des donnes suffisant raison de leur lgislation nationale
ou de leurs engagements internationaux 3.
En effet, la protection du droit fondamental au respect de la vie prive au
niveau de lUnion exige que les drogations la protection des donnes
caractre personnel et les limitations
de celle-ci soprent dans les limites
du strict ncessaire (arrt Digital Rights
Ireland e.a., C 293/12 et C 594/12,
EU:C:2014:238, point 52 et jurisprudence cite) 4.
Lexigence de proportionnalit
Ainsi, nest pas limite au strict
ncessaire une rglementation qui autorise de manire gnralise la conservation
de lintgralit des donnes caractre
personnel de toutes les personnes dont les
donnes ont t transfres depuis lUnion
vers les tats-Unis sans quaucune diffrenciation, limitation ou exception soit
opre en fonction de lobjectif poursuivi
et sans que soit prvu un critre objectif permettant de dlimiter laccs des
autorits publiques aux donnes et leur
utilisation ultrieure des fins prcises,
strictement restreintes et susceptibles de
justifier lingrence que comportent tant
La Commission
navait pas
suffisamment
dtaill dans
sa dcision
les mesures
par lesquelles
les tats-Unis
assuraient
un niveau de
protection des
donnes suffisant.
laccs que lutilisation de ces donnes
[voir en ce sens, en ce qui concerne la
directive 2006/24/CE du Parlement europen et du Conseil, du 15 mars 2006,
sur la conservation de donnes gnres
ou traites dans le cadre de la fourniture
de services de communications lectroniques accessibles au public ou de rseaux
publics de communications, et modifiant
la directive 2002/58/CE (JO L 105, p.
54), arrt Digital Rights Ireland e.a., C
293/12 et C 594/12, EU:C:2014:238,
points 57 61].5
Latteinte au droit fondamental

au respect de la vie prive
constitue par un accs gnralis
par les autorits publiques
En particulier, une rglementation
permettant aux autorits publiques daccder de manire gnralise au contenu
1 Arrt de la Cour (grande chambre), 6 octobre 2015, dans laffaire C 362/14, ayant pour objet une demande de dcision prjudicielle au titre de larticle 267 TFUE, introduite par
la High Court (Haute Cour de justice, Irlande), par dcision du 17 juillet 2014, parvenue la Cour le 25 juillet 2014, dans la procdure Maximillian Schrems contre Data Protection
Commissioner, en prsence de: Digital Rights Ireland Ltd).
2 2000/520/CE: Dcision de la Commission du 26 juillet 2000 conformment la directive 95/46/CE du Parlement europen et du Conseil relative la pertinence de la protection
assure par les principes de la sphre de scurit et par les questions souvent poses y affrentes, publis par le ministre du commerce des tats-Unis dAmrique [notifie sous
le numro C(2000) 2441] (Texte prsentant de lintrt pour lEEE.)
3 Voir notamment le paragraphe 83 de larrt : La dcision 2000/520 concerne uniquement le caractre adquat de la protection fournie aux tats-Unis par les principes [de la
sphre de scurit] mis en uvre conformment aux FAQ en vue de rpondre aux exigences de larticle 25, paragraphe 1, de la directive [95/46], sans pour autant contenir les
constatations suffisantes quant aux mesures par lesquelles les tats-Unis dAmrique assurent un niveau de protection adquat, au sens de larticle 25, paragraphe 6, de cette
directive, en raison de leur lgislation interne ou de leurs engagements internationaux.
4 Paragraphe 92 de larrt SCHREMS
5 Paragraphe 93 de larrt SCHREMS
33
34
de communications lectroniques doit

tre considre comme portant atteinte
au contenu essentiel du droit fondamental
au respect de la vie prive, tel que garanti
par larticle 7 de la Charte (voir, en ce
sens, arrt Digital Rights Ireland e.a., C
293/12 et C 594/12, EU:C:2014:238,
point 39)6.
La ncessit dun recours effectif

pour le justiciable
De mme, une rglementation
ne prvoyant aucune possibilit pour
le justiciable dexercer des voies de
droit afin davoir accs des donnes
caractre personnel le concernant,
ou dobtenir la rectification ou la suppression de telles donnes, ne respecte
pas le contenu essentiel du droit fondamental une protection juridictionnelle
effective, tel que consacr larticle

47 de la Charte. En effet, larticle 47,
premier alina, de la Charte exige que
toute personne, dont les droits et liberts garantis par le droit de lUnion ont
t viols, ait droit un recours effectif devant un tribunal dans le respect
des conditions prvues cet article.
cet gard, lexistence mme dun
contrle juridictionnel effectif destin
assurer le respect des dispositions
du droit de lUnion est inhrente
lexistence dun tat de droit (voir, en
ce sens, arrts Les Verts/Parlement,
294/83, EU:C:1986:166, point 23;
Johnston, 222/84, EU:C:1986:206,
points 18 et 19; Heylens e.a., 222/86,
EU:C:1987:442, point 14, ainsi que
UGT Rioja e.a., C 428/06 C 434/06,
EU:C:2008:488, point 80).
Or, la Commission a elle-mme

constat que les autorits amricaines
pouvaient accder aux donnes caractre personnel transfres partir des
tats membres vers les tats-Unis et
traiter celles-ci dune manire incompatible, notamment, avec les finalits
de leur transfert, que dans la mesure o
cet accs est strictement ncessaire et
proportionn la protection de la scurit nationale. De mme, la Commission
a constat quil nexistait pas, pour les
personnes concernes, de voies de droit
administratives ou judiciaires permettant, notamment, daccder aux donnes les concernant et, le cas chant,
dobtenir leur rectification ou leur suppression.7
Harbor et fix le 31 janvier 2016 comme

date butoir.
Le G29 a constat que les transferts
intervenant sur la base du Safe Harbor
taient, de fait, illgaux. Il sest ensuite
engag tudier les consquences de
larrt sur les autres outils de transfert
dans lintervalle de temps ncessaire
ces discussions. Il a prcis que les
clauses contractuelles et les rgles
contraignantes dentreprises demeuraient
utilisables durant cette priode et que
les autorits se rservaient la possibilit
dinstruire des dossiers particuliers, par

exemple en cas de plaintes, et dexercer
leurs pouvoirs afin de protger les droits
des individus. De plus, le G29 a indiqu qu lissue du dlai, il pourrait, le
cas chant, engager des poursuites, si
ncessaire coordonnes.
Il a par ailleurs annonc des actions
de sensibilisation auprs des acteurs
concerns et les a invits envisager les
risques pris du fait du transfert de donnes et rflchir aux solutions lgales
et techniques permettant de les rduire.
6 Paragraphe 95 de larrt SCHEMS

7 Voir paragraphe 90 de larrt.
LES ACTIONS DU G29

La CNIL et ses homologues europens
se sont runis le 15 octobre pour laborer
un plan daction commun permettant aux
acteurs de sadapter au nouveau contexte
juridique.
Ds le 16 octobre 2015, le G29 a
publi un communiqu soulignant limportance dune gestion commune des
consquences de larrt. Il a galement
constat que la surveillance de masse est
un lment dterminant du raisonnement
de la cour. A ce titre, il a rappel sa doctrine constante aux termes de laquelle la
surveillance de masse est incompatible
avec le droit europen et les instruments
de transferts de donnes ne sauraient tre
dtourns cette fin.
Aussi, il a appel les institutions europennes engager des discussions avec
les autorits amricaines afin de trouver
des solutions lgales et techniques permettant de garantir que les transferts de
donnes vers les Etats-Unis respectent
les droits fondamentaux.
cet gard, il a considr que la
ngociation dun accord international
prvoyant des garanties plus importantes
pour les personnes concernes pourrait
faire partie de la solution, tout comme
les discussions sur la rforme du Safe
BILAN DACTIVIT
LANALYSE RALISE PAR LE G29

Ds la mi-octobre 2015, le G29 a
entrepris danalyser limpact de larrt
SCHREMS et des principes rappels
par la Cour sur les autres instruments
de transferts de donnes vers des pays
tiers, tels que les clauses contractuelles
et les rgles contraignantes dentreprise.
cette fin, il a identifi les garanties
essentielles applicables aux activits des
services de renseignement aux termes
du cadre lgal et de la jurisprudence
europenne.
Il a ensuite analys le cadre lgal des
activits des services de renseignement
fdraux des Etats-Unis ainsi que leurs
pratiques la lumire de ces garanties
avec pour objectif de vrifier si les conditions dans lesquelles des ingrences dans
le droit la vie prive et au respect de la
protection des donnes sont permises,
respectent ces garanties.
Afin de vrifier lexactitude de ses
constats, le G29 a organis des auditions et consultations duniversitaires,
reprsentants du secteur priv/entreprises, des reprsentants du gouvernement amricain et de la socit civile,
tant europenne quamricaine.
Lidentification des garanties

essentielles applicables
aux activits des services
de renseignement aux termes
du cadre lgal et de
la jurisprudence europenne
Partant des constats de la CJUE dans
larrt SCHREMS, le G29 a analys les
autres arrts de la Cour de Luxembourg
portant sur les activits de surveillance
tatique ainsi que les arrts de la Cour
europenne de sauvegarde des liberts
fondamentales (ci-aprs CEDH ) ainsi
que le droit primaire et secondaire applicable la matire.
Les rsultats de cette analyse ont t
discuts lors dune runion plnire du
G29 les 2 et 3 fvrier 2016.
Quatre garanties essentielles sappliquent ces activits :
Le traitement doit tre fond sur des
rgles claires, prcises et accessibles :
cela signifie que quiconque qui est raisonnablement inform devrait tre en mesure
de prvoir les rgles qui sappliqueraient
ses donnes si elles taient transfres.

LEtat doit tre en mesure de dmontrer la ncessit et la proportionnalit de
ses activits de renseignement et notamment des traitements de donnes personnelles qui en rsultent au regard de
lobjectif lgitime poursuivi : un quilibre
doit tre trouv entre lobjectif pour lequel
les donnes sont collectes et traites (en
gnral, la scurit nationale) et les droits
des individus.
Un systme de supervision/contrle
indpendant doit exister, qui soit la fois
effectif et impartial : il peut tre le fait
dun juge ou de tout organe indpendant
ds lors quil bnficie dune capacit
mener les contrles ncessaires.
Les individus doivent pouvoir se prvaloir de recours effectifs : toute personne
devrait avoir le droit de faire valoir ses
droits devant un organe indpendant.
Le G29 a soulign que ces quatre
garanties devraient tre respectes ds
lors que des donnes personnelles sont
transfres depuis lUnion europenne
vers les Etats-Unis et en direction dautres
Etats tiers ainsi que par tout Etat membre.
Lanalyse du cadre lgal

et de la pratique amricaine
la lumire de ces garanties
essentielles
Le G29 a tudi les principaux textes

rglementant les activits des services
de renseignement fdraux amricains
et sollicit les acteurs prcits pour en
connatre la pratique. Il rsulte de cette
analyse et des contributions des acteurs
concerns que des efforts importants ont
t mens par les Etats-Unis en 2014
et 2015 afin damliorer la protection
des donnes personnelles des non-amricains dans ce contexte. Toutefois, le G29
demeure proccup par le cadre lgal
actuellement applicable au regard des
quatre garanties prcites, plus particulirement au regard du champ dapplication
et des recours accessibles aux personnes
concernes par le transfert de leurs donnes personnelles depuis le territoire de
lUnion europenne.
Le G29 a soulign
que 4 garanties
devraient tre
respectes ds lors
que les services
de renseignement
amricains accdent
des donnes de
citoyens europens.
35
LES ACTIONS MENES

PAR LA CNIL
La dcision de la CJUE ayant invalid
le mcanisme dadquation Safe Habor
permettant le transfert de donnes vers
les entreprises adhrentes aux EtatsUnis, il na plus t possible, ds cette
date, de raliser un tel transfert sur la
base du Safe Harbor.
Formellement, cela impliquait que les
entreprises concernes adressent une
demande de modification de leur dclaration initiale la CNIL afin de notifier,
selon le cas, la cessation des transferts
en question ou le recours un autre outil
dencadrement des transferts.
La CNIL a donc pris les mesures afin
den informer les entreprises concernes et de leur indiquer les alternatives
leur disposition et les procdures
suivre pour sy conformer. Elle a notam-
DERNIRE MINUTE
36
Annonce dun nouvel accord

Privacy Shield
Les Etats-Unis et la Commission Europenne ont annonc le 1er fvrier
2016 la conclusion dun nouvel accord appel EU-U.S. Privacy Shield.
Cet accord publi le 29 fvrier 2016 doit dsormais tre analys
par le G29 afin den connatre prcisment le contenu et dvaluer
sil rpond aux proccupations importantes relatives aux transferts
internationaux de donnes souleves par la dcision de la CJUE.
Une sance plnire du G29 est prvue en avril 2016.
ment procd un envoi de courriels aux

entreprises identifies comme concernes et publi sur son site les questions/
rponses.
Dans lhypothse o le transfert savrait ncessaire, le G29 ayant considr
que les autres mcanismes juridiques de
transfert pouvaient tre utiliss par les
entreprises jusquau 31 janvier, la CNIL

a inform les entreprises de la possibilit
de recourir aux (BCR)8 et aux clauses
contractuelles type9 adoptes par la
Commission europenne (clauses de responsable de traitement responsable de
traitement et clauses de responsable de
traitement sous-traitant).
8 Les Binding Corporate Rules (BCR) constituent un code de conduite, dfinissant la politique dune entreprise en matire de transferts de donnes. Les BCR permettent doffrir une protection
adquate aux donnes transfres depuis lUnion europenne vers des pays tiers lUnion europenne au sein dune mme entreprise ou dun mme groupe.
9 Il sagit de modles de clauses contractuelles adoptes par la Commission europenne qui permettent dencadrer les transferts de donnes personnelles hors de lUnion europenne. Elles ont
pour but de faciliter la tche des responsables de traitement dans la mise en uvre de contrats de transfert. On distingue les transferts de responsable de traitement responsable de traitement
et les transferts de responsable de traitement sous-traitant. Il existe donc deux types de clauses afin dencadrer chacun de ces transferts.
BILAN DACTIVIT
Informer le grand public et les professionnels
un lment indispensable de la protection
des donnes lre numrique
Informer le grand public

et lesprofessionnels
La CNIL est investie dune mission gnrale dinformation des personnes sur les droits et
les obligations que leur reconnat la loi Informatique et Liberts. Elle rpond au public,
quil sagisse des professionnels ou des particuliers, mne des actions de communication
et sinvestit particulirement en matire dducation au numrique. Elle est prsente
dans la presse, sur internet, sur les rseaux sociaux o elle met disposition des outils
pdagogiques. Directement sollicite par de nombreux organismes, socits ou institutions
pour conduire des actions de formation et de sensibilisation, la CNIL participe aussi des
colloques, des salons ou des confrences pour informer et sinformer.
LA CNIL VOUS INFORME AU QUOTIDIEN

Un site internet refondu pour
mieux rpondre aux demandes
Depuis sa cration en 1998, le site
de la CNIL sest constamment enrichi de
contenus et de services afin de rpondre
aux attentes dun public de plus en plus
vari : particuliers, membres de la communaut ducative, professionnels, associations, CIL, homologues internationaux.
Lanne 2015 a t particulirement
marque par la mise en ligne de plusieurs
services destination des usagers de la
CNIL :
Besoin daide offre un service de
rponses de premier niveau aux usagers
particuliers et professionnels. En outre,
il permet de contacter la CNIL dans le
cas o la rponse ne se trouverait pas
parmi les rponses proposes.
Le service Plainte en ligne a t
repens et largi afin doffrir aux usagers
de nouvelles possibilits de saisir la CNIL
en ligne. Dans le cas o la plainte la
CNIL requiert des dmarches pralables,
la CNIL accompagne davantage lusager
dans ces dmarches.
Loffre ditoriale destination des
enseignants et des acteurs de lducation
numrique sest enrichie avec la mise en
ligne de tutoriels, actualits et de conseils
destination des jeunes et de leurs
formateurs sur le site ddi educnum.fr
DERNIRE MINUTE
38
Un nouveau site pour la CNIL

Le 16 fvrier 2016, La CNIL a mis en ligne une nouvelle version
de son site internet. Plus clair, plus pdagogique, mieux adapt
la consultation sur mobile et tablette. Le nouveau site de
la CNIL a pour ambition de mieux rpondre aux proccupations
des citoyens. Il propose galement de nouveaux contenus pour
les internautes qui souhaitent contrler lexposition de leur vie
prive en ligne ou grer un problme de-rputation.
Il dispose dun espace entirement ddi aux professionnels
dbutants ou experts et les accompagne pour mettre en uvre
une politique de protection des donnes personnelles efficace.
Pens pour respecter la vie prive des internautes, Cnil.fr propose
un mcanisme de consentement aux cookies permettant
linternaute de choisir les fonctionnalits sociales quil souhaite
activer ou dsactiver.
BILAN DACTIVIT
Le mini site lections a t relanc

loccasion des lections rgionales.
La mise en ligne dune page Open CNIL
ddie la prsentation des jeux de donnes mis disposition sur Etalab.
Paralllement, lanne 2015 a t
galement consacre un projet de
refonte globale du site. Pour fter ses
18 ans, cnil.fr a fait peau neuve dbut
2016 avec un nouveau site.
Les rseaux sociaux,

enjeu et vecteur de protection
de la vie prive pour la CNIL
La CNIL est principalement prsente
sur 5 plateformes sociales (Dailymotion,
Facebook, Google+, LinkedIn, Twitter).
Citoyens, relais dinfluence, professionnels : la CNIL sensibilise des publics trs
diffrents la question des donnes personnelles et instaure un dialogue constant
avec ses communauts, quel que soit
leur niveau de connaissance de la Loi
Informatique et Liberts.
Le cap des 50.000 followers sera bientt atteint par le compte Twitter de la @
CNIL qui enregistre une anne record pour
les conversations sociales citant la CNIL.
Son action internationale, ses actualits
contentieuses et ses infos pdagogiques
ont t largement commentes dans plus
de 110.000 tweets* !
CNIL augmentera le nombre de formats

pdagogiques publis sur Twitter, LinkedIn
- pour linformation des entreprises - et
sur sa page Facebook relaye par plus de
22.000 ambassadeurs de la vie prive
en ligne.
Chaque anne, des centaines dinternautes utilisent les rseaux sociaux

pour exercer leurs droits informatiques
et liberts auprs des responsables de
traitement ou simplement pour demander
une information la CNIL. En 2016, la
Depuis 2004, la CNIL mesure sa

notorit. Lenqute IFOP a t mene
auprs dun chantillon de 1 005 personnes, reprsentatif de la population
franaise ge de 18 ans et plus. Les
interviews ont eu lieu par tlphone du
4 au 5 dcembre 2015.
La CNIL du point de vue

des citoyens
64%
DES PERSONNES
CONNAISSENT LA CNIL
Selon la plateforme TalkWalker/auraMundi*
Le service des relations avec les publics

(SRP) rpond, par diffrents canaux, aux
demandes dinformation et dorientation
manant des particuliers comme des
professionnels.
En plus de la gestion du standard
tlphonique de la CNIL, le service
assure une permanence de renseignement juridique par tlphone du
lundi au vendredi. Cette permanence
renseigne les usagers et les oriente
dans leurs dmarches avec la CNIL.
Un nouveau service dassistance en ligne,
34 367 courriers
136 251appels
au 01.53.73.22.22
(+2,3 % par rapport 2014)
Besoin daide ? , est disponible depuis

juillet 2015 sur cnil.fr : il propose des
questions/rponses trs pratiques, rdiges afin dtre accessibles tous ; il offre
la possibilit aux usagers, lorsquils nont
pas trouv de rponse leur question,
dadresser des requtes par voie lectronique. Le nombre de consultations des
questions/rponses effectues entre le 1er
juillet et le 31 dcembre 2015 (122 603)
et celui des requtes reues attestent de
ce que le service rpond un vritable
besoin des usagers.
75 860 appels pour

la permanence juridique
(+6,1 % par rapport 2014)
10 646 requtes par voie
postale et lectronique
(+17,7 % par rapport 2014)
INFO +
LES RPONSES AU PUBLIC

Besoin daide ?
- 400 Questions/
Rponses diffuses
sur www.cnil.fr
- 4 648 requtes
lectroniques reues
- Top 5 des Questions
les plus consultes
en 2015
- Faut-il dclarer un site web
la CNIL ?
- Article 31 : comment obtenir
la liste des dclarations faites
la CNIL par un organisme public
ou priv ?
- Comment faire une dclaration
la CNIL ?
- Windows 10 : quelles prcautions
lmentaires prendre ?
- Dclarer la CNIL, cest gratuit ?
39
40
LDUCATION AU NUMRIQUE,
UNE MISSION STRATGIQUE POUR LA CNIL
Durant lanne 2015, la CNIL a poursuivi lanimation du Collectif ducation
au numrique et le pilotage des actions
estampilles Collectif educnum . Le
Collectif a accueilli de nouvelles structures en son sein (Association de la fondation tudiante pour la ville, Confrence
des Prsidents dUniversits, fondation
SNCF, fondation Simplon) afin de renforcer ses actions dducation au numrique
vers les publics jeunes. Elle a fortement
dvelopp ses relations avec le ministre
de lducation nationale et multipli les
visites de terrain.
Un nouveau site pour le Collectif

EDUCNUM
Un nouveau site www.educnum.fr,
pilot par la CNIL, permet aux membres
du Collectif de communiquer plus largement sur leurs actions. Des actualits sur
des thmatiques ou des vnements lis
lducation au numrique sont publies
rgulirement. Les ressources pdagogiques vie prive du site Jeunes de
la CNIL ont t mises jour et progressivement transfres sur le site Educnum.
Le site sest par ailleurs enrichi de nouveaux contenus et outils pdagogiques sur
le thme de la protection de la vie prive :
atelier sur les jeunes et les rseaux
sociaux , vidos, fiches pdagogiques
lattention des enseignants, des animateurs et des parents, etc.
en rgion, pour accompagner les jeunes

dans la construction de leurs projets. Les
laurats du Prix Spcial du Jury Data
fiction, le site dont vous tes le hros
taient galement prsents en soutien.
Les laurats du Grand Prix du jury pour
le web documentaire Les aventures
croustillantes de Prince chip ont crit
les scnarios de trois nouveaux pisodes,
sur les thmes de larnaque, les cookies
et lusurpation didentit, pour une mise
en production dbut 2016. Dans le prolongement des Trophes EDUCNUM, le
Collectif tait une nouvelle fois au rendezvous de Futur en Seine, le 11 juin 2015,
sous forme dun atelier sur le thme
Comment sensibiliser les plus jeunes
aux bons usages du web ? . De plus, le
ministre de lducation nationale et la
CNIL ont dcid dagir ensemble en lanant, en dcembre 2015, un concours
national vers les coles lmentaires, afin
de dvelopper une ducation aux usages
responsables dInternet.).
Au plan international, lducation

au numrique en actions
Les suites des Trophes EDUCNUM

Compte tenu du succs de la 1re dition des Trophes EDUCNUM, la CNIL
et le Collectif ont lanc la 2me dition
en octobre 2015. Ce concours, qui a
pour objet de susciter et rcompenser
des projets innovants pour sensibiliser
les plus jeunes aux bons usages du web,
est dsormais ouvert tous les jeunes
de 18 25 ans. Il a bnfici du soutien
des ministres de lducation nationale et
de la Jeunesse et Sports. Une campagne
radio diffuse par Skyrock a permis de
toucher une cible plus large de candidats au concours. La CNIL a men des
ateliers dans des coles, des universits et des lieux de coworking, Paris et
publics relais : Jeunes Ambassadeurs des

Droits de lEnfant, community managers
des clubs de football, tudiants
Sensibiliser, encore et toujours

La CNIL a poursuivi ses actions de
formation des formateurs afin de dmultiplier les messages dducation citoyenne
au numrique, en direction de diffrents
Lducation au numrique sest aussi

fortement dveloppe au plan international, avec la mise en uvre du plan
daction 2014-2015 adopt par le groupe
de travail pilot par la CNIL, compos de
plus de 40 autorits de protection des
donnes.
Ce plan daction comprend :
- La cration dune plateforme web de
mutualisation des ressources pdagogiques dans le domaine de la protection
des donnes ouverte toutes les autorits de protection des donnes ;
- Llaboration dun kit tutoriel destin la
formation des formateurs sur le thme de
la protection des donnes qui se poursuivra en 2016 ;
- La conception dun guide pratique pour
la conduite de concours par les autorits.
Enfin, un atelier a t organis par la CNIL
en marge de la 37me confrence internationale des commissaires la protection
des donnes et la vie prive.
BILAN DACTIVIT
Lactivit de conseil et de rglementation de la CNIL est varie : avis sur des projets de
texte dorigine gouvernementale concernant la protection des donnes personnelles
ou crant de nouveaux fichiers, laboration de cadres juridiques simplifiant
laccomplissement des formalits pralables, autorisations, recommandations,
conseils. Dans toute cette gamme dactivits, la CNIL veille la recherche permanente
dun juste quilibre, au service du citoyen, entre la protection des liberts publiques
et la mise en uvre doutils oprationnels des administrations et organismes publics
et privs.
LA SIMPLIFICATION DES FORMALITS ADMINISTRATIVES :

UNE PRIORIT POUR LA CNIL
50 339
FORMALITS SIMPLIFIES
21
AUTORISATIONS
UNIQUES ADOPTES
NORME SIMPLIFIE
ACTES RGLEMENTAIRES
UNIQUES
La CNIL est engage depuis plusieurs

annes dans un processus de simplification administrative auprs des organismes
publics et privs. Elle peut adopter des
dispenses de dclaration, des normes
simplifies pour les traitements soumis
rgime dclaratif, des autorisations
uniques pour les traitements soumis
rgime dautorisation et des mthodologies de rfrence pour les recherches
les plus courantes en matire de sant.
Pour les traitements du secteur public, la
Commission rend des avis sur des projets
dactes rglementaires uniques dont la
cration reste cependant linitiative des
administrations concernes.
Les normes de simplification adoptes
par la CNIL permettent dallger considrablement les formalits, tout en homognisant les pratiques et en promouvant les
plus vertueuses. En effet, les organismes
nont qu faire un engagement de conformit la norme concerne pralablement
la mise en uvre de leur traitement. Cet
engagement peut tre accompli en ligne
sur le site de la CNIL en quelques minutes.
En 2015, les effets de la simplification des formalits ont t particulirement sensibles, notamment dans le
champ des autorisations uniques (plus
de 6 500 engagements de conformit

reus). Elabors aprs concertation
avec les acteurs dun secteur, ces cadres
demandent un investissement ponctuel important, mais se traduisent par
la simplification de dizaines de milliers
de dmarches (plus de 50 000 dossiers
pour 2015).
2 571
DCISIONS ADOPTES
456
DLIBRATIONS ADOPTES
ENSANCE PLNIRE
1 076
AUTORISATIONS
DETRANSFERTS
DE DONNES HORS UE
41
Nombre dengagements de conformit une norme de simplification reus par la CNIL depuis 2010
Type de normes de simplification
2010
2011
2012
2013
2014
2015
Total
Autorisations uniques
4 263
4 242
4 734
4 366
4 623
6 582
28 810
243
278
256
293
365
609
2 044
38 983
41 306
41 156
43 985
42 640
40 526
248 596
1 378
1 475
2 258
2 216
2 019
2 622
11 968
44 867
47 301
48 404
50 860
49 647
50 339
291 418
Mthodologies de rfrence
Normes simplifies
Actes rglementaires uniques
Total gnral
FOCUS
42
La simplification des formalits CNIL

dans le secteur de la sant
La CNIL a adopt en 2015 une autorisation unique et une mthodologie
de rfrence dans le domaine de la sant afin de mettre la disposition
des acteurs concerns des outils de conformit adapts leurs pratiques,
dans des conditions respectueuses de la protection des donnes
personnelles :
-A
utorisation unique AU-043 relative au dpistage organis du cancer
du sein et du cancer colorectal,
-M
thodologie de rfrence MR-002 relative aux tudes non
interventionnelles de performances en matire de dispositifs mdicaux
de diagnostic in vitro.
Les travaux de simplification en matire de recherche dans le domaine
de la sant se poursuivent en 2016, afin de faciliter les dmarches et de
favoriser la mise en uvre des projets dans des dlais garantissant la
comptitivit de la France dans ce secteur.
Deux projets ont t soumis la concertation auprs dorganismes
publics et privs reprsentatifs en octobre 2015 et devraient aboutir en
2016 :
- lvolution de la mthodologie de rfrence 001 relative aux traitements
de donnes caractre personnel dans le cadre des recherches
biomdicales,
- llaboration dune nouvelle mthodologie de rfrence, portant sur les
recherches dans le domaine de la sant ne ncessitant pas le recueil du
consentement crit des personnes concernes.
754
AUTORISATIONS
DERECHERCHE
EN MATIRE DE SANT
142
AUTORISATIONS
DVALUATION DES
PRATIQUES DE SOINS
BILAN DACTIVIT
LES AVIS ET AUTORISATIONS
Lavis de la CNIL sur le projet de loi

pour une Rpublique numrique
La CNIL sest prononce, lors de
la sance plnire du 19 novembre
2015, sur lavant projet de loi pour une
Rpublique numrique , dans sa version alors envisage par le Gouvernement.
Le projet de texte adopt en premire
lecture lAssemble nationale comporte
de nombreuses modifications, qui tiennent
notamment compte de lavis de la CNIL.
Une ncessaire cohrence avec les autres
textes en prparation
Ce projet de loi intervient alors que
le projet de rglement du Parlement
europen et du Conseil relatif la protection des donnes personnelles et la
libre circulation de ces donnes, est en
cours de finalisation. Ce texte, dapplication directe, doit assurer lunification du
droit europen et apporter un standard
lev de protection pour les citoyens europens avec notamment un renforcement
de leurs droits. Le projet de loi pour une
Rpublique numrique devra donc sy
conformer, ce qui impliquera de ladapter en cours de procdure.
La CNIL a rappel limportance de
veiller la cohrence des dispositions
adoptes en matire de diffusion de donnes publiques (open data), plusieurs lois
rcentes ou projets de loi, notamment le
projet de loi relatif la sant et la loi du 7
aot 2015 portant nouvelle organisation
territoriale de la Rpublique ( NOTRe ),
comportant des dispositions spciales en
la matire.
Des droits renforcs, harmoniser avec
le droit europen
De manire gnrale, la Commission
a salu le renforcement des droits des
citoyens. Ainsi, la conscration du droit
la libre disposition de ses donnes, cest-dire le droit de lindividu de dcider de
la communication et lusage de ses don-
nes personnelles, va dans le sens dune

meilleure matrise par les individus de
leurs donnes. Cette conscration est
une continuit des droits dj reconnus
par la loi Informatique et Liberts tels que
le droit daccs, le droit dopposition ou
le droit de suppression.
La CNIL a galement soulign lintrt
de lgifrer sur le devenir des donnes
personnelles des personnes dcdes
et le renforcement de linformation des
personnes, ainsi que sur la loyaut des
plateformes.
Dans la mesure o le projet de rglement europen prvoit des dispositions
spcifiques sur les mineurs et introduit
un droit la portabilit, le projet de loi
devra tre conforme, sur ces deux points,
au texte europen. cet gard, le droit
la portabilit introduit par le projet de loi
a un primtre et un champ dapplication
diffrent de celui du projet de rglement,
qui porte exclusivement sur les donnes
personnelles.
Laction de la CNIL conforte
Le projet de loi tend galement
renforcer les pouvoirs de la CNIL et
SUIVRE
Lors des 32 sances plnires tenues

en 2015, la Commission a examin
les demandes davis et les demandes
dautorisations qui sont de plus en plus
nombreuses.
244
AUTORISATIONS
REFUS DAUTORISATION
122
DEMANDES DAVIS
(ADMINISTRATIONS
CENTRALES)
conforter ainsi son engagement dans la
rgulation du numrique et son activit
daccompagnement des particuliers, des
entreprises et des administrations. La
question de la rvision du montant des
sanctions susceptibles dtre prononces
par la CNIL, actuellement de 150 000
euros, est actuellement en dbat devant
le Parlement.
La CNIL, animatrice du dbat public

sur lthique du numrique
Le projet de loi prvoit de confier la CNIL la mission de conduire
une rflexion sur les dbats thiques et les questions de socit
soulevs par lvolution des technologies numriques. Rgulateur
des donnes personnelles, situ pour cela au cur du numrique,
la CNIL nen a certes jamais ignor les enjeux thiques.
Larticle 1er de la loi Informatique et Liberts tablissait ainsi que
linformatique doit tre au service de chaque citoyen . La CNIL
nentend cependant nullement monopoliser le dbat public sur
lthique du numrique. Son rle sera plutt celui danimatrice et
de facilitatrice de ce dbat, impliquant tous les acteurs concerns
(chercheurs, entrepreneurs, administration, socit civile).
La CNIL compte tout particulirement faire en sorte que cette
rflexion puisse tre loccasion dune appropriation par les
citoyens des dbats lis aux enjeux thiques du numrique.
43
44
Ouverture des donnes et respect de

la vie prive
Le projet de loi vise dvelopper lopen
data, en prvoyant une large publication
des donnes administratives et en posant
le principe de libre rutilisation des donnes publiques mises en ligne.
La CNIL sest engage depuis plusieurs
annes dans laccompagnement de lopen
data, afin que louverture des donnes
publiques soit respectueuse des droits des
personnes et de la vie prive. A cet gard,
plusieurs garanties ont t apportes par
le projet de loi, notamment la suite de
lavis de la CNIL :
Les conditions de communicabilit
des documents administratifs, qui visent
notamment protger la vie prive, ne
sont pas modifies.
La publication de documents comportant des donnes caractre personnel
ne pourra intervenir quaprs anonymisation des donnes, sauf si une disposition
lgislative ou rglementaire autorise une
diffusion sans anonymisation pralable
ou si la personne intresse y a consenti.

La rutilisation des donnes
reste subordonne au respect de la loi
Informatique et Liberts, ce qui implique
notamment quune base de donnes anonymise ne puisse pas servir r-identifier
des personnes.
Enfin, la CNIL pourra certifier la
conformit la loi de mthodologies
danonymisation, ce qui renforcera la
scurit juridique pour les administrations concernes.
Dans son avis, la Commission a
estim que ces dispositions ne remettaient pas en cause lquilibre ncessaire entre transparence administrative,
dune part, et protection de la vie prive
et des donnes personnelles, dautre part.
La conciliation de ces deux intrts constitue en effet une condition essentielle la
mise en uvre de toute politique douverture des donnes.
La Commission a ds lors formul plusieurs observations concernant les modalits effectives de respect de cet quilibre.
En particulier, elle a rappel que la vrification pralable des processus danonymisation, sous le contrle de la CNIL,
constitue un impratif majeur pour une
ouverture des donnes respectueuse des
droits des personnes.
Une simplification des procdures pour
la statistique et la recherche publique,
dans le prolongement des propositions
de la CNIL
Le projet de loi comporte enfin des
dispositions relatives la recherche
publique, en matire statistique ou scientifique. Il vise ainsi simplifier les formalits pralables aux recherches publiques
utilisant le NIR. La CNIL sest montre
favorable cette simplification, quelle
avait propose depuis plusieurs annes,
ds lors, dune part, que le NIR fait
lobjet dun cryptage robuste et, dautre
part, que les recherches publiques des
fins scientifiques conduites sur ce fondement devront tre autorises par la
Commission.
La CNIL
pourra certifier
la conformit la
loi de mthodologies
danonymisation
renforant la scurit
juridique pour les
administrations.
FOCUS
45
Loi sur la modernisation de notre systme de sant

Au titre de ses missions consultatives, la CNIL a t
sollicite sur le projet de loi de modernisation de
notre systme de sant. Elle a notamment particip
de nombreuses auditions et t sollicite pour avis.
La loi n 2016-41 du 26 janvier 2016 de modernisation
de notre systme de sant est dsormais promulgue.
Elle modifie le rgime dautorisation des traitements
de donnes caractre personnel ayant pour finalit
la recherche ou les tudes dans le domaine de la sant
ainsi que lvaluation ou lanalyse des pratiques ou
activits de soins ou de prvention.
Afin dunifier le rgime dautorisation de ces traitements
qui relevaient respectivement des chapitres IX et X de
la loi Informatique et Liberts, la loi a fusionn ces deux
chapitres en un nouveau chapitre IX qui soumet ces
traitements de donnes une autorisation pralable de
la CNIL, aprs avis, selon les tudes, soit dun comit
dexpertise soit dun comit de protection des personnes.
LInstitut national des donnes de sant (INDS), cr par
cette mme loi, pourra galement clairer la dcision

de la CNIL sur le caractre dintrt public que prsente
la recherche, ltude ou lvaluation envisage.
La CNIL conserve le pouvoir dhomologuer et de publier
des mthodologies de rfrence destines simplifier
la procdure dexamen concernant les catgories les plus
usuelles de traitements automatiss de donnes de sant
caractre personnel des fins de recherche, dtude ou
dvaluation dans le domaine de la sant. Celles-ci-seront
tablies en concertation avec le comit dexpertise et des
organismes publics et privs reprsentatifs des acteurs
concerns.
Leffectivit de la nouvelle procdure dautorisation reste
cependant soumise la publication de plusieurs textes
dapplication, prvus par la loi, aprs avis de la CNIL.
Dans lattente de la publication de ces textes dapplication,
les procdures actuellement en vigueur en vertu des
chapitres IX et X de la loi Informatique et Liberts restent
applicables.
LES RELATIONS AVEC LE PARLEMENT

Au cours de lanne 2015, la CNIL a
particip une vingtaine dauditions parlementaires et rpondu aux nombreuses
sollicitations juridiques et techniques
lies la fois la protection des donnes
personnelles mais, plus largement, aux
volutions du monde numrique.
Travaux lgislatifs :
projets et propositions de loi
La CNIL a rpondu aux invitations
des rapporteurs des commissions permanentes dans les deux assembles, qui ont
eu connatre trois projets de loi pour
lesquels la CNIL avait t saisie pour avis
par le gouvernement : le projet de loi de
modernisation de notre systme de sant,
le projet de loi relatif au Renseignement
et le projet de loi pour une Rpublique
numrique. Sagissant de ces deux derniers textes, les avis de la CNIL ont t
rendus publics la demande du prsident

de la commission des lois de lAssemble
nationale.
Les parlementaires ont galement
recours de plus en plus frquemment
lexpertise de la CNIL loccasion de la
discussion des propositions de loi inscrites
lagenda des assembles. La CNIL a
ainsi t entendue sur les propositions
de loi portant sur la dmatrialisation du
Journal officiel de la Rpublique franaise
et relative la prvention et la lutte
contre les atteintes graves la scurit
publique, contre le terrorisme et contre
la fraude dans les transports publics de
voyageurs.
Missions parlementaires
de rflexion, de prospective
et de contrle
La CNIL a particip aux travaux de
missions dinformation mises en place

en 2015, notamment lusage de la biomtrie en France et en Europe, le droit
pnal lheure dinternet. Elle sest galement associe, comme elle le fait rgulirement, aux travaux de prospective de
lOffice parlementaire dvaluation des
choix scientifiques et technologiques
consacrs aux enjeux thiques et socitaux de lpigntique ou encore aux
robots et la loi .
Elle a galement rpondu la
demande des snateurs dans le cadre
de deux commissions denqute : lune
consacre lorganisation et les moyens
de lutte contre les rseaux djihadistes
en France et en Europe ; lautre relative
au bilan et au contrle de la cration,
de lorganisation, de lactivit et de la
gestion des autorits administratives
indpendantes.
46
Le respect de la loi Informatique et Liberts implique, de la part des acteurs, une
mise en conformit dynamique . Il ne sagit pas en effet seulement de dmarches
administratives dont une bonne partie va disparatre avec le rglement europen .
Il sagit de respecter, pendant toute la vie dun traitement de donnes, les principes,
droits et obligations poses par la loi, notamment les droits des personnes, tout en
les dclinant de manire oprationnelle. Les avantages de la conformit pour les
professionnels sont en outre nombreux : assurer une scurit juridique aux acteurs ;
tirer parti du droit pour en faire un facteur de succs ; accrotre le capital de confiance
vis--vis des interlocuteurs. La CNIL a dvelopp une gamme doutils complmentaires
permettant daccompagner aux mieux les diffrents mtiers et secteurs dactivit.
LE CIL, UN EXPERT AU CUR DE LA CONFORMIT
CIL peuvent se rsumer en deux mots cls :

fdrer et prparer lavenir.
Fdrer
Rguler les donnes personnelles
implique de connatre prcisment les
spcificits mtier des diffrents acteurs,
pour pouvoir prendre rapidement position
sur les sujets mergents ou diffuser des
bonnes pratiques partager. Consciente
du rle tenu par la communaut des CIL
dans ce contexte, la CNIL a souhait,
loccasion des 10 ans de ce mtier, orga-
En grant les donnes personnelles

qui leur sont confies dans le respect des
rgles, les collectivits territoriales, les
entreprises publiques ou prives ainsi que
les associations, rduisent leur exposition
aux risques et optimisent leurs investissements. Le CIL est un vritable acteur
interne de la conformit, qui veille la
scurit juridique et informatique de son
organisme. Plus de 16.300 organismes
ont dj fait le choix de dsigner un CIL

pour piloter ces sujets. En 2015, le correspondant Informatique et Liberts (CIL)
a ft son 10me anniversaire laube de
lentre en vigueur du rglement europen de lUE sur la protection des donnes personnelles, qui le place au cur
de la gouvernance des nouveaux outils
de conformit. Les actions menes cette
anne par la CNIL pour accompagner les
Dsigner un CIL
ds aujourdhui,
cest anticiper
sur les nouvelles
exigences poses.
niser une Convention qui sest tenue la

chambre de Commerce de Paris-Ile de
France le 13 octobre 2015. Cet vnement a runi au total 1 300 CIL qui ont
pu suivre ces travaux : environ un millier
distance grce une retransmission en
direct et une application participative et
plus de 300 prsents dans la salle.
Le bilan de la dcennie a t dress et
a fait apparaitre en particulier le niveau
dexpertise attendu auprs de la CNIL
en raison de la complexification des
demandes de conseil des CIL issus dorganismes en pleine transition numrique.
Cette journe a aussi t loccasion
dvoquer la prochaine volution de la
profession telle quelle est envisage par
le rglement europen et la faon dont les
CIL peuvent dores et dj sy prparer.
Une enqute en ligne a t ralise
cet effet pour affiner la connaissance de
ce mtier et faire ressortir ses besoins.
Les divers ateliers et table ronde ont
permis de partager des bonnes pratiques
et de bnficier des retours terrains
ncessaires une bonne co-rgulation et
la construction doutils pratiques. Ainsi,
des sujets riches et varis ont pu tre
abords librement tels que Comment
se prparer lvolution europenne de
la protection des donnes , Scurit
et vie prive lheure du tout connect ,
Comment valoriser la conformit ou
comment convaincre , Le CIL dans
la mise en uvre du principe daccountability ou Pratiques contractuelles,
comment bien encadrer les relations avec
vos partenaires ? .
Le succs rencontr par cet vnement est un signal clair pour la CNIL,
qui dans ses conclusions a raffirm
tout lintrt qui sattache ce nouveau
mtier, avec en perspective une campagne de communication auprs des
organismes qui ont dsign un CIL afin
de les sensibiliser aux volutions prvues
par le rglement europen. Par ailleurs,
la CNIL va renforcer ses actions pour une
collaboration la fois plus cible (par secteur dactivit) et plus en profondeur (sur
les sujets abords). Enfin, elle veut aider
au dploiement de nouveaux rseaux,
prenant appui et exemple sur les bons
INFO +
47
Rsultats enqute IFOP

sur le mtier de CIL
Afin de connaitre plus finement la population des CIL en pleine
volution et de pouvoir adapter ses procdures et outils, la CNIL
a men une tude en ligne pendant 3 semaines (fin juin mi-juillet
2015) auprs dun chantillon de 1308 CIL. Les rsultats, prsents
lors de la Convention des 10 ans des CIL en octobre 2015,
font apparaitre des informations intressantes :
53% des CIL viennent dorganismes privs et 47% sont issus
de la sphre publique ;
95% des CIL sont dsigns en interne de leur organisme et font
donc peu appel des prestataires pour exercer ce mtier
(des limitations juridiques existent actuellement dans la loi
mais vont disparaitre dans le rglement europen) ;
si la plupart des CIL sont issus dun cursus technique, les profils
sont assez diversifis (47% sont issus du secteur des TIC/SI, 29%
occupent ou ont occup des fonctions juridiques, 10% des fonctions
administratives et 10% environ occupent des fonctions daudit ou
de conformit).
73% sont favorables la mise en place dune valuation
des comptences lors de leur entre en fonction
On dcouvre galement que plus de 57% des CIL exercent leur
fonction moins de 2 jours par mois et que 50% nont mis aucune
procdure en place, que ce soit pour traiter les rclamations ou pour
organiser les quipes en cas de contrle de la CNIL. Enfin, plus de
80% des CIL actuels nont engag aucune rflexion sur lvolution
de leur fonction et attendent les prconisations de la CNIL ou du G29
(56%). Alors que le CIL sera
rendu obligatoire dans de nombreux cas ds 2018, du fait de lentre
en application du rglement europen, la diffusion dinformations
et de bonnes pratiques est donc une priorit stratgique de la CNIL.
rsultats obtenus avec les rseaux existants, tels que SUPCIL (rseau de CIL des
tablissements denseignement suprieur
et de recherche).
Prparer lavenir
Alors que la dsignation dun CIL est
actuellement optionnelle, le futur dlgu la protection des donnes sera au
cur du modle propos par le rglement
europen qui prvoit en particulier lobligation de mettre en uvre des mesures
dynamiques de protection des donnes
personnelles et dtre en mesure de les
dmontrer (souvent connue sous le terme
anglais daccountability).
En effet, bientt obligatoire pour de
nombreux organismes, son rle de pilote
de la conformit est consacr au travers
dun renforcement de ses missions et

moyens.
Il devient un vritable chef dorchestre en la matire, charg notamment dinformer, de conseiller le
responsable et les employs sur leurs
obligations et, en ce qui concerne lanalyse dimpact sur la vie prive, de surveiller son excution. Il sera galement le
point de contact de lautorit de rgulation avec laquelle il coopre. En tant que
pilote de la conformit, il sassurera de la
bonne tenue de la documentation relative
aux traitements de donnes personnelles.
cet effet, le futur dlgu devra
tre associ dune manire approprie
et en temps utile toutes les questions
relatives la protection des donnes,
et dtenir les ressources ncessaires
48
lexcution de ses missions (notamment

pour accder aux donnes et aux traitements) ainsi quau maintien de ses
connaissances.
Fort de ces nouveaux lments, dsigner un CIL ds prsent permet dorganiser au plus tt la conformit interne
aux nouvelles rgles de la protection des
donnes personnelles.
Dans ce contexte, la CNIL, qui a
fait le choix depuis plusieurs annes de
mettre en place un service ddi aux CIL,

continuera dvelopper ses actions de
communication auprs des CIL et de
leurs responsables, tout en poursuivant ladaptation des outils ncessaires
au changement dchelle prvu par le
rglement europen (accompagnement
dans la mutualisation des dlgus la
protection des donnes, laboration de
rfrentiels et de guides de bonnes pratiques, e-learning, etc.).
Le CIL devient
un vritable
chef dorchestre
de la conformit
16 406
ORGANISMES ONT DSIGN

UN CIL, SOIT 4321 CIL
Nombre dorganismes ayant dsign un CIL entre 2010 et 2015
20000
12 953
15000
10000
7 300
8 826
14 441
16 406
PERSONNES ACCUEILLIES
LORS DE 34 ATELIERS CIL
10 709
2 100
5000
2010
2011
2012
2013
2014
2015
LES PACKS DE CONFORMIT

Depuis deux ans, la CNIL a lanc un
nouvel outil : les packs de conformit .
Ces packs, labors en concertation
troite avec les acteurs dun secteur,
permettent de promouvoir auprs de
ceux-ci des bonnes pratiques, de dcliner
les obligations lgales de manire op-
SUIVRE
1 163
En 2016, deux nouveaux

packs seront lancs,
respectivement ddis
lopen data pour le
secteur public et au
vhicule connect pour
le secteur priv, dans le
droit fil des rflexions
engages ds 2014.
rationnelle et de simplifier les formalits

administratives. Il sagit donc dun outil
ancr dans la ralit des mtiers. 2015
a vu le lancement des packs du secteur
bancaire et du secteur social et mdicosocial. Par ailleurs, laccompagnement se
poursuit sur les packs adopts en 2014 :
compteurs communicants, secteur des
assurances, logement social.
Les packs dans le secteur

conomique : dvelopper et
accompagner dans la dure
Le lancement du Pack de conformit
banque
Le secteur banque regroupe lensemble des tablissements bancaires et
organismes financiers qui offrent leurs
services aux particuliers notamment.
Il sagit dun secteur fortement rglement,
soumis de nombreuses
DEMANDES DE CONSEIL
JURIDIQUE TRAITES
contraintes qui concernent la fois les

modalits de gestion de la relation client
mais aussi, et de plus en plus, la mise en
uvre de traitements destins sassurer
de la lgalit des transactions.
Comme beaucoup de secteurs conomiques, le secteur banque connat une
volution sous linfluence du numrique
tant dans ses fonctions traditionnelles que
sur le segment du paiement distance.
Pour la CNIL, le secteur bancaire est particulirement important au regard de la
place quoccupent ces organismes dans
la vie quotidienne de leurs clients. ce
titre, la CNIL souhaite faciliter la mise
en conformit et accompagner ces professions dans leur mutation numrique
par ladoption dun pack ddi.
Ce pack concrtise une volont partage daborder les traitements mis
en uvre par la profession dans leur
globalit et de fournir des outils encore
mieux adapts aux besoins actuels.
Outre un travail de reprise de lexistant et notamment des normes les plus
anciennes, le travail commun doit permettre daborder des questions nouvelles

ou particulirement sensibles tant pour
la profession, les particuliers ou lEtat.
Cest ainsi que le premier cycle de
discussion a abouti en juillet 2015
la production dune premire autorisation unique consacre la gestion des
comptes bancaires et coffres forts inactifs (autorisation unique n45). Lanne
2016 verra la finalisation de lautorisation unique en matire de lutte contre la
fraude et la rvision des normes mtiers
lies la gestion des crdits ou des prts.
Poursuivre la relation de confiance avec
le suivi des packs existants
lissue des travaux des annes 2013
et 2014, le secteur de lassurance a pu
bnficier dun pack complet entirement
dimensionn pour assurer aux socits,
mutuelles dassurance, institutions de
prvoyance et intermdiaires une conformit la loi Informatique et Liberts.
ce titre, la CNIL a enregistr prs de
1 300 engagements de conformit pour
les normes simplifies lies la gestion
des contrats dassurance et la gestion
commerciale des clients. Plus encore
ladhsion du secteur de lassurance
sest traduit par ladoption rapide par les
compagnies des autorisations uniques du

second volet du pack conformit qui permettent le traitement du NIR, de donnes
dinfractions ou encore la lutte contre la
fraude dans le respect de la lgislation.
En parallle, les services de la
Commission sont prsents lors de manifestations organises par les assureurs
tant pour expliquer le pack que pour dialoguer autour de thmes comme le Big
data dans lactuariat ou la relation client.
Avec plus de recul encore, lexpertise
de la CNIL acquise dans le secteur de
lnergie est sollicite par lensemble de la
filire pour assurer la mise en application
de la loi transition nergtique et croissance verte comme pour accompagner le
dploiement du compteur Linky.
Forte dune recommandation sur les
rseaux de distribution lectrique intelligents (2012) ou dun pack compteur
communicant (2014) la CNIL mobilise
ses forces pour faciliter lmergence de
solutions respectueuses de la vie prive
des consommateurs et rpondant aux
attentes de professionnels notamment en
ce qui concerne louverture des donnes.
Les modalits de dploiement des
compteurs Linky sur la priode 20152021, qui vont concerner 35 millions
de foyers, reflte un quilibre acquis au
DFINITION
BILAN DACTIVIT
Club de
conformit
assurance
Sur la base du dialogue tabli

avec la profession et ses
reprsentants sest form
un Club de conformit qui
permet dassurer un dialogue
suivi avec les entreprises. Ce
Club permet ainsi daborder
les questions nouvelles qui
se posent notamment quant
lutilisation des rseaux
sociaux pour la recherche des
bnficiaires des contrats
dassurance vie en dshrence
ou encore la mutualisation des
fraudes en matire de sinistres
automobiles.
terme de nombreux changes avec les

fournisseurs dnergie, les gestionnaires
de rseaux, le ministre de lcologie et
le mdiateur de lnergie.
49
Les packs de conformit de la

sphre sociale et mdico-sociale
Le lancement du pack dans le secteur
social et mdico-social
Il sagit dun secteur htrogne,
tant du point de vue des publics accompagns (personnes ges, personnes
handicapes, familles en difficults
sociales, etc.) que des modes dintervention (accompagnement administratif,
judiciaire et social, logement et cadre de
vie, insertion sociale et professionnelle,
sant, accompagnement la scolarit,
animation socio-ducative).
De nombreux changes avec les
acteurs, reprsentants des travailleurs
sociaux et organismes uvrant dans
le champ de laction sociale et mdicosociale, sont intervenus tout au long de
lanne 2015. Ils ont permis la CNIL de
mieux apprhender les particularits du
secteur, tenant en particulier la gestion
de nombreuses donnes sensibles, et les
difficults rencontres dans lapplication
de la loi Informatiques et Liberts.
Le pack de conformit qui rsulte
de ces travaux sera adopt au premier
trimestre 2016 par la CNIL. Il se compose d outils de simplification, de fiches
explicatives et dun guide oprationnel
Les trois outils de simplification des
formalits au travers de rfrentiels
thmatiques :
Le label
Le Label atteste de la
conformit dun produit
ou dune procdure aux
exigences des rfrentiels
de la CNIL.
Il permet :
- De disposer dun avantage
concurrentiel
- Dafficher un indicateur
de confiance,
- Daugmenter sa crdibilit,
- De prouver son attitude
thique et responsable,
- Danticiper le futur
rglement europen.
-
une autorisation unique portant sur
les traitements mis en uvre dans le
cadre de laccueil et laccompagnement
des personnes handicapes et des personnes ges,
- une autorisation unique relative aux traitements mis en uvre dans le cadre
de laccueil, lorientation et laccompagnement social des personnes
- une autorisation unique relative aux traitements mis en uvre dans le cadre
de la prvention et la protection de
lEnfance.
Les fiches explicatives rappelant
les grands enjeux dans ce secteur (donnes sensibles, partage des informations, scurit...). Elles sont destines
accompagner les acteurs dans lappropriation des rgles relatives la protection des donnes personnelles grce
des informations pratiques (recommandations de la CNIL, bonnes pratiques,
etc.)
Le guide oprationnel consistant
accompagner les acteurs dans leur
dmarche de mise en conformit en
leur proposant un recueil des actions
concrtes mener.
Le suivi du pack sur le logement social
et les travaux mens sur la silver conomie
Les packs de conformit saccompagnent dactions de sensibilisation
SUIVRE
DFINITION
50
Dans le prolongement
des travaux mens pour
llaboration du pack
social, et dans le cadre
du partenariat entre
la CNIL et la FIEEC,
un groupe de travail
a t cr pour laborer
une seconde brique
au pack sur les compteurs
communicants. Elle
est consacre aux
conditions de collecte
et de traitement des
donnes personnelles
par les appareillages
de domotique et de
dispositifs dassistance
destins prserver
lautonomie des sniors.
des diffrents acteurs concerns (responsables de fichiers et chargs de la mise en

uvre). La CNIL est ainsi rgulirement
associe des manifestations organises
par les organismes du secteur social et
mdico-social pour dvelopper sa mission de pdagogie auprs des professionnels et notamment dans le secteur du
logement social.
LE LABEL : UN AVANTAGE
CONCURRENTIEL
Cr il y a un an, le label Gouvernance rpond aux attentes des organismes tant privs que publics, de petites
et de grandes tailles, soucieux de mettre
en avant leur gestion des donnes personnelles de manire gnrale.
Le premier organisme bnficiaire de
ce label est le Dpartement des Alpes
Maritimes. Cet exemple ouvre dsormais
la voie aux 650collectivits territoriales
et tablissements Publics de Coopration
Intercommunale qui disposent dj dun
CIL et qui peuvent donc potentiellement
prtendre lobtention de ce label.
Depuis, dautres demandes de label gouvernance ont t examines et pourraient
donner lieu des

obtentions en 2016.
la fois gage de scurit juridique et
informatique et instrument de valorisation, le label CNIL gouvernance est la
dmonstration de lengagement thique
et citoyen de lorganisme.
Il est donc lune des principales applications du principe daccountability (principe de responsabilit) prvu par le projet
de rglement europen. Ce texte encourage dailleurs, de faon trs explicite, la
cration et le dveloppement des labels,
certifications, et marques de protection
des donnes, notamment lchelle de
lUnion Europenne.
NXXXX-XXXX
EXPIRE : XX/XX/X
BILAN DACTIVIT
Les premiers renouvellements

des labels dlivrs en 2012
Dlivrs pour la premire fois en juin
2012, les labels Formation et Audit
de traitements font lobjet, en 2015,
des premires demandes de renouvellement. En effet, six mois avant chance
de la dure de validit de 3 ans, les
labels CNIL doivent faire lobjet dune
demande de reconduction afin dtre
prolongs. Cette demande peut prendre

plusieurs formes : du simple courrier en
indiquant si des lments constitutifs de
lobjet du label ont chang au dpt dun
nouveau formulaire. Dans tous les cas,
ces demandes font lobjet dune instruction de la part de la Commission qui a
dcid, pour le moment, de reconduire
lintgralit des 14 demandes qui lui ont
t adresses.
Nombre de demandes reues

37
40
RFRENTIELS
97
DEMANDES
DE LABELS REUES
73
LABELS DLIVRS
30
19
20
10
0
20
16
5
2011
MOIS DE DLAI MOYEN

DE DLIVRANCE
2012
2013
2014
2015
Simplification des transferts

encadrs par des BCR
Les BCR sont des codes de conduite
dfinissant la politique dun groupe dentreprises en matire de transferts de donnes personnelles effectus en dehors de
lEspace conomique europen.
Grce la mise en uvre de mesures
proactives dites daccountability (responsabilisation) en sus des principes de
la directive 95/46/CE, les BCR sont de
vritables programmes de mise en conformit et de gouvernance, puisquelles permettent de dfinir les grandes valeurs
du groupe en matire de protection des
donnes lchelle mondiale, mais aussi
les mcanismes internes qui permettront
dassurer concrtement leur respect
(audit, formation, rseau de dlgus
la protection des donnes, etc.).
INFO +
LES RGLES DENTREPRISE CONTRAIGNANTES

OU BCR (BINDING CORPORATE RULES)
Les autorisations uniques BCR

Reconnaissant que ladoption de BCR tmoigne de lengagement
dun groupe multinational protger les donnes personnelles
lorsquelles sont transfres entre ses entits, la CNIL dlivre
depuis 2015 une autorisation unique par groupe ayant adopt
des BCR. Cela permet aux responsables de traitement soumis
au respect des obligations de la loi Informatique et Liberts
deffectuer un engagement de conformit lautorisation
unique BCR de leur groupe (ou du groupe de son sous-traitant
en prsence de BCR sous-traitant ) via le formulaire de
dclaration simplifie. Une fois cet engagement effectu,
les responsables de traitement doivent tenir disposition
des services de la CNIL une liste dtaille et jour de chaque
transfert. Ainsi, il nest plus ncessaire de demander
la CNIL une autorisation par finalit de transfert.
En 2015, la CNIL a dlivr 17 autorisations uniques BCR.
51
52
Rpartition par secteur dactivit des 78 groupes ayant officiellement

adopt des BCR au 31 dcembre 2015
BANQUE-ASSURANCE
BCR
responsable de traitement
ABN AMRO, AXA*, Citigroup, ING Bank, JP Morgan Chase & Co.,
Rabobank, Socit Gnrale*
INDUSTRIE
BCR
Aker Solutions, Airbus Group*, AkzoNobel, ArcelorMittal, BakerCorp,

BMW, BP, Cargill, Continental, Corning*, D.E. Master Blenders
1753 (ex Sara Lee), DSM, Engie* (ex GDF SUEZ), Fluor, General
Electric*, Johnson Controls, Michelin*, Osram, Safran*, Schlumberger,
Schneider Electric*, Shell, Siemens, Total*
LUXE
BCR
Herms*, LVMH*
NOUVELLES TECHNOLOGIES
BCR
Atmel, CA Plc, Flextronics, HP Enterprise*, HP Inc.*, Intel, Motorola

Mobility, Motorola Solutions, NetApp, OVH*,
BCR
sous-traitant
Salesforce*
BCR
et sous-traitant
Atos*, BMC Software*, Linkbynet*, Philips Electronics

SANT
BCR
BCR
et sous-traitant
AstraZeneca, Bristol Myers Squibb*, Cardinal Health, CareFusion,

GlaxoSmithKline, IMS Health, Novartis*, Novo Nordisk, Sanofi*, UCB
Align Technology
SERVICES
BCR
BCR
responsable de traitement et soustraitant
* groupes ayant dsign la CNIL comme autorit chef de file
Accenture, Akastor, American Express, Ardian* (ex AXA Private

Equity), CMA-CGM*, Deutsche Post DHL, Deutsche Telekom, eBay, EY
(ex Ernst & Young), Hyatt, International SOS*, LeasePlan, Legrand*,
Linklaters, Simon-Kucher & Partners, Spencer Stuart,
First Data, Sopra HR Software* (ex HR Access), TMF Group
BILAN DACTIVIT

FORTE AUGMENTATION DU NOMBRE DE PLAINTES :
7 908 PLAINTES REUES EN 2015
Depuis quatre ans le nombre de
plaintes tait assez stable, grce notamment lamlioration continue de linformation et de lorientation des plaignants,
mais lanne 2015 rompt avec cette
tendance et affiche un nombre record de
7 908 plaintes reues. Cette augmentation sexplique en grande partie par lamlioration du service de plainte en ligne qui
permet dsormais de saisir la CNIL sur un
plus grand nombre de sujets.
Comme les annes prcdentes, les
plaintes concernent principalement les
secteurs internet/tlphonie (36 %) et
commerce (26 %) qui reprsentent eux
deux 62 % des plaintes.
La CNIL a reu
7 908 plaintes dont
plus de 65 %
via le nouveau
service de plaintes
en ligne disponible
sur son site.
Cest 2000 de
plus quen 2014.
Nombre de plaintes depuis 2010

9000
7 908
8000
7000
6000
5000
4 821
5 738
6 017
5 638
5 802
Rpartition des plaintes par secteur
4000
3000
INTERNET
TELECOM 36%
2000
COMMERCIAL
26 %
1000
INFO +
2010
2011
2012
2013
2014
De manire gnrale, ces plaintes montrent que les citoyens souhaitent

avoir une plus grande confiance dans lconomie numrique en ayant
plus de scurit au travers de lutilisation des services en ligne.
Ils souhaitent galement prserver leur vie prive, grer leur
e-rputation, connatre leurs droits et lutilisation qui est faite
de leurs donnes par les responsables de traitement.
2015
AUTRES
3%
SANT
SOCIAL
3%
POLICE
JUSTICE 1 %
LIBERTS
PUBLIQUES
5%
BANQUES 10 %
TRAVAIL 16 %
53
54
Internet/tlcom (36 % des plaintes reues)
Ressources humaines (16 % des plaintes reues)
La majorit des personnes qui sadressent la CNIL

sopposent la diffusion de leurs donnes personnelles (nom, coordonnes, commentaires, photos)
sur un annuaire, un site marchand, un site de rencontres, un rseau social, un blog ou un forum etc.
Un nombre important de plaintes concerne galement des
problmes de scurisation des donnes.
Le nombre de plaintes est en lgre augmentation (+2%).

Ces plaintes concernent pour la moiti des dispositifs de
vido filmant les salaris sur leur lieu de travail, souvent
de manire disproportionne.
Plus gnralement, sont mis en cause des dispositifs de
surveillance accrue des salaris : golocalisation des vhicules ou des smartphones, accs la messagerie, prise de
contrle distance des postes de travail etc. Les employs
sont souvent sommairement informs des dispositifs mis
en place par leur employeur. Lintervention de la CNIL
est galement rgulirement sollicite lorsque lemployeur
refuse de communiquer au salari les informations en lien
avec son dossier professionnel.
Commerce/marketing (26 % des plaintes reues)

Ces plaintes sont principalement relatives de la prospection par courriel (spam) et des demandes de radiation de
fichiers publicitaires.
Les personnes ne souhaitent pas que leurs adresses soient
publies ou rcupres lorsquelles dposent des annonces
en ligne. Elles sinquitent galement de la conservation
sans leur accord des informations relatives la carte bancaire qui sont susceptibles dtre rutilises pour raliser
des achats frauduleux.
la suite dun achat en ligne auprs dune socit franaise,

Monsieur G reoit des sollicitations par courriel plusieurs
fois par jour. Il soppose ce dmarchage via le lien de
dsabonnement indiqu dans les courriels, mais sans succs.
Le plaignant est agac par ces sollicitations rptes.
Il adresse une plainte la CNIL, via le service de plainte
en ligne, en joignant sa plainte la copie dcran de sa
demande auprs de la socit. La CNIL a rappel la socit
ses obligations en matire de prospection par courriel
et M. G a t supprim des listes de diffusion.
Banque/crdit (10 % des plaintes reues).

Le principal motif de saisine de la CNIL est labsence de
leve de linscription au fichier des incidents de crdit et de
paiement (FICP) ou au fichier central des chques et cartes
aprs rgularisation (FCC). Ces leves dinscription tardives
des fichiers grs par la Banque de France, obtenues aprs
lintervention de la CNIL, et bien que les personnes ont
rgularis leur situation, entranent des prjudices importants. Ainsi, une inscription au FICP ne permet souvent pas
aux personnes de se voir attribuer des moyens de paiement
(chquier, carte bancaire) et linscription au FCC entrane
les mmes dsagrments.
La CNIL a galement t saisie de plaintes relatives aux
cartes bancaires sans contact (NFC).
Ces plaintes ont montr :
- que les clients ntaient pas informs de manire satisfaisante de la mise en place de ce dispositif,
- les difficults rencontres pour obtenir une carte dpourvue de la fonction NFC.
Les tablissements financiers, dans lensemble, se sont
cependant conforms en 2015 aux recommandations de
la CNIL en la matire.
Madame T. signale la CNIL un transfert automatique de

tous les courriels reus sur son adresse professionnelle vers
ladresse de sa suprieure hirarchique, et ce sans information
pralable. La CNIL est intervenue auprs de lemployeur, en lui
rappelant que de tels envois systmatiques taient excessifs au
regard du droit la vie prive du salari sur le lieu de travail.
Lorganisme a cess ces transferts automatiques,
non prvus par la charte informatique, et dont les salaris
ntaient pas informs.
Liberts publiques (5 % des plaintes reues)

Ces plaintes concernent principalement des demandes
danonymisation ou dopposition la diffusion en ligne
darticles de presse (voir Partie I Analyses sur vie prive et
libert de la presse).
En raison des lections rgionales qui se sont droules
en2015, la CNIL a reu de nombreuses plaintes relatives
des campagnes de-mailing politique ou des appels effectus par des automates. Plusieurs dysfonctionnements sont
voqus : non respect du droit dopposition par les candidats ou les partis politiques, non respect du droit daccs
en particulier en ce qui concerne lorigine des donnes,
dtournements de fichiers (utilisation de fichiers dassociations ou de la collectivit pour de lemailing politique),
collecte dloyale.
Un tudiant a saisi la CNIL pour dnoncer linstallation de

camras dans les salles de classe. Ces camras plaaient
sous surveillance constante les professeurs et les lves.
Elles taient utilises par la direction de ltablissement pour
leur adresser des remarques sur leur comportement alors
que ce dispositif avait pour vocation dassurer la scuris des
biens et des personnes. A la suite de lintervention de la CNIL,
ltablissement a retir les camras installes dans les salles
de classe.
FOCUS
BILAN DACTIVIT
La e-rputation
Face la pratique gnralise consistant rechercher des
informations sur une personne via les moteurs de recherche,
contrler sa rputation sur internet constitue une proccupation
grandissante des citoyens. Ces derniers ont leur disposition
deux dmarches aux effets diffrents :
- soit, sadresser au site qui est lorigine de la diffusion de
linformation, cest--dire exercer son droit dopposition auprs
du site. Si le site rpond favorablement la demande, il pourra
supprimer le contenu qui ne sera plus accessible sur internet ou
procder son anonymisation (par exemple, sil sagit dun article
ou dun commentaire sur un forum, les rfrences lidentit de
la personne seront supprimes mais pas le reste du contenu) ;
- soit effectuer une demande de drfrencement, cest dire
demander la suppression de certains liens de la liste des rsultats
affichs par le moteur de recherche (ce droit a t reconnu par une
dcision de la cour de justice de lunion europenne - CJUE du 13 mai 2014). En 2015, la CNIL a reu prs de 450 plaintes de
personnes physiques qui se sont vu opposer un refus une demande
de drfrencement effectue auprs dun moteur de recherche.
Les usagers demandent principalement la suppression de liens
(URLs) diffuss sur des annuaires, des blogs, pages web perso,
des sites marchands, des sites de presse et des rseaux sociaux.
La CNIL est intervenue auprs des moteurs de recherche pour leur
demander un drfrencement dans 30 % des dossiers traits.
Elle a reu de leur part 76 % de rponses favorables.
signaler toutefois que de nombreuses demandes de
drfrencement adresses la CNIL nentrent pas dans le cadre
de la dcision de la CJUE (par exemples : les donnes concernent
des personnes morales et non des personnes physiques,
ou la demande porte sur le respect des droits dauteur).
Succs du dploiement de la
nouvelle version de la plainte
en ligne
La CNIL a mis en ligne une nouvelle version de son service de plaintes
en ligne en mars 2015 afin de mieux
rpondre aux besoins des internautes en
les accompagnant davantage dans leurs

dmarches ou en les orientant vers les
bons interlocuteurs.
Ainsi, une information dtaille est
dlivre au travers dune cinquantaine
de scnarios qui comportent :
- des informations sur les dmarches
- Monsieur T. demande le drfrencement

de deux liens renvoyant vers la fiche
descriptive de son brevet dpos en 2006,
et diffusant ses prnom, nom ainsi que son
adresse personnelle. Il invoque lappui
de sa demande quil ne paye plus ses
annuits et que le brevet est dsormais
caduc. En outre il ne souhaite pas que
ses coordonnes personnelles soient
diffuses en ligne. Le drfrencement a t
demand au motif que les informations sont
inexactes, pas jour, et la publication de ces
informations ne rpond pas une obligation
lgale. La diffusion des coordonnes
personnelles de Monsieur T. comporte
un risque datteinte sa vie prive.
En consquence, linclusion de ces
informations dans les rsultats du moteur
de recherche Google nest pas pertinente au
regard de lintrt du public en connatre.
- Monsieur B. souhaitait faire drfrencer
un lien renvoyant vers une interview quil a
donne en 2015 dans le cadre de son activit
professionnelle. Aprs analyse, linformation
est apparue exacte, rcente et relative
la vie professionnelle de Monsieur B.
En outre, le contenu a t publi des fins
journalistiques, la personne ne pouvait
ainsi ignorer que ces propos seraient
diffuss. Ds lors, la CNIL
a considr que linclusion de cet article
dans les rsultats des moteurs de recherche
restait pertinente.
pralables accomplir avant de dposer

une plainte la CNIL ;
- des modles de courriers pour permettre lusager dexercer ses droits
daccs, rectification et opposition ;
- des liens vers dautres organismes
comptents, notamment lorsque la saisine ne relve pas de la loi Informatique
et Liberts (escroquerie, litige commercial, etc).
Cette nouvelle version du service de
plaintes en ligne a rencontr un vif succs
auprs des internautes. Depuis son ouverture, la CNIL a reu 32 % de plaintes
supplmentaires par rapport la mme
priode en 2014.
Cette nouvelle version propose linternaute 5 thmatiques : internet, commerce, travail, tlphonie, banque et
crdit. Les principaux motifs de plaintes
concernent la suppression dinformations
sur internet et les sollicitations commerciales par courrier lectronique.
55
LE DROIT DACCS AUX FICHIERS DE POLICE, GENDARMERIE,

RENSEIGNEMENT, FICOBA : UNE PROGRESSION CONSTANTE
DES DEMANDES
En application des articles 41 et
42 de la loi du 6 janvier 1978 modifie, les personnes qui souhaitent
vrifier les donnes les concernant
susceptibles dtre enregistres dans
les fichiers intressant la sret de
lEtat, la dfense et la scurit publique
(fichiers de renseignement, Systme
dInformation Schengen, etc.) ou qui
ont pour mission de prvenir, rechercher
ou constater des infractions (traitement
dantcdents judiciaires....) peuvent en
effectuer la demande par crit auprs de
la CNIL.
5 890 personnes se sont adresses

la CNIL en 2015 pour exercer leur droit
daccs indirect, ce qui reprsente une
augmentation de 12 % par rapport lanne prcdente. Le nombre de demandes
a ainsi progress de 37 % en lespace
de deux annes sous leffet principalement de lafflux de demandes relatives
au fichier FICOBA de ladministration fiscale pour le rglement des successions
pour lequel les conditions daccs sont
lgalement modifies pour les hritiers et
notaires compter du 1er janvier 2016.
5 890
DEMANDES DE DROIT
DACCS INDIRECT
soit + 12 % par rapport 2014
volution des demandes de droit daccs indirect 2013/2015
8 784
9000
8000
6000
5000
4000
6 656
6 623
7000
5 242
4 305
7 376
5 890
4 640
3 754
3000
2000
1000
0
2013
Nombre de dossiers ouverts
INFO +
56
2014
Nombre de dossiers clturs
2015
Nombre de vrifications effectues
tousfichiers confondus
Le Droit dAccs Indirect, comment a marche ?

rception de la demande accompagne dune copie dun titre didentit, un magistrat de la CNIL appartenant ou ayant
appartenu au Conseil dtat, la Cour de Cassation ou la Cour des Comptes est dsign pour mener les investigations
utiles et faire procder, le cas chant, aux modifications ncessaires. Les donnes peuvent ensuite tre portes la
connaissance de la personne concerne si, en accord avec ladministration gestionnaire, cette communication nest pas
de nature nuire la finalit du fichier, la sret de ltat, la dfense ou la scurit publique.
BILAN DACTIVIT
Demandes de droit daccs indirect 2015 :

rpartition par fichiers des vrifications
effectuer
DGSI 137
DPSD 55
CEA 18
DGSE 51
FPR 51
AUTRES* 16
FICOBA 4 016
TAJ POLICE
1591
TAJ
GENDARMERIE
1591
SIS 234
SRT 617
Afin de rpondre lensemble des

attentes de la personne concerne,
chaque demande implique gnralement quil soit procd des vrifications dans plusieurs fichiers. Les 5 890
demandes reues au cours de lanne
2015 reprsentent ainsi un total de
8 377 vrifications mener qui concernent principalement le fichier FICOBA
et le Traitement dAntcdents Judiciaires
(TAJ).
Au cours de lanne 2015, 8 784 vrifications ont t menes (soit + 32 % par
rapport lanne prcdente) dont 38 %
ont port sur le Traitement dAntcdents
Judiciaires (TAJ) qui a succd, au 1er
janvier 2014, aux fichiers STIC et JUDEX.
Lensemble des vrifications menes
en 2015 pour les procdures tablies par
la police nationale sest traduit par :
- la suppression de 16 % des enregistrements examins,
- la mise jour par mention des suites

judiciaires favorables intervenues dans
16% des cas ayant pour effet de rendre
les personnes inconnues de ce fichier
sous son profil de consultation administrative (enqutes pour lobtention
dun agrment ou dune habilitation
pour lexercice dun emploi, dun titre
de sjour, dune distinction honorifique).
Le pourcentage de personnes bnficiant de leffet de telles mises jour
savre plus important pour la gendarmerie nationale (42 %) dans la mesure
o, titre gnral, moins daffaires leur
sont associes.
8 784
VRIFICATIONS ONT T
MENES AU COURS DE
LANNE
soit + 32 % par rapport 2014
* FICOBA : Fichier des Comptes Bancaires et Assimils - TAJ police : Traitement dAntcdents Judiciaires (procdures
police) - TAJ gendarmerie : Traitement dAntcdents Judiciaires (procdure gendarmerie) - SRT : services de renseignement
territorial - SIS : Systme dInformation Schengen - FPR : Fichier des Personnes Recherches - CEA : Direction Centrale de
la Scurit du Commissariat lEnergie Atomique - DGSI : Direction Gnrale de la Scurit Intrieure - DGSE : Direction
Gnrale de la Scurit Extrieure - DPSD : Direction de la Protection de la Scurit de la Dfense - Autres : Fichier des
Courses et Jeux (FICOJ), Fichier des Interdits de Stades (FNIS), fichier relatif la gestion nationale des personnes dtenues
en tablissement pnitentiaire (GENESIS), Europol
Rsultats des vrifications concernant

le Traitement dAntcdents Judiciaires (TAJ)
TAJ
(procdures tablies
par la police
nationale)
TAJ
(procdures tablies
par la gendarmerie
nationale)
1740
1562
Nombre de personnes inconnues
319
1069
Nombre de personnes enregistres uniquement en tant que victimes
348
139
Nombre de fiches de personnes mises en cause vrifies
1073
354
- dont pourcentage de fiches supprimes
16%
15%
- dont pourcentage de fiches mises jour par mention de la dcision

judiciaire favorable intervenue (acquittement, relaxe, non lieu,
classement sans suite) rendant la personne inconnue du fichier
sous le profil de consultation administrative (enqutes administratives)
16%
42%
1%
<1%
67%
42 %
Nombre de vrifications individuelles effectues
ont pourcentage de fiches rectifies ayant eu pour effet

-d
de rduire le dlai global de conservation de lenregistrement
-dont pourcentage de fiches examines avec maintien de
lenregistrement de la personne (fiches exactes, rectifications mineures
sans incidence sur la dure de conservation, dfaut de rponse des
procureurs de la Rpublique sur les suites judiciaires intervenues)
57
RETENIR
58
Le droit daccs au fichier FICOBA : modification des modalits

daccs des hritiers et notaires dans le cadre des successions
compter du 1er janvier 2016, date dentre en vigueur de la loi n2014-617 du 13 juin 2014 relative aux comptes
bancaires inactifs et aux contrats dassurance vie en dshrence, les hritiers et notaires vont pouvoir obtenir
directement auprs de ladministration fiscale, les donnes issues du fichier FICOBA relative une personne
dcde aux fins de rglement des successions (article L.151 B. du livre des procdures fiscales).
Ces derniers ne devront donc plus sadresser la CNIL pour accder aux donnes de ce fichier. Elle demeurera
uniquement comptente pour les demandes formules par les personnes, ou le mandataire quelles auront dsign,
pour laccs aux donnes didentification de leurs propres comptes bancaires (exemples les plus frquents :
double dtention de livret A, usurpation didentit.).
Le contentieux en matire
de droit daccs indirect :
la comptence du Conseil dtat
en premier et dernier ressort
pour certains traitements ou
partie de traitements intressant
la sret de ltat
La CNIL est rgulirement appele,
par les juridictions administratives, prsenter ses observations dans le cadre de
requtes introduites par les personnes
contestant, au terme de la procdure de
droit daccs indirect, le refus de communication des donnes les concernant
enregistres dans les fichiers relevant des
articles 41 et 42 de la loi Informatique et
Liberts. 38 recours ont ainsi t engags
pour la seule anne 2015, dont la plupart
portant sur les fichiers des services de
renseignement des ministres de lintrieur et de la dfense.
Lexercice du droit daccs indirect
nemporte pas, en effet, pour la personne
un droit communication des donnes
enregistres dans les fichiers vrifis par
lun des magistrats de la CNIL.
Les donnes ne peuvent tre ainsi
communiques que si ce dernier, en
accord avec le service gestionnaire,
estime que cette communication nest
pas de nature nuire la finalit du
fichier, la sret de lEtat, la dfense et
la scurit publique . Toute opposition
du service gestionnaire fait obstacle
Nombre de contentieux relatifs au droit daccs indirect (2010-2015)
38
40
35
30
30
25
20
15
10
10
6
5
1
0
2010
2011
2012
la moindre communication de la CNIL

qui peut uniquement assurer la personne
de la ralisation des vrifications sollicites et lui indiquer les voies et dlais de
recours qui lui sont ouvertes pour contester le refus de communication.
Ces contentieux relvent, en premier
ressort, de la comptence du Tribunal
Administratif et doivent tre dirigs contre
le ministre gestionnaire de fichier et
non contre la CNIL dans la mesure o,
comme la rappel plusieurs reprises
le Conseil dEtat, la lettre de notification
quelle adresse la personne ne fait que
rvler la dcision sous-jacente de refus
de communication de ce dernier.
2013
2014
2015
Toutefois la loi n2015-912 du 24 juillet 2015 relative au renseignement attribue dsormais comptence au Conseil
dEtat pour connatre, en premier et dernier
ressort, des requtes relatives la mise
en uvre du droit daccs indirect pour
certains traitements ou partie de traitements intressant la sret de lEtat
(article L.331-4-1 du code de justice
administrative). Ces requtes seront traites par la formation spcialise institue,
par cette mme loi, pour connatre du
contentieux relatif la mise en uvre
des techniques de renseignement (articles
L.773-1 et L 773-8 du code de justice
administrative).
BILAN DACTIVIT
Le dcret n2015-1808 du 28
dcembre 2015 dfinit les traitements
concerns par ces nouvelles dispositions
(article R.841-2 du code de la scurit
intrieure). Sont notamment concerns :
les fichiers de la Direction Gnrale de la
Scurit Intrieure (DGSI) du ministre
de lintrieur, les fichiers de la Direction
Gnrale de la Scurit Extrieure
(DGSE), de la Direction de la Protection
de la Scurit de la Dfense (DPSD) et de
la Direction du Renseignement Militaire
(DRM) du ministre de la dfense.
Mise en demeure des ministres

de lintrieur et de la justice :
dlai de traitement des demandes
relatives au Traitement
dAntcdents Judiciaires (TAJ)
La Prsidente de la CNIL a adopt
le 2 fvrier 2015 une mise en demeure
publique lencontre du ministre de
lintrieur et du ministre de la justice
pour non respect des dlais lgaux dans
le traitement des demandes de droit daccs indirect au Traitement dAntcdents
Judiciaires (TAJ).
Cette mise en demeure est intervenue
en raison des retards importants pris dans
le traitement de ces demandes par les
services de la police nationale et par les
procureurs de la Rpublique, saisis dans
ce cadre. Ces dlais ont pour effet de
priver les personnes dun droit daccs et
de rectification efficaces aux donnes les
concernant enregistres dans ce fichier
consult notamment des fins denqutes
administratives pour laccs certains
emplois publics ou privs.

Les ministres concerns ont pris un
certain nombre de mesures afin dy remdier, en particulier :
- Le 31 juillet 2015, le ministre de la
justice a rappel par dpche aux procureurs de la Rpublique leur rle et les
dlais applicables en matire de droit
daccs indirect ;
- Le ministre de lintrieur a procd
un renforcement des effectifs de la
police nationale ddis au traitement
des demandes de droit daccs indirect
et une redfinition des procdures
internes de traitement et de suivi de ces
demandes.
Si les effets de ces mesures ne
peuvent tre apprcis que dans la dure,
le nombre de vrifications menes par
les magistrats en charge du droit daccs
indirect pour la police nationale a dores
et dj sensiblement progress (+ 7 %
par rapport 2014).
59
60
Procdure de droit daccs indirect

au traitement dantcdents judiciaires (TAJ)
rception du courrier de la personne :
saisine simultane par la CNIL
des services gestionnaires de police
et de gendarmerie nationales
Personne connue en tant

que mise en cause
POLICE / GENDARMERIE
Centralisation des procdures
tablies (procs-verbaux)
par les services de police
ou units de gendarmerie
pour chaque affaire
enregistre
JUSTICE
Interrogation par les services
gestionnaires du (des) procureurs(s)
de la Rpublique concerns(s) aux
fins dobtention :
de laccord de communication
(possibilit de refus si la
procdure nest pas pas
judiciairement close) ;
de la nature de la dcision
judiciaire intervenue et si
elle est favorable la personne
(acquittement, relaxe, non-lieu,
classement sans suite pour
absence dinfraction ou infraction
insuffisamment caractrise)
de leur accord ou opposition
concernant leffacement au
regard des conditions fixes
par larticle 230-8 du code
de procdure pnale
Organisation dune sance de vrifications avec le magistrat de la CNIL

ds que ces lments, essentiels la conduite des vrifications, sont annoncs
comme runis par les services gestionnaires
(dlai maximal fix par les textes pour la centralisation de ces lments : 6 mois)
Personne inconnue
dlai moyen de
rponse de 2 mois
Envoi dune lettre

de notification du rsultat
des vrifications effectues
Personne connue uniquement

en tant que victime*
dlai moyen de
rponse de 4 6 mois
(*) imposant galement linterrogation du Procureur de la Rpublique concern pour obtention de son accord de communication
SUIVRE
BILAN DACTIVIT
Conditions deffacement du Traitement des Antcdents Judiciaires

(TAJ) : perspectives dvolution de la lgislation nationale
Les conditions deffacement du fichier TAJ pour les personnes mises en cause dans des infractions sont strictement
dfinies par larticle 230-8 du code de procdure pnale. Seule lobtention de certaines suites judiciaires favorables
(jugement dacquittement ou de relaxe, ordonnance de non-lieu ou dcision de classement sans suite pour absence
dinfraction ou insuffisances de charges) peut, sous rserve de laccord du procureur de la Rpublique, permettre
dobtenir leffacement des faits avant le terme du dlai de conservation. A la suite de la premire condamnation de
la France par la Cour Europenne des Droits de lHomme (CEDH) le 18 septembre 2014 (Affaire Brunet contre
France), concernant au cas despce une personne ayant obtenu une dcision de classement sans suite pour un motif
(mdiation pnale) nouvrant pas lgalement une telle possibilit deffacement, des modifications lgislatives
sont annonces par le gouvernement afin de tirer les consquences de cette jurisprudence.
HISTOIRES VCUES
Effacement des enregistrements
Monsieur M., 34 ans, dirigeant dune
socit de surveillance et de gardiennage,
titulaire depuis 2005 de lagrment prfectoral requis a adress la CNIL une
demande de droit daccs indirect aprs
avoir reu du CNAPS (Conseil National
des Activits Prives de Scurit), dsormais comptent en ce domaine, un courrier faisant tat dinfractions de nature
faire obstacle au renouvellement de
son agrment et, de fait, au maintien de
son activit. Au terme des vrifications
menes par la CNIL, les deux faits concerns ont t supprims, en accord avec le
procureur de la Rpublique, car il avait
bnfici de suites judiciaires favorables
(classement sans suite pour insuffisance
de charges).
La mre de Monsieur D., mineur, a
souhait alerter la CNIL sur la situation de
son fils aprs son interpellation et placement en garde vue alors quil tait passager dune moto, acquise rcemment par
le pre de lun de ses amis. Au terme des
vrifications, lenregistrement dont il faisait lobjet pour recel de bien provenant
dun vol a t supprim car il ntait
nullement mis en cause. En loccurrence,
le pre de son ami avait achet, son
insu, une moto vole.
Monsieur B., 30 ans, a souhait quil

soit procd des vrifications en raison des difficults rencontres pour la
conduite de son projet professionnel dans
le domaine de la scurit prive en raison
de sa condamnation une amende pour
conduite dun vhicule sans permis et
pour des faits commis par son frre qui
avait usurp son identit. Au terme des
vrifications de la Commission, laffaire
qui lui tait imputable a t supprime en
raison de lexpiration du dlai de conservation (5 ans) et 6 autres infractions qui,
aprs comparaison dempreintes, se sont
effectivement avres avoir t commises
par son frre ont t supprimes.
Madame H. 27 ans, confronte
des difficults dexercice de sa profession dans le domaine de la restauration
qui lamne rgulirement intervenir en
zones aroportuaires, a souhait mettre
en uvre son droit daccs indirect. En
loccurrence, elle tait mise en cause pour
une affaire de vol en runion pour
stre empare, pour rpondre un dfi
dintgration lors de ses tudes, de dcorations de Nol sur une place publique.
Cette affaire a t requalifie en vol
simple et immdiatement supprime en
raison de lexpiration du dlai de conservation associ (5 ans).
Mise jour du fichier par

mention des dcisions judiciaires
favorables obtenues
Monsieur R., 37 ans, a vu sa
demande de naturalisation ajourne en
raison de son enregistrement dans le
fichier TAJ. Au terme des vrifications,
une affaire a t supprime en raison
du jugement de relaxe intervenu et les 6
autres subsistantes ont fait lobjet dune
mise jour par mention des dcisions de
classement sans suite dont il a bnfici.
Monsieur R. est ainsi devenu inconnu de
ce fichier sous son profil de consultation
administrative.
61
La CNIL a ralis 510 contrles en
2015. Cela reprsente 20 % daugmentation par rapport lactivit mene en 2014
(421 vrifications). Ces chiffres traduisent
la volont de la CNIL de sassurer de la
conformit relle des organismes avec les
rgles de protection des donnes personnelles, mais aussi dtendre le primtre
de ses investigations.
Sur ce total, la Commission a procd
155 contrles en ligne contre 58 en 2014,
sachant que ces contrles navaient commenc quen octobre 2014, cette facult
ayant t ouverte par la loi cette mme
anne. Ces contrles en ligne constituent
aujourdhui un outil dinvestigation part
entire, et permettent la CNIL dadapter ses modalits de contrle lunivers
numrique.
87 contrles ont permis la CNIL de
sassurer de la conformit des dispositifs
de vidoprotection et de vidosurveillance,
tant au regard de la finalit dclare de ces
dispositifs que de leur proportionnalit. Ces
contrles confirment que laction pdagogique de la CNIL (fiches pratiques, diffusion
PREMIERS BILANS
Le fonctionnement du Fichier des
Incidents de remboursement des
Crdits aux Particuliers (FICP)
Des contrles sur place ont t effectus en 2015 auprs de la Banque de
France, gestionnaire du Fichier des
Incidents de remboursement des Crdits
aux Particuliers (FICP), ainsi que des
contrles sur pices auprs de 14 tablissements bancaires (tablissements nationaux, rgionaux et banques en ligne).
Les rsultats de ces contrles se
sont rvls disparates : si la gestion du
fichier central par la Banque de France
apparat globalement satisfaisante,
a contrario, les contrles raliss auprs
des tablissements montaires et financiers ont montr quil nexistait pas de
pratique homogne concernant lutilisation de ce fichier. Ainsi, les modalits de
de conseils aux collectivits territoriales)

favorise la convergence des pratiques et
leur conformit la loi.
Les autres contrles, sur place ou sur
pices, ont port sur les autres types de traitements de donnes caractre personnel.
En 2015, 70 % des missions de contrle ralises (sur place, en ligne, sur audition) concernaient le secteur priv, 30 %
le secteur public. Sagissant des contrles
en ligne, ce sont 81 % des vrifications
qui ont t menes dans le secteur priv.
INFO +
62
501
CONTRLES
dont 155 contrles en ligne
87 contrles vido
Lorigine des contrles

41 % sont effectus linitiative de la CNIL, notamment au vu
de lactualit ;
35 % rsultent du programme annuel dcid par la Commission ;
15 % sinscrivent dans le cadre de linstruction de plaintes ;
5 % sont raliss dans le cadre des suites de mises en demeure
ou de procdures de sanction ;
4 % font suite un courrier dobservation adress aprs
un premier contrle.
consultation, les dures de conservation

et linformation des personnes sur les
consquences dun fichage au FICP ne
respectent pas toujours les dispositions
lgales. La CNIL, qui a dj adopt des
mesures rpressives en la matire, a rappel lensemble des acteurs concerns
la ncessit de respecter scrupuleusement les textes encadrant le fonctionnement de ce fichier.
Le Fichier judiciaire national

automatis des auteurs
dinfractions sexuelles
ou violentes (FIJAISV)
Cr en 2004, le Fichier judiciaire
national automatis des auteurs dinfractions sexuelles ou violentes (FIJAISV) a
pour objet de prvenir le renouvellement
des infractions de nature sexuelle ou
particulirement violentes et de faciliter
lidentification de leurs auteurs. Toute
personne inscrite se voit contrainte de
justifier priodiquement de son adresse
auprs des forces de police. Le FIJAISV

est galement utilis par les autorits
comptentes afin de contrler les conditions dencadrement de certaines activits
ou professions impliquant un contact avec
des mineurs.
La CNIL a procd 24 contrles
auprs de lensemble des acteurs institutionnels exploitant le FIJAISV. Les 14
contrles sur place et 10 contrles sur
pices ont t mens auprs des ministres et services impliqus dans la gestion
et lexploitation du fichier : service du
casier judiciaire, juridictions judiciaires,
tablissement pnitentiaire, protection
judiciaire de la jeunesse, forces de police
et de gendarmerie ainsi que ministres
concerns (Education nationale, Jeunesse
et sports). Ils ont notamment permis de
vrifier la rgularit des inscriptions, les
modalits de conservation des donnes
et la scurisation de laccs au fichier.
BILAN DACTIVIT
PREMIERS LMENTS - BILANS PRVUS EN 2016

Le paiement sans contact
La CNIL a lanc une srie de contrles
sur pices auprs des principales banques
franaises, concernant les cartes de
paiement qui disposent dune fonction
de paiement sans contact. Ces contrles
visaient dterminer la nature des donnes lisibles au moyen de la fonction de
lecture sans contact, leurs modalits de
scurisation, ainsi que les modalits de
dsactivation de la fonction de paiement
sans contact. La CNIL sest galement
attache vrifier dans quelle mesure
les porteurs de ces cartes de paiement
sont informs de leurs droits. Lanalyse
des rponses des organismes contrls
se poursuivra en 2016.
Les risques psychosociaux en entreprise (RPS)
FOCUS
Les enqutes menes par les entre-
prises auprs de leurs salaris afin de

mieux valuer et lutter contre le stress au
travail se sont multiplies. Ces enqutes
de prvention des risques psychosociaux
conduisent recueillir auprs des salaris des informations sur leurs sentiments,
leurs perceptions et leurs expriences,
suscitant des inquitudes chez certains
dentre eux ainsi que chez des reprsentants du personnel. La CNIL a ainsi t
saisie de plaintes qui ont provoqu des
contrles auprs dorganismes du secteur
public et du secteur priv, ainsi quauprs
de prestataires qui sont confies ces
enqutes. Les premires constatations ont
mis en vidence lutilisation de questionnaires accessibles sur internet, et la CNIL
a port une attention particulire linformation des salaris sur le caractre facultatif des enqutes, ainsi quau respect de
lanonymat des personnes interroges.
Le Systme national des permis de

conduire (SNPC)
Le Systme national des permis de
conduire (SNPC) a fait lobjet dune srie
de contrles, visant les acteurs institutionnels chargs den assurer le fonctionnement et de lexploiter. Prs de 10
contrles ont t raliss afin de vrifier
la rgularit des procdures dinscription
des personnes et dlaboration des titres
(jusqu la ralisation physique du permis). Les contrles ont galement port
sur les modalits de gestion, de consultation et de mise jour des donnes traites
au sein du SNPC, sagissant en particulier de linscription des infractions et du
retrait de points du permis de conduire.
Ils permettront par ailleurs de vrifier la
rgularit des volutions lies la mise
en place du nouveau permis de conduire
europen (SI- FAETON).
Les traitements mis en uvre au titre de la gestion

de limpt sur le revenu
La CNIL a inscrit son programme annuel de contrle les traitements de gestion de limpt sur le revenu,
auquel plus de 17,6 millions de contribuables ont t assujettis en 2014. Entre fin 2014 et dbut 2015,
ce sont ainsi 12 contrles sur place qui ont t raliss sur lensemble du territoire national, auprs de
directions et de services comptence nationale comme de services dconcentrs de la direction gnrale
des finances publiques (DGFiP). Des investigations ont t diligentes auprs de deux services des impts
des particuliers, cinq tablissements de services informatiques, la direction nationale des enqutes fiscales
et une brigade de contrle et de recherches. Ces investigations avaient pour objet danalyser les principales
tapes du dossier dun contribuable, incluant son identification, sa dclaration de revenus, le rglement des
sommes dues et la vrification des donnes dclares.
Cest ainsi que prs dune dizaine de traitements mis en uvre au titre de la gestion de limpt sur le revenu
ont fait lobjet de contrles :
- ILLIAD, traitement de gestion des dossiers du contribuable par les services des impts des particuliers ;
- ADONIS, qui offre une vue synthtique du compte fiscal dun particulier aux agents de la DGFiP ;
- SIR et PERS, traitements didentification des contribuables ;
- Tl-IR, traitement de dclaration de revenus en ligne par le contribuable ;
- SATELIT, traitement de vrification de la taxation et de paiement de limpt en ligne ;
- SVAIR, tlservice permettant des organismes tiers de vrifier lauthenticit de lavis ou du justificatif
dimpt
sur le revenu prsent par un contribuable ;
- les traitements relatifs ldition des dclarations de revenus pr-remplies et des avis dimposition.
Au terme de ces investigations, il est apparu que les conditions de mises en uvre des traitements contrls
sont globalement satisfaisantes. Des mesures de scurit appropries ont t constates (scurit physique
forte, gestion fine des habilitations, audits internes rguliers), de mme quune collecte lgitime et
proportionne des donnes.
Nanmoins, des axes damliorations ont t identifis, sagissant notamment des dures de conservation de
certaines donnes. Linformation des personnes quant aux droits garantis par la loi Informatique et Liberts
sest quant elle avre incomplte, voire absente de certains formulaires de collecte dinformation.
Ces conclusions ont t portes la connaissance du ministre des Finances et des comptes publics.
63
64
BILAN DES ACTIONS COORDONNES

AU NIVEAU EUROPEN ET INTERNATIONAL
La CNIL a poursuivi en 2015 des

actions daudit en collaboration avec ses
homologues europens et internationaux.
Cette collaboration sest traduite par la participation un nouveau Sweep Day ,
ainsi que par des contrles raliss
en concertation avec ses homologues
europens.
Sweep Day,
quelle protection des donnes
personnelles sur les sites
pour les jeunes ?
Pour la troisime anne conscutive,
la CNIL sest associe aux 29 autorits membres du GPEN (Global Privacy
Enforcement Network - rseau international
dautorits en charge de la protection de la
vie prive) pour participer une opration
conjointe dite Sweep Day.
En 2015, lopration a port sur les sites
internet consults par les enfants et adolescents. La CNIL a examin en mai une
cinquantaine de sites et analys le niveau

de protection de la vie prive du jeune
public vis (donnes collectes, qualit de
linformation, mesures de vigilance, etc.).
Elle a mis en vidence linsuffisance des
mesures de protection des donnes sur ces
sites, et ce, quil sagisse de rseaux sociaux
ou de sites de jeux, lis des chanes de
tlvision, ducatifs, dactualits, ou encore
de soutien scolaire. Or, ces sites collectent
massivement des donnes personnelles, en
imposant la cration dun compte utilisateur pour accder leurs fonctionnalits.
De mme, linformation nest que rarement
adapte au public vis et la plupart des sites
ne mettent en uvre aucune mesure de
vigilance ou de contrle parental.
Au-del de laction de coopration internationale, cette action coordonne a permis
de sensibiliser les parents aux questions de
protection de la vie prive et de promouvoir
des bonnes pratiques auprs des responsables de ces sites.
BILAN DACTIVIT
Exploit par 32 Etats membres de

lUnion europenne et partenaires, le
traitement EURODAC a pour finalit de
dterminer ltat responsable de lexamen
dune demande dasile. Il comprend un
systme automatis de reconnaissance
dempreintes digitales et inclut prs de
2,7 millions de profils de demandeurs
dasile et de personnes ayant franchi une
frontire extrieure de lUnion europenne
de manire irrgulire. Depuis 2015, le
traitement peut tre consult par les
autorits de poursuite pnale lorsquelles
recherchent les auteurs dinfractions
pnales graves ou dactes de terrorisme.
La CNIL fait partie de lorgane indpendant de contrle dEURODAC, aux
cts de ses homologues europens ainsi
que du Contrleur europen de la protection des donnes (CEPD). A ce titre,
elle a vrifi en 2015 le respect de la
procdure de droit daccs dont bnficie chaque personne inscrite ainsi que
les modalits dinscription et de mise
jour de la base pour les personnes ayant
demand une protection internationale
sur le sol franais.
prservant lordre et la scurit publics.

Aliment quotidiennement par lensemble
des Etats membres de lespace Schengen,
il rassemble notamment les donnes
relatives aux trangers signals aux fins
de non admission sur le territoire europen. Il est exploit par les services des
ministres rgaliens (Intrieur et Affaires
Etrangres) lorsquils mettent en uvre
la politique de visas, sagissant des
demandes dentre adresses la France.
Dans le but dassurer une approche
coordonne, le Contrleur europen de
la protection des donnes (CEPD) et
les autorits nationales de protection
des donnes se runissent intervalles
rguliers afin dexaminer les problmes
communs que pose le fonctionnement du
SIS II et de recommander des solutions
communes. En 2015, les investigations
de la CNIL ont particulirement port sur
linstruction des demandes de droit daccs indirect (accs la demande dune
personne par lintermdiaire de la CNIL)
et sur lexactitude et la mise jour des
donnes exploites par les services administratifs dans le cadre des admissions
sur le territoire franais.
Le systme dinformation
Schengen II (SIS II)
Les rgles de confidentialit

de Facebook
Le fichier SIS II a pour objet de permettre aux pays de lespace Schengen de

mettre en place une politique commune
de contrle des entres dans lespace
Schengen et ainsi faciliter la libre circulation de leurs ressortissants tout en
En coopration avec les autorits de

protection des donnes personnelles
de Belgique, des Pays-Bas, dEspagne
et du Land allemand de Hambourg, la
Commission a men en 2015 des investigations relatives aux rgles de confiden-
Une anne de contrles en ligne
tialit applicables aux services du rseau

social Facebook.
Les investigations ont pris la forme
de contrles sur place, sur pices et en
ligne. Les autorits nationales de protection des donnes personnelles ont
chang des informations afin de veiller
la cohrence de leurs actions et la CNIL
examine les suites ventuelles donner
ses constatations.
DERNIRE MINUTE
EURODAC
De nombreuses thmatiques ont t abordes, telles que les sites de tirage dalbums
photo, de conseil de sant en ligne, de crdit en ligne, dadhsion des partis politiques,
de demande dactes dtat civil ou encore de participation volontaire des tudes cliniques.
Les vrifications ont port sur la pertinence des informations collectes, la scurit
des traitements de donnes, linformation des utilisateurs ainsi que la conformit
la rglementation relative aux cookies.
Le pouvoir de contrle en ligne a considrablement renforc les capacits de raction
de la CNIL lorsquelle constate des failles de scurit accessibles via internet,
dont certaines ont pu conduire ladoption de mises en demeure ou de sanctions,
voire linformation du procureur de la Rpublique.
28
Dernire
minute...
Le 9 fvrier 2016,
la Prsidente de la CNIL
a mis publiquement en
demeure FACEBOOK de
se conformer, dans un
dlai de trois mois,
la loi Informatique et
Liberts. Elle lui demande
notamment de collecter
loyalement les donnes
de navigation des
internautes ne disposant
pas de comptes FACEBOOK
et que les membres
puissent sopposer
la combinaison
de lensemble de leurs
donnes des fins
publicitaires.
155
CONTRLES
EN LIGNE ONT
T RALISS
EN 2015.
contrles en ligne raliss en 2015

ont conduit la notification dune mise en demeure en 2015;
deux procdures de sanction ont t engages mais sont toujours en cours en fvrier 2016
65
ACTIVIT RPRESSIVE: DES MISES

EN DEMEURE EN FORTE AUGMENTATION
Lanne 2015 se caractrise par une
forte hausse du nombre de mises en
demeure adoptes par la Prsidente de
la CNIL.
En effet, 93 mises en demeure ont
t adoptes (soit une augmentation de
50 % par rapport 2014). Cette hausse
sexplique notamment par la ralisation
de contrles sinscrivant dans des thmatiques ayant rvl de nombreux manquements: cookies (40 mises en demeure
lencontre dorganismes disposant de

sites internet), sites de rencontre (8
mises en demeure publiques) ou encore
services dmatrialiss dactes dtat
civil (20 mises en demeure lencontre
de communes).
La grande majorit des mises en
demeure fait suite des missions de
contrle (92 % des dcisions) dont certaines conscutives des plaintes reues.
93
MISES EN DEMEURE
dont 12 publiques
10
RAPPORTS DE SANCTIONS
SANCTIONS FINANCIRES
dont 2 publiques
Rpartition des mises en demeure par secteur
AVERTISSEMENTS
dont 2 publics
SYNDICAT : 1 MOTEUR DE RECHERCHE : 1
1% 1%
ORGANISME PUBLIC : 1
1%
SITE DE RENCONTRE : 8
9%
SPORT : 1
1%
COMMUNE : 21
23 %
SITE INTERNET
DINFORMATION : 20
PERSONNE PHYSIQUE : 2
22 %
2%
MINISTRE : 4
COMMERCE EN LIGNE : 13
4%
SOCIT DE SERVICE
ET ACTIVIT DIVERSES : 13
14 %
COMMERCE : 4
4%
14 %
ASSOCIATION/FONDATION : 4
4%
INFO +
66
Le recours une
mise en demeure
conduit dans la grande
majorit des cas une
mise en conformit
et donc une clture
du dossier
La mise en demeure
La prsidente de la CNIL peut mettre en demeure un responsable de traitement qui ne respecte pas
les obligations dcoulant de la loi Informatique et Liberts de faire cesser le manquement constat.
Elle fixe un dlai pour cette mise en conformit. Une mise en demeure nest pas une sanction. Aucune suite
nest donne cette procdure si la socit se conforme la loi dans le dlai imparti.
Dans la trs grande majorit des cas, les mises en demeure donnent lieu une mise en conformit et donc
une clture de la procdure. Dans le cas contraire, la formation restreinte peut prononcer des sanctions.
La prsidente de la CNIL peut demander au bureau (compos de lui-mme et des deux vice-prsident) de rendre
publique la mise en demeure, notamment en raison de la gravit des manquements ou du nombre important de
personnes concernes. La clture fait lobjet de la mme mesure de publicit que celle de la mise en demeure.
FOCUS
BILAN DACTIVIT
Mise en demeure lencontre de la socit GOOGLE INC

Par dcision du 13 mai 2014, la Cour de justice
de lUnion europenne a jug que tout moteur
de recherche est tenu de respecter les droits
de rectification, deffacement, de mise jour
et dopposition des personnes en procdant au
drfrencement de certains liens.
Pour un moteur de recherche, procder un
drfrencement revient retirer de la liste des
rsultats affichs la suite dune recherche associe
au nom dune personne, des liens renvoyant vers
des pages web et contenant des informations
relatives cette personne. Il convient de rappeler
que les pages web lorigine de la diffusion restent
en ligne dans leur forme dorigine et quelles sont
accessibles par dautres mots cls que le nom de la
personne ayant obtenu le drfrencement.
La Cour de justice a prcis que le refus du
responsable de traitement de procder au
drfrencement sollicit pouvait tre contest
auprs de lautorit de contrle de protection
des donnes (en France, la CNIL) ou de lautorit
judiciaire comptente au sein de chaque Etat
membre.
La CNILa ainsi t saisie par de nombreux
particuliers stant vus refuser le drfrencement
de liens Internet (ou adresses URL) par Google.
Pour certains dentre eux, elle a demand cette
socit de procder au drfrencement des liens
voqus. A cette occasion, la Commission a prcis
que le drfrencement devait se faire sur toutes les
extensions gographiques du moteur de recherche

et pas uniquement sur les extensions europennes
comme Google le faisait.
En effet, la CNIL a considr que le droit au
drfrencement sexerce auprs dun responsable
de traitement (Google), concernant lintgralit
dun traitement (le moteur de recherche). Le droit
reconnu aux personnes est de ne plus figurer dans
certains rsultats du moteur de recherche, et non
de voir leur exposition varier selon les modalits
dinterrogation du moteur en question. Dans le cas
contraire en effet, cela signifierait que la porte
dun droit fondamental varie en fonction des tiers,
et en fonction du mode dinterrogation
du traitement.
Le drfrencement sur toutes les extensions
apparat ainsi comme le seul moyen de garantir
leffectivit du droit des ressortissants franais.
La lgislation en matire de protection des donnes
et la ncessit de garantir leffectivit du droit des
personnes conduisent ainsi considrer que le
drfrencement doit intervenir sur lensemble
des extensions du moteur de recherche.
Devant le refus de Google de procder ainsi, la
Prsidente de la CNIL a mis en demeure la socit
le 21 mai 2015 de procder au drfrencement sur
lensemble des extensions du moteur de recherche
avant le 31 juillet 2015. Les suites donner ce
dossier sont actuellement en cours dinstruction
par la CNIL.
LES RECOURS DEVANT LE CONSEIL DTAT

Obligation de notification
dune violation de donnes
personnelles et auto
incrimination
Un prestataire de service de la socit
Orange a t victime dune intrusion
informatique ayant gnr la fuite des
donnes caractre personnel de plus
dun million de clients de loprateur.
Conformment la loi Informatique et
Liberts (article 34 bis), cet oprateur a
notifi cette violation de donnes personnelles la CNIL. Les contrles effectus
par la CNIL auprs de la socit et de ses
sous-traitants par la suite, ont rvl que
toutes les prcautions utiles navaient pas
t prises pour garantir la scurit et la
confidentialit des donnes. Considrant

que la socit navait pas satisfait son
obligation dempcher la communication
des donnes des tiers non autoriss
(article 34 de la loi Informatique et
Liberts), la formation restreinte de la
CNIL a prononc un avertissement public
son encontre.
La socit a contest cette dcision
devant le Conseil dtat en invoquant
que la dcision de la formation restreinte de la CNIL violait larticle 6-1
de la Convention Europenne des Droits
de lHomme (CEDH). Elle estimait en
effet avoir contribu sa propre incrimination dans la mesure o la sanction
adopte reposait sur les faits quelle
avait elle-mme notifis. Le Conseil

dtat a indiqu, dans sa dcision du 30
dcembre 2015, que la loiInformatique
et Libertsprvoyait deux obligations
distinctes, autonomes lune de lautre:
larticle 34 impose de prendre toutes prcautions utiles pour prserver la scurit
et la confidentialit des donnes alors
que larticle 34 bis met la charge
des responsables de traitements fournissant un service de communications
lectroniques, une obligation spcifique
de notification des violations de donnes
caractre personnel.
En lespce, le Conseil dtat a
confirm la sanction prononce. Il a
ainsi considr quelle tait fonde sur
des manquements lobligation de scurit constats loccasion des contrles
et non sur des lments obtenus par le
biais de la procdure de notification.
67
Dans une dcision rendue le 18 novembre 2015,

le Conseil dtat a confirm la sanction pcuniaire
publique inflige la socit PS CONSULTING, un
prestataire de services informatique dont le dispositif de vidosurveillance ne respectait pas la
loiInformatique et Liberts. Le Conseil dtat a
retenu que la surveillance constante de salaris par
le biais de camras orientes vers certains postes
de travail tait disproportionne. Il a ainsi relev
labsence dimpratif de scurit avr, laccs aux
locaux tant en outre dj scuris. Selon le Conseil
dtat, la finalit avance par la socit de lutter
contre les vols commis par ses propres salaris ne
permettait pas, en lespce, de justifier du bienfond
du dispositif. Il a enfin confirm que linformation
destination des salaris et la politique de scurit des
outils informatiques taient insuffisantes.
RETENIR
Vidosurveillance au travail:
confirmation de linterprtation de la CNIL
loccasion de cette dcision

le Conseil dtat a prcis certains aspects
de la procdure de contrle de la CNIL.
Une mme dcision de contrle peut valablement servir
de fondement plusieurs missions de vrifications sur
place auprs dun mme responsable de traitement.
Sauf exception, le droit de garder le silence et de se
faire assister dun avocat sapplique uniquement la
procdure de sanction de la CNIL et non la procdure
de contrle.
clairage sur ltendue du droit daccs

Par dcision rendue le 15 octobre 2015, le
Conseil dtat a rejet le recours form par un
plaignant lencontre de la dcision de clture de
sa plainte par la Prsidente de la CNIL. Le plaignant invoquait le non-respect de son droit daccs
aux donnes le concernant auprs de son ancien
employeur. Cette personne soutenait que le refus de
la CNIL dexiger la communication des justificatifs
accompagnant ses notes de frais tait constitutif
dune atteinte son droit daccs tel que garanti
par larticle 39 de la loi Informatiques et Liberts.
Le Conseil dtat a rejet sa requte au motif que
le droit daccs na pas pour objet dimposer la
communication de documents mais seulement
dinformations.
La CNIL avait ainsi satisfait ses obligations
dans la mesure o elle avait obtenu, lors de linstruction de la plainte, la communication des donnes
caractre personnel relatives aux notes de frais
concernant le plaignant.
RETENIR
68
loccasion de cette dcision le Conseil dtat a prcis

certains aspects de la procdure de contrle de la CNIL.
Une mme dcision de contrle peut valablement servir
de fondement plusieurs missions de vrifications sur
place auprs dun mme responsable de traitement.
Sauf exception, le droit de garder le silence et de se
faire assister dun avocat sapplique uniquement la
procdure de sanction de la CNIL et non la procdure
de contrle.
La liste complte des organismes contrls en 2015

est disponible sur le site de la CNIL.
La liste complte des mises en demeure
et des sanctions prononces en 2015 est disponible en annexe.
BILAN DACTIVIT
Dans le cadre de ses activits dinnovation et de prospective, la CNIL souhaite anticiper
de nouveaux usages, tendances ou technologies mergents pour alimenter les dbats de
socit sur lthique des donnes. Cette approche sest en particulier incarne en 2015
dans le troisime Cahier Innovation & Prospective Les donnes, muses et frontires de
la cration, ainsi que dans lanimation des travaux du Comit de la Prospective largi,
autour du thme des donnes dans la socit et lconomie du partage.
LIRE, COUTER, REGARDER ET JOUER LHEURE

DE LA PERSONNALISATION
Le monde des contenus culturels et
cratifs a connu une transformation numrique prcoce. Aujourdhui, des millions de
Franais produisent et consomment des
contenus vido, musicaux, vidoludiques
ou crits par lintermdiaire de services
numriques. Ces usages sont massifs, et
les revenus associs deviennent incontournables pour les acteurs conomiques.
Ainsi, le streaming musical rapporte dj
en France un revenu quivalent celui du
tlchargement de musique.
Les GAFAM (Google, Apple, Facebook,
Amazon, Microsoft) laissent ici symboliquement place aux ASNS: Amazon
pour les livres, Spotify et Deezer pour
la musique, Netflix pour la vido la
demande et Steam pour les jeux vidos.
Ils symbolisent une nouvelle approche de
la distribution et de la consommation de
contenus culturels, dans laquelle les donnes jouent un rle majeur.
mergence de nouveaux
modles conomiques
La transformation prcoce des marchs culturels constitue un formidable
laboratoire des modles daffaires, et vient
interroger laffirmation faisant des donnes
le ptrole de lconomie numrique .
Les donnes personnelles des utilisateurs,
mobilises comme monnaie dchange,
ont pour fonction premire de contribuer
la personnalisation de lexprience au
bnfice de lutilisateur. Elles peuvent
Les contenus dmatrialiss

reprsentent aujourdhui environ 40%
des revenus de lindustrie culturelle
- contre seulement 17% en 2010 ;
ils devraient atteindre 63% de ces
revenus en 2018 (IDATE).
69
INFO +
70
Cahier IP n3: Les donnes, muses

et frontires de la cration
Dans un contexte o nos
consommations de contenus
culturels dmatrialiss deviennent
massivement productrices de donnes,
le troisime Cahier Innovation et
Prospective explore les industries
cratives (musique, vido, livre
numrique et jeux vidos) et contribue
alimenter le dbat sur la place des
algorithmes et sur les manires de
redonner du contrle aux utilisateurs.
Il succde un numro ddi aux
nouvelles pratiques de sant et bientre connects (Le corps, nouvel objet
connect, 2014) et au panorama
prospectif du premier cahier (La vie
prive lhorizon 2020, 2012)
galement tre utilises pour remplir

des objectifs bien diffrents. Certaines
donnes sont ncessaires pour rendre le
service quand dautres vont permettre de
construire une connaissance qui pourra
bnficier au fournisseur de services
comme des tiers.
Ces formes de participation des utilisateurs la cration de richesse des acteurs
conomiques sapparentent ce que certains chercheurs appellent le digital labor.
ladage si cest gratuit, cest vous le
produit , on pourrait dsormais ajouter,
comme le propose Antonio Casilli, si
vous ne payez pas, cest que vous tes
le travailleur .
Des donnes culturelles

personnelles et intimes
Les donnes personnelles collectes et
traites dans le contexte des contenus culturels et cratifs ont des particularits lies
au caractre trs intime de la relation entre
une personne et les uvres quelle choisit, constitutives de sa personnalit et de
son identit. Les data-scientists exploitent
ainsi la valeur de donnes dapparence trs
anodines: profils, descriptions des contenus, popularit, enrichissement, gots et
contexte. Ceci est facilit par le fait que
peu dindividus mettent en place des stratgies dobfuscation (consistant publier
en quantit des informations pour tenter
de rendre moins visibles les informations

existantes que lon souhaite cacher) dans
leurs consommations de culture, contrairement dautres domaines comme les
rseaux sociaux, o lon observe des comportements plus tactiques.
Ainsi, le contexte sera trs important
dans le domaine musical (musique au travail ? pendant le sport ? pendant une fte ?
dans les transports?). Dans le domaine
du livre, en revanche, il sera plus crucial
danalyser les interactions entre la personne et le contenu (vitesse de lecture,
phrases soulignes) pour comprendre les
moteurs de son intrt. Pour la vido
la demande, il sagira de comprendre la
structure du foyer et donc deviner qui
est devant les crans quel moment.
Les donnes collectes dans le jeu vido
auront trait lusage et aux actions des
utilisateurs, elles permettront dvaluer
leurs prfrences, leurs choix ou leurs
comportements.
INFO +
BILAN DACTIVIT
Typologie des donnes

Des donnes personnelles au sens le plus
classique : donnes didentit, de contact
et de PROFIL sociodmographique,
qui sont finalement les donnes dun fichier
client et de gestion de la relation client
traditionnel.
Des donnes DESCRIPTIVES DES

CONTENUS : donnes de catalogage
(artiste, auteur, interprte), de caractrisation
(dure, genre, sous-genre) mais aussi donnes
techniques (format, compression, chantillonnage) et donnes juridiques (concernant
exemple).
Des donnes gnrales de consommation,

cest--dire renseignant sur les gots collectifs
comme la POPULARIT dune chanson,
le nombre total dcoutes, les commentaires
et citations sur les services de rseaux
sociaux, etc ...
Des donnes dENRICHISSEMENT :

photos ou biographie des artistes, critiques,
notes et valuations, liens de tlchargement,
prix, paroles de chansons.
Ces donnes peuvent tre fournies par
des professionnels (par exemple les critiques)
ou gnrales par les utilisateurs.
Des donnes concernant lusage,

les comportements et les GOTS de
chaque utilisateur: ces donnes peuvent
tre trs gnrales (type, quantit, dure,
rythme dachat/de consultation, playlist
cres ...) mais aussi trs fines (les passages
surligns dun livre, la vitesse de lecture ...).
Des donnes de CONTEXTE comme

lhorodatage, la localisation ou toutes
les donnes issues de capteurs (les
mouvements, les motions, ltat
physiologique, lhumeur, etc.).
La recommandation
au cur des stratgies
Recommander permet aux diffuseurs
de contenus culturels dattirer de nouveaux clients, de les fidliser et doptimiser leurs revenus. La recommandation est
peu transparente et comprhensible pour
lutilisateur du fait quelle peut techniquement combiner des outils et approches
trs diffrentes: analyse dexperts (par
recommandation humaine), analyse automatique des contenus (par les mtadonnes), analyse du profil de lutilisateur et
de son rseau, filtrage collaboratif.
Si les utilisateurs acceptent la collecte
de leurs donnes et sont prts payer
pour des services efficaces et sans couture de recommandation, ils souhaitent
la fois garder le contrle et sexposer
parfois des frictions, cest--dire des
moments o ils choisissent de dcouvrir
des contenus culturels en dehors de leur
bulle de filtres (selon lexpression dEli
Pariser). Cette volont de transparence
des utilisateurs amne certains industriels
comme Netflix expliciter leurs critres
de recommandations.
La prescription
ntant pas incarne, le consommateur na en
retour aucune
possibilit de la
recontextualiser
et se contente
trop souvent
de la subir.
La traabilit
fonctionne sens
unique.
Olivier Ertzscheid,
matre de confrences
en sciences de linformation
luniversit de Nantes
71
Vers la personnalisation
de lexprience
Dans ce nouveau paysage, la personnalisation de lexprience devient
plus intime, lintrication entre luvre
et lexprience dutilisation plus grande,
la frontire entre cration par lauteur et
contenus gnrs par et pour lutilisateur
plus floue.
Certaines tendances lourdes, transversales aux diffrents secteurs, dessinent les contours de ce qui pourrait
advenir dans les prochaines annes.
La prise en compte des caractristiques du contexte (context awareness)
permettra dadapter le contenu des
uvres aux utilisateurs, de manire
invisible. La recommandation passera
probablement par lanalyse en temps
rel des sentiments de lutilisateur via
les objets connects. Les technologies
immersives et les nouvelles interfaces
homme-machine rendront possibles
des nouvelles formes de narration et
duvres, plus interactives.
En outre, la combinaison de la donne
et du matriel (hardware) bouleverse la
LE COMIT
DE LA PROSPECTIVE
2015 a aussi t loccasion pour la
CNIL de renouveler la composition et le
format de son Comit de la prospective.
Dsormais largi 15 membres, il a
vocation enrichir la rflexion de linstitution sur les enjeux socitaux et thique
du numrique afin de mieux cerner leurs
impacts sur les droits et liberts.
En runissant des expertises et des
expriences plurielles, le comit constitue un espace privilgi dchanges et de
rflexion. En 2016, il tudiera notamment la place des donnes personnelles
dans la socit et lconomie du partage.
Il est plac sous la prsidence
dIsabelle FALQUE-PIERROTIN.
chane de valeur de secteurs traditionnels et fait merger de nouveaux modles

conomiques. La collecte devient dj
multi-source et les services shypercontextualisent, ce qui pose naturellement la
INFO +
72
question de la neutralit, de la pertinence

des algorithmes et du contrle de lutilisateur sur lutilisation de ses donnes.
Que nous apprend lenqute Mdiamtrie*

ralise pour la CNIL sur les usages des
services de streaming et de SVOD
(octobre 2015) ?
- 1 tiers des utilisateurs
souscrivent un abonnement
payant de musique en streaming.
- 60 % des utilisateurs
coutent les recommandations
musicales (74 % des abonns
payants) / 68 % regardent les
recommandations de films ou
de sries.
- 2/3 des utilisateurs apprcient
ces recommandations
personnalises.
- 1 utilisateur sur 2 sest dj
EXPERTS EXTRIEURS
Laurent Alexandre, chirurgienurologue, chef dentreprise:

crateur du site Doctissimo,
PDG de DNA Vision.
Chroniqueur au Huffington Post
et au journal Le Monde.
Pierre-Jean Benghozi, membre
du Collge de lARCEP et
professeur lEcole polytechnique.
Stefana Broadbent, psychologue,
professeur dAnthropologie honoraire
lUniversity College de Londres
o elle enseigne lanthropologie
numrique.
Dominique Cardon, sociologue
au Laboratoire des usages SENSE
dOrange Labs, professeur associ
lUniversit de Marne la valle (LATTS).
Milad Doueihi, philosophe, historien
des religions et titulaire de la chaire
dhumanisme numrique luniversit
de Paris-Sorbonne (Paris IV),
co-titulaire de la chaire du Collge
des Bernardins sur lhumain au dfi
du numrique.
Claude Kirchner, directeur de recherche
Inria, prsident du comit oprationnel
dvaluation des risques lgaux et
thiques (COERLE) dInria, conseiller
du Prsident dInria.
Ccile Madel, Sociologue, professeure
de lUniversit Panthon-Assas,
demand comment fonctionnent

les systmes de recommandation.
- 25 % des utilisateurs ont dj
t influencs dans leurs choix
dcoute ou de partage, sachant
que leurs coutes pouvaient tre
vues par leurs contacts ou leurs
amis.
(*) Enqute ralise du 21 au 29 septembre
2015 sur 503 internautes de 15 ans et
plus, utilisateurs dun service de musique en
streaming (Deezer ou Spotify) ou de vido la
demande (Netflix ou Canalplay).
responsable du master Communication

et multimdia. Chercheuse au CARISM,
chercheuse associe au Centre de sociologie de linnovation (Mines-CNRS).
Tristan Nitot, entrepreneur, auteur
et confrencier sur le thme des
liberts numriques, a fond et prsid
Mozilla Europe. Directeur de produit
(Chief Product Officer) chez Cozy Cloud
(logiciel de Cloud personnel). Membre
du Conseil National du Numrique
(CNNum).
Bruno Patino, journaliste et spcialiste
des medias numriques. Directeur de
lcole de journalisme de Sciences-Po.
Antoinette Rouvroy, juriste,chercheuse
FNRS au Centre de Recherche
Information, Droit et Socit (CRIDS)
de Namur.
Henri Verdier, directeur interministriel
du numrique et du systme
dinformation et de communication
de ltat (DINSIC).
Clia Zolynski, professeur de droit
lUniversit de Versailles Saint-Quentin.
MEMBRE DE LA CNIL
Jolle Farchy, professeure de sciences

de linformation et de la communication
lUniversit Paris I et chercheure au
Centre dconomie de la Sorbonne.
Eric Prs, membre du Conseil
conomique, social et environnemental.
BILAN DACTIVIT
un lment indispensable
de la protection des donnes
lre numrique
2015, ANNE PAPILLON
Le rapport annuel de la CNIL qualifiait lanne 2014, sagissant du projet
de rglement europen, de chrysalide,
lanne 2015 est sans aucun doute celle
du papillon. En effet, la rforme sur la
protection des donnes a t adopte au
mois de dcembre, permettant dadapter
le droit europen, de manire harmonise, lunivers numrique.
Cet aboutissement a t le fruit dun
travail intense men par les trois institutions de lUnion (la Commission, le
Parlement et le Conseil de lUE) tout au
long de lanne 2015. Un accord a t
conclu sur le rglement en juin, puis en
parallle du trilogue sur le rglement,
un autre accord a t trouv en octobre
sur le projet de Directive Police Justice.
Le second semestre a abouti, dans des
dlais contraints, un accord global et
commun aux trois institutions des deux
textes, scellant ainsi le nouveau cadre
juridique de la protection des donnes
de lUnion.
Cette rforme va bien au-del de la
Directive actuelle puisque les deux textes
adopts couvrent non seulement les traitements du secteur priv, ceux du secteur
public mais galement les traitements
mis en uvre dans le cadre de la coopration policire et judicaire.
Il reste dsormais une dernire tape
formelle franchir : celle de ladoption
en plnire du Parlement europen et
en Conseil des ministres de ce paquet
protection des donnes prvu pour le
printemps 2016.
La CNIL et lensemble des autorits

nationales de protection des donnes ont
rgulirement contribu la finalisation
de ce projet par la publication de leurs
positions divers moments des ngociations. De nombreuses rencontres ont
galement t organises afin de les prsenter aux institutions.
Ce changement de cap majeur reprsente un progrs pour les droits de lindividu, une approche de la conformit
plus efficace pour les entreprises et un
nouveau modle de gouvernance pour
les autorits.
Lenjeu est dsormais de transformer
ce texte en ralit oprationnelle, la fois
pour les responsables de traitements et
les citoyens. Cest pourquoi le G29 a, ds
lannonce de ladoption du texte, arrt
un plan daction ambitieux pour la mise
en uvre de ce rglement et sa propre
mutation en comit europen de la
protection des donnes.
Le second temps fort de lactivit internationale de la CNIL en 2015 a rsult de
larrt de la Cour Europenne de Justice
du 6 octobre 2015 invalidant le Safe
Harbor. Le G29 a convoqu une plnire extraordinaire ds le 16 octobre, au
cours de laquelle il a lanc un appel aux
institutions et gouvernements europens
et amricains afin de trouver dici la fin
janvier 2016 une solution pour que les
transferts vers les Etats Unis soient oprs
dans le respect des droits fondamentaux
europens. Le G29 a par ailleurs ouvert
un vaste chantier dvaluation de limpact
de ce jugement sur les autres outils de

transferts que sont les BCR et les Clauses
Contractuelles Types.
Lanne 2016 sannonce riche en
dveloppements tant sur le plan europen quinternational. Un nouveau
monde souvre pour lEurope et il est
construire collectivement avec les acteurs
de la socit civile, les reprsentants de
lindustrie, les institutions et les autorits.
La mise en uvre de cet arrt de principe
mais galement de ce nouveau rglement
europen est un dfi pour tous et lEurope
naura de crdibilit et de poids dans la
dfense de ses valeurs que si elle avance
unie et coordonne. Cest cet objectif que
la CNIL, qui prside nouveau le G29
pour deux ans, et ses homologues europens, se sont fixs.
LEurope naura
de crdibilit et de
poids dans la dfense
de ses valeurs que
si elle avance unie
et coordonne.
73
74
LE SUIVI ET LA FINALISATION
DU RGLEMENT EUROPEN
Le Rglement
Aprs plus de quatre ans de ngociations, lanne 2015 a t marque
par un double accord politique : dune
part, celui obtenu au Conseil de lUE en
juin 2015 qui a permis douvrir la phase
de ngociations ou trilogue entre
les trois institutions europennes (la
Commission, le Parlement et le Conseil
de lUE) et dautre part, laboutissement
de ces ngociations avec un accord sur
le texte en dcembre 2015.
Si ce dernier doit encore tre formellement adopt par les institutions
europennes, cette approbation reprsente une tape essentielle et attendue
par tous les acteurs. En effet, le texte
tel quadopt en dcembre, prvoit,
notamment:
Pour le citoyen, un renforcement
des droits existants, notamment en lui
permettant de disposer dinformations
complmentaires sur le traitement de
ses donnes mais galement de les obtenir sous une forme claire, accessible et
comprhensible. Le droit loubli est
confort et un nouveau droit, le droit la
portabilit, est prvu, rendant ainsi plus
effective la matrise de ses donnes par
la personne. Les mineurs font galement
lobjet dune protection particulire.
Pour les entreprises, une simplification des formalits, la possibilit
dun interlocuteur unique pour toutes
les autorits de protection des donnes
europennes et dune mise disposition
dune bote outils de conformit dont
certains seront nouveaux (ex : code de
conduite, certification). Ces outils pourront tre moduls en fonction du risque
sur les droits et liberts des personnes.
(ex : tenue dun registre, consultation
des autorits de protection, notification
des failles de scurit).
Pour les autorits de protection,
une affirmation de leurs comptences
ds lors quil existe un tablissement
sur leur territoire ou que leurs citoyens
sont affects par le traitement mais ga-
lement un renforcement de leurs pouvoirs

notamment rpressifs avec la possibilit de prononcer des sanctions administratives pouvant aller jusqu 4% du
chiffre daffaire mondial de lentreprise
concerne. Surtout, les CNIL europennes pourront dsormais prononcer
des dcisions conjointes, aussi bien pour
constater la conformit dun organisme
que pour prononcer une sanction. Cette
intgration europenne renforcera ainsi

la protection des personnes et la scurit
juridique pour les entreprises.
Une nouvelle architecture de coopration entre les autorits de protection avec un nouvel organe europen :
le Comit Europen de la Protection des
Donnes (CEPD) en charge darbitrer les
diffrends entre les autorits et galement
dlaborer une doctrine europenne
BILAN DACTIVIT
Le G29 a suivi de prs ces avances

en apportant son expertise notamment
par des prises de position rgulires et
communes et des rencontres organises
avec les institutions communautaires.
Ainsi, dans le cadre du trilogue, le
G29 a indiqu, en juin 2015, les points
sur lesquels il convenait de porter une
attention particulire et notamment :
Lassurance que le nouveau cadre
rglementaire nabaissera pas le niveau
de protection actuel, ni ne remettra en
cause les principes et droits fondamentaux actuellement prvus dans la directive
95/46/CE.
Linterprtation large quil convenait de faire de la dfinition de donnes
personnelles. Ainsi les adresses IP et
autres identifiants en ligne doivent, en
rgle gnrale, tre considres comme
des donnes personnelles.
Le recours la pseudonymisation
comme technique pouvant limiter les
risques pour les personnes concernes.
Les donnes pseudonymes ou pseudonymises ne doivent pas tre dfinies
comme une nouvelle catgorie de donnes permettant de droger certaines
obligations dfinies par le rglement. La

pseudonymisation constitue uniquement
une mesure de scurit.
Le ncessaire respect des principes
fondateurs que sont les principes de finalit et compatibilit des traitements, en
particulier dans le contexte du big data.
Une protection efficace des droits
des personnes concernes, notamment
par un droit la portabilit effective et des
autorits de protection dots de pouvoirs
coercitifs appropris et de ressources
suffisantes.
Un nouveau modle de gouvernance
europenne efficace et quilibre pour les
autorits de protection, fond sur la proximit avec les citoyens et une coopration
entre autorits intensifie.
Le G29 sest galement exprim en
septembre 2015 sur la future structure
interne du CEPD considrant les lments
suivants comme composantes ncessaires
du nouveau modle europen :
un CEPD fort et indpendant, agissant comme organe incontournable de
dcision. Il est compos dun prsident,
des 28 commissaires des autorits de
protection de chaque tat membre et du
contrleur europen de la protection des

donnes (charg de contrler la conformit
des traitements des institutions communautaires). Il sappuie sur des groupes de
travail composs dexperts.
un Prsident, mandat par le CEPD
qui exprime la voix des autorits de protection. Elu parmi ses membres, la dure
de son mandat doit tre suffisante afin de
lui permettre de mener bien ses misions.
Ainsi, un exercice plein temps de ses
missions lui permettrait de remplir cette
exigence. Le Prsident, en tant responsable du CEPD, devrait galement disposer
dun contrle sagissant de son budget et
de son personnel.
un comit excutif dont la mission
premire serait dassurer leffectivit des
missions du CEPD. Compos du Prsident
et de deux vices prsidents, il devrait,
en autre, aider et assister le Prsident
dans ses relations avec les autorits de
protection.
un secrtariat, dot de ressources
suffisantes et professionnelles. Fourni par
le contrleur europen de la protection des
donnes, il est plac sous la responsabilit
du prsident du CEPD.
Les tapes du rglement europen

COMMISSION
PARLEMENT
CONSEIL DE LUE
TRILOGUE
Publication du projet
de rglement
2012
Vote du rapport
2013
Accord
juin 2015
Accord
dcembre 2015
ADOPTION
par la Commission Europenne,

le Parlement et le Conseil.
2016
LA DIRECTIVE
Lanne 2015 a t marque par
laboutissement de la phase de ngociations ou trilogue 1 entre les trois institutions europennes (la Commission,
le Parlement et le Conseil de lUE) en
dcembre 2015 sur le texte de directive
relative la protection des personnes physiques lgard du traitement des donnes caractre personnel par les autorits
comptentes des fins de prvention et
de dtection des infractions pnales, den-
qutes et de poursuites en la matire, ou

dexcution de sanctions pnales, et la
libre circulation de ces donnes.
La directive doit encore tre formellement adopte par les institutions
europennes mais laccord sur le texte
intervient quasi-simultanment avec celui

sur le projet de rglement sur la protection des donnes et rpond la demande
des autorits de protection des donnes
de traiter ces deux textes comme un
paquet .
1 Pour rappel, le Parlement europen a adopt sa position en premire lecture le 12 mars 2014. Le Conseil a,
de son ct, dgag une orientation gnrale le 8 octobre 15. Cinq trilogues ont ensuite eu lieu doctobre au 15
dcembre 2015. Ils ont abouti ladoption du texte du trilogue le 16 dcembre 2015 par le Comit des reprsentants
permanents des Etats membres au Conseil et au vote du texte par la Commission liberts civiles,
justice et affaires intrieures du Parlement europen le 17 dcembre 2015.
75
76
Le respect relatif des

prconisations du G29
Le G29 a crit en dcembre 2015 aux
institutions europennes afin de souligner
les points sur lesquels il convenait de
porter une attention particulire.
Il a tout dabord exprim deux
remarques gnrales. Il a ainsi regrett
le principe mme davoir deux instruments au lieu dopter pour un rglement
qui sapplique tous les secteurs. De
nombreuses administrations (fiscale,
douanire, etc.), devront se conformer
des obligations distinctes selon que leurs
activits sont rgies par lun ou lautre
texte. Il a galement rappel lobjectif
de consacrer, au moyen de la rforme
en cours, un haut niveau de protection
des donnes et, par consquent, insist
pour que les exceptions aux principes
justifies par les spcificits de la matire
rpressive, demeurent dinterprtation
stricte. Il a galement souhait que les
principes consacrs par les deux textes
fassent lobjet dune dfinition commune.
Il a ensuite exprim un certain nombre
de proccupations spcifiques dont une
grande partie a t rsolue dans le texte
de laccord auquel sont parvenues les
institutions.
Ainsi, conformment aux demandes
du G29, le texte de laccord reprend les
dfinitions des concepts cls (donnes
caractre personnel, traitement, pseudonymisation, violation de donnes
caractre personnel, donnes gntiques, donnes biomtriques, donnes
de sant) consacres par le rglement.
De plus, il distingue les niveaux dimplication et les rles des personnes dont
les donnes sont traites dans une procdure pnale (victime, suspect, auteur)
et assure lexactitude et la pertinence des
donnes traites ainsi que le respect des
droits dcoulant de ces diffrents statuts.
Comme cela a t soutenu par le G29
dans ses rflexions sur la rforme de la
protection des donnes, les traitements
mis en uvre des fins rpressives
devront lavenir tenir compte du respect de la vie prive ds leur conception
(privacy-by-design) et permettre ce respect par dfaut (privacy by default).
En termes de scurit, les obligations des responsables de traitement
et sous-traitants ont t renforces
conformment aux attentes du G29 :
journalisation obligatoire des oprations

de traitement, mise disposition des
autorits de contrle avec laquelle ils
doivent cooprer sur demande, ralisation dune tude dimpact relative la
protection des donnes pour tout traitement susceptible dengendrer un risque
lev pour les droits et les liberts des
personnes physiques. Par ailleurs, les
failles de scurit affectant les donnes
caractre personnel traites devront
tre notifies lautorit de contrle par
principe, moins quil soit peu probable
que la violation en question engendre des
risques pour les droits et liberts de dune
personne physique.
Par ailleurs, la dsignation dun
dlgu la protection des donnes
est rendue obligatoire sauf pour les tribunaux et autres autorits judiciaires
indpendantes.
Le texte prvoit galement la dsignation dune autorit de contrle indpendante afin de surveiller la bonne
application de la directive et la coopration des autorits entre elles. Le G29
avait soulign le rle particulirement
important de ces autorits dans un
contexte o les donnes traites permettent de limiter les liberts fondamentales des personnes concernes au
titre de la prvention, la rpression ou la
poursuite dune infraction. Les pouvoirs
des autorits de contrle auraient toutefois gagn tre dvelopps davantage,
tout comme les sanctions applicables en
cas de manquement.
Dans son adresse aux trois institutions, le G29 avait appel ce que les
principes clefs de la protection des donnes ne soient pas vids de leur substance par ltendue des exceptions qui
y seraient prvues. A cet gard, le texte
de laccord nest toutefois pas entirement satisfaisant. Ainsi, le traitement
de catgories particulires de donnes
caractre personnel 2 est autoris sous
conditions plutt quinterdit sauf exceptions. De mme, il est possible de prendre
une dcision fonde exclusivement sur un
traitement automatis, y compris par le
biais du profilage, ds lors que le droit
de lunion ou la loi nationale lautorise
alors que le G29 prconisait galement
une interdiction sujette exceptions.
Par ailleurs, la consultation de lautorit
de contrle, pralablement la mise
en uvre dun traitement est limite

certaines hypothses de traitements
considrs comme risque . Quant
aux droits des personnes (accs, rectification, suppression), ils sont largement
calqus sur ceux prvus par le rglement
mais les hypothses dans lesquelles ils
peuvent tre limits ou exclus demeurent
vagues et pourraient couvrir de nombreux
scenarii.
La question des transferts vers des
pays non adquats suscite galement
certaines rserves. Comme lavait soulign le G29, la question des finalits pour
lesquelles elles pourraient ensuite tre
rutilises demeure cruciale. La problmatique de la surveillance de masse ne
saurait tre esquive et les donnes ne
devraient tre transfres que lorsquelles
sont strictement ncessaires la ralisation dune enqute ou une procdure.
Le G29 a insist
pour que les
exceptions aux
principes justifies
par les spcificits
rpressives
demeurent
dinterprtation
stricte.
2 Termes dsormais employs pour dsigner les donnes

qui rvlent lorigine raciale ou ethnique, les opinions
politiques, les convictions religieuses ou philosophiques
ou lappartenance syndicale, ainsi que le traitement
des donnes gntiques, des donnes biomtriques
permettant didentifier une personne de manire
univoque ou des donnes concernant la sant
ou la vie et lorientation sexuelles.
BILAN DACTIVIT
LA PRSIDENCE DU G29 ET SES ACTIVITS
travers ses avis et dclarations, le

G29 construit ainsi une vritable rgulation europenne de la protection des
donnes.
Sur les aspects de police-justice

la suite des attentats Paris le 7 et 8
janvier 2015, le G29 sest exprim sur le
sujet du PNR (Passenger Name Record)
europen. Il a rappel que si la mise en
place de mesures pour contrer les activits terroristes et la prparation dactivits terroristes est lgitime, ces mesures
doivent tre mises en uvre dans le respect des droits fondamentaux et du respect de la vie prive et de la protection
des donnes. Ainsi le systme de PNR
Europen doit tre respectueux des principes de ncessit et de proportionnalit.
Le G29 a poursuivi son analyse des
accords PNR organisant la transmission
des donnes de passagers europens
voyageant vers des pays tiers, et en particulier vers les Etats-Unis et le Mexique.
Dans ce cadre, labsence de base lgale
permettant le transfert des donnes PNR

des passagers europens aux autorits
mexicaines a t soulign
Il sest galement pench sur les scnarii soumis par le comit Cybercrime du
Conseil de lEurope concernant laccs
transfrontire direct par des autorits
rpressives aux donnes stockes dans
dautres juridictions
Sur les aspects technologiques

Le G29 a labor un avis sur les
drones ainsi que sur un code de conduite
dvelopp par lindustrie concernant le
cloud computing. Il a galement poursuivi
son analyse des politiques de vie prive
de certains grands acteurs de lInternet
(ex : Google, Facebook, ) ainsi que ses
travaux sur les standards techniques (ex :
ISO, Do Not Track).
Sur les aspects financiers et ceux

concernant le secteur public
Le G29 a adopt des lignes directrices sur lchange automatis dinformations fiscales tel que dvelopp par les
standards CRS de lOCDE et a poursuivi
ses travaux sur les standards OCDE en
matire financire. Il a galement analys
le rglement europen sur lidentification
lectronique ainsi que la problmatique
de la publication des donnes des reprsentants officiels.
cement, qui a conclu que lexploitant

dun moteur de recherche tait un responsable de traitement soumis au droit
europen ds lors que lune de ses entits en Europe participait au traitement
de donnes en question, par exemple en
matire publicitaire, le G29 sest pench
sur lactualisation de son avis de 2010
sur le droit applicable. Il a galement
assur un travail de coordination sagissant du traitement de plaintes lies au
droit au drfrencement.
Enfin, afin de renforcer la cohrence
de ses travaux sur des sujets transversaux, un nouveau groupe de travail en
charge des aspects de coopration a t
cr. Ce dernier travaille sur le dveloppement doutils communs de coopration (ex : formulaire unique de plainte,
organisation dateliers thmatiques,
amlioration du site internet G29, etc.)
et sur les aspects lis la coopration
internationale (GPEN, confrence de
printemps, confrence internationale).
INFO +
Le G29, prsid par la prsidente de

la CNIL depuis fvrier 2014, a souhait
se positionner sur les sujets structurants
que sont notamment la rforme du cadre
europen (le Rglement et la Directive
Police Justice), les activits de surveillance et le droit loubli.
Par ailleurs, toujours marqu par une
actualit europenne charge, le G29
sest prononc sur plusieurs thmatiques
sectorielles et transversales.
Sur les thmatiques transversales

Suite larrt de la CJUE Google
Espagne en 2014 relatif au drfren-
En 2015, le G29, cest :

41 documents adopts,
8 groupes de travail,
6 plnires regroupant
les 29 autorits de
protection des donnes
de lUnion Europenne.
LA COOPRATION INTERNATIONALE ET EUROPENNE

Le dveloppement technologique et
la mondialisation ancrent fermement
les enjeux informatique et liberts sur la
scne internationale.
Cest pourquoi la question de la coopration internationale et europenne
apparait comme un sujet particulirement
stratgique et dampleur croissante, qui
ncessite un investissement dans toutes

les initiatives qui se dveloppent.
Cette coopration seffectue au sein
de plusieurs forums dont la Confrence
Internationale, la Confrence de
Printemps, ou encore dans des forums
plus spcifiques comme lAssociation
Francophone des Autorits de Protection
des Donnes (AFAPDP).
La 37me Confrence Internationale

En 2015, la 37me Confrence internationale des commissaires la protection
des donnes et de la vie prive sest tenue
Amsterdam aux Pays-Bas et a runi plus
de 100 autorits et commissaires. Lors
de la session ferme, deux thmes ont
t dbattus : les donnes gntiques et
le contrle des activits de surveillance.
77
Les donnes gntiques, quels dfis pour

lavenir ?
Partant du constat que les donnes gntiques offrent de nombreuses et diverses
informations scientifiques, mdicales et
personnelles sur les individus tout au
long de leur vie, les autorits et commissaires la protection des donnes et
la vie prive ont souhait faire un certain nombre dobservations communes
quant la manire dont ces donnes
doivent tre traites. Ainsi, il est apparu
particulirement important dnoncer que
les personnes concernes doivent pouvoir garder le contrle de leurs donnes,
recevoir des informations appropries et
voir leurs choix respects. Cela peut tre
effectu grce divers moyens permettant dassurer une gestion dynamique
du consentement tout au long du cycle
de vie des donnes, et complt par des
garanties supplmentaires telles que :
des comits de protection des personnes
(CPP), des programmes de gestion de la
vie prive, des valuations dimpact de
la vie prive, le Privacy by design et les
certifications.
Par ailleurs, une volont de rapprochement entre la communaut scientifique
et celle de la protection des donnes et
de la vie prive a t formule. En effet,
cela permettrait ces communauts daccrotre leur comprhension mutuelle et
de garantir que linnovation continue
tirer les bnfices des donnes gntiques
tout en sassurant que les droits fondamentaux et droits des consommateurs
soient respects.
Le contrle des activits de surveillance, quel rle pour les autorits de pro-
INFO +
78
tection des donnes dans

une socit en mutation ?
Lampleur du dbat
public sur les activits
de renseignement travers le monde, ainsi que la mutation de
lenvironnement de scurit du fait de
la potentialit dactivits terroristes dans
tous les pays, ont soulev des questions
difficiles pour les autorits de protection
des donnes. Ces dernires ont identifi
plusieurs points sur lesquels leurs actions
seraient importantes : la promotion des
principes de proportionnalit et de lgalit des activits de renseignement ; la
coordination avec les organismes de surveillance nationaux et internationaux ;
la promotion dune meilleure transparence ; la promotion dune utilisation plus
large du chiffrement comme un moyen
lgitime pour protger les donnes de
consommation.
La prochaine Confrence internationale des commissaires la protection des
donnes et de la vie prive se droulera
lautomne 2016 au Maroc.
LAFAPDP
En 2015, 48 pays membres de la
Francophonie sur 80 disposent dune loi
et dune autorit de protection des donnes personnelles. La protection des donnes personnelles doit encore progresser
dans de nombreux pays. Ceux-ci peuvent
sinspirer des textes nationaux et pratiques adopts par les pays reprsents
au sein de lAFAPDP, et des textes rgionaux en vigueur en Afrique et en Europe.
LAFAPDP se flicite de la coopration
mise en place avec les autorits de pro-
tection des donnes rcemment installes

en Cte dIvoire, au Kosovo et au Mali.
Les membres de lAFAPDP, dont la
CNIL, ont adopt lors de leur assemble
gnrale en 2015 deux rsolutions :
lune, inspire des dclarations canadienne et europenne, sur les principes
fondamentaux pour viter tout risque
de surveillance de masse et contrler
les activits des services nationaux de
renseignement ; lautre sur la prise en
compte des principes thiques lors des
traitements de donnes de sant et gntiques. Ces rsolutions consolident les
bases dune doctrine francophone de la
protection des donnes. Les membres de
lAFAPDP ont galement mis lagenda
de la prochaine Confrence internationale des commissaires la protection
des donnes ladoption dune rsolution
sur la protection des donnes dans le
domaine de laction humanitaire internationale. LAFAPDP poursuit aussi le travail
de mise en commun des mthodes de
contrle de lapplication des lois commenc lautomne 2015.
Au-del de lanimation du rseau de
ses membres, lAFAPDP est ouverte des
partenariats ou cooprations multiples
autour des droits fondamentaux. Elle a
notamment travaill cette anne avec le
rseau des Mdiateurs et Ombudsmans
francophones pour la sensibilisation des
enfants leurs droits.
La Confrence internationale des commissaires la protection

des donnes et la vie prive
Depuis 1979, les autorits et commissaires la protection des donnes et la vie prive de tous les continents se
runissent pour rflchir ensemble aux dfis majeurs qui se dressent en matire de respect de la vie prive, dans
un contexte international marqu par de fortes volutions technologiques, politiques, juridiques et conomiques.
La Confrence internationale des commissaires la protection des donnes et de la vie prive se compose dune
session ferme regroupant lensemble des autorits et commissaires ainsi que dune session ouverte la socit
civile et aux entreprises.
LES SUJETS DE RFLEXION

EN 2016
Data brokers, le ptrole et liceberg
Vhicules connects :
en route vers le pack de conformit
Des objets connects aux objets autonomes :
quelles liberts dans un monde robotis ?
80
Data brokers :
le ptrole et liceberg
Les courtiers de donnes ne constituent pas une catgorie juridique clairement identifie
mais au regard de limportance quelle commence revtir, elle appelle lattention de la
CNIL. Par courtiers, on entend gnralement des professionnels oprant sur un march
secondaire des donnes. Cette dfinition recouvre plusieurs activits qui toutes tendent
faciliter la circulation des donnes et leur enrichissement.
Dans un premier cas, le courtier

assume un rle de mise en relation entre
dtenteurs de donnes souhaitant montiser ou acqurir des bases ; une seconde
figure fait du courtier un concentrateur
qui procde lagrgation et lenrichissement des donnes, provenant de partenaires, clients ou de registres publics,
LE PTROLE
Depuis quelques annes, les donnes
font figure de ptrole du numrique ,
alimentant le moteur de la nouvelle conomie. Pour autant, le commerce des
donnes nest pas uniformment considr et fait lobjet de courants dopinion
contradictoires. Cette opposition sexprime clairement dans laffrontement
des tenants dune proprit de la donne et de ceux qui considrent la donne
comme le support dun droit personnel.
Dans son tude annuelle de 2014, le
Conseil dEtat a mis en vidence cette
opposition pour carter la notion de
proprit et conforter lapproche europenne en recommandant ladoption
dun droit-libert reconnu en Allemagne
par la Cour constitutionnelle. Ce droit
lautodtermination informationnelle
se traduit par laffirmation du droit de
toute personne de dcider et de contrler
les usages qui sont faits des donnes
caractre personnel la concernant. Repris
pour le compte de clients ou pour son

propre compte. Dans cette dernire hypothse, lanalyse des donnes lui permet
doffrir des services valeur ajoute
(constitution, affinage du profil et segmentation client) des socits souhaitant mieux cibler leurs offres de biens et
de services..
Encore mal connue en Europe, cette

activit est dores et dj clairement
identifie outre-Atlantique o elle suscite des questionnements notamment
sur la transparence, le degr de contrle
des personnes sur leurs donnes et sur
la scurit.
BILAN DACTIVIT
dans le projet de texte sur la Rpublique

numrique, ce droit rejette la dimension
propritaire du droit sur la donne.
Si le commerce des fichiers et leur
valeur marchande sont reconnus (cf.
cet gard, la jurisprudence de la Cour
de cassation, notamment par son arrt
du 25 juin 2013), ce sont donc sous
condition de lgalit et sans carter les
droits des personnes concernes par les
donnes cdes.
Lenjeu du commerce des donnes
rside donc dans la lgalit du traitement, qui sexprime par lexamen des
caractristiques du traitement opr sur
les donnes en termes de base lgale,
de finalit, de proportionnalit et de res-
pect des droits des personnes concernes, outre le cas chant, le rgime de
formalit applicable.
La loi Informatique et Liberts permet sans conteste la circulation des donnes entre destinataires et lapparition de
nouveaux responsables de traitements,
eux-mmes soumis en cascade des obligations particulires ou communes avec
le responsable initial. Le rglement sur
la protection des donnes personnelles
comporte galement des dispositions qui
concernent les courtiers, notamment par
le fait que le courtage vise dans une large
mesure permettre la cration de profils
destins automatiser des actions.
LICEBERG
Le cadre juridique existant ne reflte
cependant pas la ralit de la situation
du courtage car ce hub des donnes
revt les caractres de liceberg ; sa partie merge nest pas la plus importante.
Le courtage de donnes vise lagrgation des donnes puis leur redistribution pour des finalits qui peuvent
tre varies, mais qui, pour lheure, se
concentrent sur le ciblage commercial
(marketing direct, publicit, amlioration
de lexprience client), la vrification de
caractristiques (honorabilit, solvabilit, identit) des personnes et la lutte
contre la fraude. Les donnes collectes
le sont partir de sources qui peuvent
varier dans la pratique, notamment internationale, de lexploitation de sources
ouvertes des transferts de donnes
collectes par des responsables tiers.

En matire de marketing, le modle
conduit lagrgation de bases de donnes constitues pour la relation client
dans les magasins avec des donnes
issues de la navigation, des commandes
sur internet ou de lutilisation de services
de la socit de linformation. La cl de
rapprochement, quil sagisse de donnes nominatives, de cookies, dadresse
lectronique, postales ou de tout autre
donne, est donc fondamentale pour la
cration du profil.
Lanalogie avec liceberg concerne
donc la fois le mode de production
de ces profils (par stratification progres-
sive de donnes parses mais relies ;

puis par consolidation des donnes
jusqu former un ensemble cohrent),
mais aussi par le caractre invisible de
lensemble ainsi form.
La question est donc celle de la
transparence ncessaire et du pouvoir
reconnu chacun de contrler le sort
dune donne collecte lors de lachat
dun article en supermarch qui est utilis pour adresser une publicit sur un
tlphone mobile par une enseigne en
ligne.
Encore peu visibles, les data brokers
constituent lun des sujets de rflexion
de lanne 2016.
81
82
Vhicules connects : en route

vers le pack de conformit
Le vhicule connect est un enjeu stratgique majeur pour les constructeurs automobiles
mais il est galement identifi par de nombreux autres professionnels comme une
opportunit nouvelle de recueillir des informations ou dentrer en relation avec les
automobilistes par le bais de nouveaux services plus personnaliss et plus pertinents.
Le 7 janvier 2015, la CNIL a organis la premire rencontre de lensemble
de lcosystme franais du vhicule
connect. Cette initiative, ralise en
partenariat avec les animateurs du plan
Big data du programme Nouvelle
France Industrielle , a permis de mesurer la diversit des attentes et vrifier la
ncessit doffrir un cadre de rgulation
des donnes personnelles fond sur la
prise en compte de la protection de la vie
prive ds la conception du produit (ou
privacy by design ).
Cette dmarche a t complte par
de premiers travaux sur une tude de cas

lie au vhicule connect afin de vrifier
la pertinence de la dmarche par scnarii,
telle quelle avait t conduite dans les
prcdents travaux sur les compteurs intelligents (ou smart grids) et lexploitation
des donnes nergtiques dans le foyer.
Tout au long de lanne 2015, la CNIL a
donc consolid son expertise sur des sujets
connexes comme le vhicule lectrique, la
mobilit urbaine, laccidentologie, le Pay
how you Drive afin doffrir aux participants
des travaux sur le pack de conformit un
ventail de rflexions complet.
LES GRANDES QUESTIONS INFORMATIQUE ET LIBERTS

Les premiers changes avec les
constructeurs, quipementiers, assureurs,
startups, et forces de lordre mettent en
vidence deux questions particulirement
structurantes pour le vhicule connect
et qui serviront de fil rouge aux travaux
sur le pack de conformit.
La premire est videmment lie la
scurit. En effet, contrairement des
objets connects traditionnels , lautomobile est par dfinition en mouvement
dans lespace public. Il nest pas besoin
de rappeler les chiffres de la scurit routire pour constater que cet objet nest
pas comme les autres et que la question
de la scurit est ncessairement centrale. La question de la scurit et de la
confidentialit des donnes caractre
personnel se double dans le cas de lautomobile connecte dune dimension cyber-
scurit. On ne peut rduire le risque

celui dune atteinte la vie prive puisque
la compromission des lments de pilotage peut conduire des consquences
importantes voire vitales pour les occupants et les tiers.
La seconde question est celle de
laccs aux donnes produites par le vhicule ou son
utilisateur. Par la force de
lvidence, les donnes produites dans le vhicule vont
constituer un enjeu majeur.
Ces donnes, quelles soient
des donnes techniques,
des donnes environnementales ou comportementales,
constituent un gisement
important dinformations
pour tous ceux qui un titre
ou un autre ont un lien avec lautomobile et son conducteur. Que lon songe la
maintenance, la commercialisation de
biens ou de services en lien avec lauto ou
encore aux villes intelligentes, la voiture
connecte va devenir une plateforme de
donnes incontournable.
BILAN DACTIVIT
UNE PLATEFORME MOBILE

Ladoption rcente du rglement
europen sur la protection des donnes
personnelles marque pour beaucoup
une tape de lintgration europenne
en matire de coopration entre autorits. Le vhicule connect, par dfinition
mobile sur tout le territoire de lUnion
Europenne, doit bnficier dun traitement europen harmonis pour tirer le
plein potentiel de linnovation. En matire
de donnes personnelles, les autorits
franaises et allemandes sont dores et

dj en contact pour assurer la coordination des travaux nationaux en prvision
du portage des conclusions nationales au
niveau europen. Les travaux du pack qui
seront conduits en prenant en compte le
rglement dont lapplication est prvue
pour 2018 permettront danticiper de
nouveaux droits comme celui la portabilit des donnes ou encore lexigence
de protection ds la conception.
Les travaux
du pack prendront
en compte le
rglement europen
dont ladoption
est prvue en 2018.
QUESTION DE MTHODE
Entre enjeux industriels, dinnovation
et de protection de la libert daller et
venir, le vhicule connect doit bnficier
dune approche partenariale sans laisser
personne sur le bord de la route. Pour
cette raison, la CNIL a propos que le

pack de conformit ne soit pas laffaire
de quelques-uns mais puisse souvrir
tout lcosystme du vhicule connect
afin de reflter les attentes, besoins et exi-
gences de protection. Depuis la fin fvrier

2016, les acteurs discutent afin de pouvoir prsenter leurs premires rflexions
au Mondial de lAutomobile lautomne
2016.
83
84
Des objets connects

aux objets autonomes :
quelles liberts dans
un monde robotis ?
Enfin, un futur avec des robots ? Depuis des dcennies, la science-fiction nous prdit des
robots omniprsents. Pourtant, notre vie quotidienne en parat encore bien dmunie.
Lest-elle tant que cela ? Des robots industriels aux robots logiciels , les signaux, tout
comme les questions thiques et juridiques, se multiplient. La CNIL a dcid dinscrire ce
sujet son programme de rflexion afin de nourrir une exploration prospective des enjeux
thiques et juridiques de la robotique, par une analyse la fois conomique et socitale.
Si les prdictions sur la taille future des
marchs concerns sont sujettes caution,
les experts saccordent sur lvolution de la
robotique en dehors du domaine industriel
vers des services aux formes trs diverses.
Dans une tude de 2015, lInstitut Xerfi
prvoit ainsi des opportunits lhorizon
2020 pour les robots compagnons, les
drones, les robots mdicaux, les robots

de transports de marchandises et de personnes, etc.
Les enjeux en termes de respect de la
vie prive sont trs forts. Les robots compagnons volueront dans lintimit du domicile des personnes, et les robots mdicaux
sont (dj) utiliss dans un environnement
LES ROBOTS, DES OBJETS CONNECTS

COMME LES AUTRES ?
Les ingrdients pour un robot :
des capteurs, du calcul et
des moyens dagir
Smartphone, objets connects pour
la maison (thermostats, pse-personnes,
aspirateurs), objets mesurant des
constantes du corps (bracelets, montres),
drones, voitures, etc les objets connects ou communicants sont partout, avec
une caractristique commune : rendre
smart ou intelligents des objets du
quotidien. Que signifie intelligent ?
Assez simplement, il sagit de ladjonction
de trois capacits : des capteurs, de la

puissance de calcul et des communications rseau.
La captation permanente de donnes
dans notre environnement quotidien est
une vraie nouveaut. Une telle intensit
de captation cre une grande diffrence
avec le monde des fichiers traditionnels,
comme le montrait le deuxime Cahier IP
Le corps, nouvel objet connect de la
CNIL. Au-del des informations sensibles
(prsentes par exemple dans un dossier
mdical), on capte sur longue dure des
par nature sensible. Dans le domaine de la

scurit comme dans ceux des transports
ou de la logistique, les questions de surveillance seront invitables. Enfin, les usages,
certes encore trs mergents, des robots
dans le commerce, ouvrent de nouvelles
possibilits pour le marketing, la relation
commerciale, le ciblage et le suivi.
La captation
permanente
de donnes
dans notre
environnement
quotidien est une
vraie nouveaut.
BILAN DACTIVIT
Plus une machine est

autonome , plus elle est en
ralit dpendante des donnes
Par rapport des objets connects
traditionnels, les robots sont dots dun
plus grand niveau dautonomie. Or, lautonomie implique la capacit cooprer

avec des humains dans un espace commun : les robots deviennent des cobots
(robots collaboratifs), pouvant agir avec
des humains et non pas leur place ou
loin deux.
Pour ce faire, ils doivent collecter
beaucoup plus de donnes, ce qui rvle
un paradoxe thique fondamental dans le
domaine de la protection des donnes :
pour tre plus autonome, une machine
doit tre en ralit plus dpendante aux
FOCUS
donnes dapparence anodine (nombre

de pas, CO2 dans une pice, courbe de
poids, cycle du sommeil, voire localisation). Laccumulation induit la sensibilit,
en permettant dinfrer des informations
sur la personne (par exemple, prdire
statistiquement son tat de sant futur).
Les capteurs sont connects et
deviennent ensuite communicants, soit
directement (par des rseaux ddis
comme ceux de Sigfox ou Lora) soit
par le smartphone, devenu le vritable
centre de contrle des objets connects.
Ltape suivante de cette transformation numrique semble tre de faire disparatre au maximum ces technologies ,
comme lexplique Rand Hindi de la
start-up dintelligence artificielle franaise Snips, car les sollicitations permanentes sont des perturbations que
lindividu apprcie peu. Il faut donc ajouter une capacit dcider et agir de
manire automatique, grce au machine
learning, au big data, ou lintelligence
artificielle.
Or, la conjonction de ces caractristiques dfinit justement un robot,
cest--dire une machine runissant
des capacits de perception, de dcision, daction et dinteraction adaptes
son environnement et aux tches pour
lesquelles il est conu. La robotique est
donc un horizon pour linternet des
objets.
donnes personnelles. Par exemple, une

voiture autonome doit capter en permanence ce qui se passe autour delle
(voir encadr), de mme quun drone
autonome (voir encadr). Un robot compagnon pour aider des personnes dpendantes isoles doit quant lui collecter
des donnes sur le logement, ne seraitce que pour ne pas blesser la personne
quil doit aider. Il doit aussi reconnatre
les personnes prsentes et donc, pourrait
recourir des technologies biomtriques
de reconnaissance faciale ou de la voix.
Les drones, dj presque

des robots volants
Les drones font rgulirement les gros titres de la presse.
Pourtant, des aromodles tlpilots existent depuis longtemps,
mme sils taient difficiles matriser et constituaient donc un
loisir de passionns. Aujourdhui, les drones ressemblent des
smartphones volants et faciles prendre en mains, puisque le
vol en est dj assist. Les modles rcents peuvent dcoller, se
stabiliser, viter des obstacles tout seuls (fonction dite sense and
avoid). Dautres vont mme pouvoir suivre automatiquement une
personne, par exemple pour la filmer pendant une sance de vlo
ou de ski (mode follow me ). Ces prouesses techniques sappuient
sur toujours plus de capteurs, et toujours plus de donnes, en
particulier concernant lutilisateur et les personnes proximit.
Et bientt, les drones seront vraiment des robots, accomplissant
des tches, parfois mme en essaim, sous la supervision plus ou
moins directe dhumains. Leffectivit de la nouvelle procdure
dautorisation reste cependant soumise la publication de
plusieurs textes dapplication, prvus par la loi, aprs avis de la
CNIL. Dans lattente de la publication de ces textes dapplication,
les procdures actuellement en vigueur en vertu des chapitres IX
et X de la loi Informatique et Liberts restent applicables.
85
86
INFO +
Il est donc indispensable de penser

globalement la gouvernance des donnes,
en faisant du privacy by design (intgration de la protection de la vie prive ds
la conception) un impratif pour la robotique. Dans son rapport thique de la
recherche en robotique , la Commission
de rflexion sur lthique de la Recherche
en sciences et technologies du Numrique
dAllistene (CERNA) (Allistne, 2014)
prconise ainsi : sil nest pas possible
de prmunir sa conception un robot
dun usage inappropri ou illgal des
donnes quil capte, le chercheur doit
nanmoins veiller ce que le systme
robotique facilite le contrle de lusage
des donnes.
Les voitures autonomes,

des robots sur nos routes
La tendance est au dveloppement de vhicules partiellement voire
totalement autonomes sur les routes. Les prototypes de vhicules
autonomes lessai intgrent de plus en plus de capteurs, par exemple
des radars ou lidars (permettant un guidage laser). Certains chiffres
concernant la collecte de donnes voquent presque un Gigaoctet
de donnes par seconde. Etant donne la nature particulirement
complexe du trafic routier, lautonomie de ces vhicules ncessite
quils soient en rseau et quils puissent apprendre collectivement (par
exemple pour faire face des situations nouvelles). Cest la voie suivie
par certains constructeurs de voitures lectriques, qui changent des
donnes en temps rel.
VERS UNE RFLEXION THIQUE DU NUMRIQUE

ET UNE CULTURE DE LA DONNE
Trois enjeux thiques1 se distinguent spcifiquement dans le domaine de la robotique,
chacun deux faisant cho des proccupations concernant les donnes.
La rparation
et laugmentation
de lhumain par
la machine
Les questions thiques lies au rapprochement entre la robotique et le corps

mme des individus sont fondamentales.
Tout rapprochement entre les technologies et le corps crera un impratif thique
de respect de la dignit de la personne
humaine, de son droit lautodtermination informationnelle et faire des choix
libres sans risquer la discrimination.
1 Ces enjeux sont identifis dans le rapport

de la CERNA, dj cit.
2 OPECST, Les robots et la Loi ,
auditions publiques du 10 dcembre 2015.
Limitation du vivant
et les interactions
affectives et sociales :
vers de vritables interactions
humains-machines respectueuses
des droits des personnes ?
Autonomie et capacits
dcisionnelles : jusqu
quel point les technologies
doivent-elles prendre des
dcisions notre place ?
Quelle confiance peut-on avoir dans

les robots ? Comment rendre compte de
leur comportement ? Le consentement
devra tre rinvent en environnement
robotique, dautant plus que les risques
de manipulation motionnelle de la personne sont importants , comme la soulign le psychologue Serge Tisseron lors
des auditions de lOffice Parlementaire
dEvaluation des Choix Scientifiques et
Technologiques en dcembre 2015.
Les robots permettant des interactions
humains-machines sophistiques, ils
doivent aussi permettre un dialogue
contextuel et explicite, adapte aux souhaits de la personne.
La robotique pose enfin une question

thique gnrale propos de la capacit
agir de lutilisateur. Pour la CNIL, il nest
donc pas toujours utile de distinguer un
robot mcanique dun robot logiciel pour
penser la rgulation de lautonomie dcisionnelle. La question de la transparence
des algorithmes ou au moins de leurs
rgles, celle de la capacit comprendre
comment des dcisions qui affectent les
personnes sont prises par des systmes
autonomes, sont des questions thiques
prospectives fondamentales.
BILAN DACTIVIT
BILAN FINANCIER
ET ORGANISATIONNEL
Les membres de la CNIL
Les ressources humaines et financires
88
Les membres
de la CNIL
LES MEMBRES
(COMMISSAIRES)
Jean-Franois CARREZ,
prsident de chambre honoraire

la Cour des comptes
Secteurs : Police, immigration,
coopration internationale
Jean-Franois Carrez est membre
de la CNIL depuis janvier 2009.
LE BUREAU
PRSIDENTE
Isabelle FALQUE-PIERROTIN,
conseiller dtat
Membre de la CNIL depuis 2004
et vice-prsidente de 2009 2011,
Isabelle Falque-Pierrotin est prsidente
de la CNIL depuis le 21 septembre 2011.
VICE-PRSIDENTE DLGUE
Marie-France MAZARS,
conseiller honoraire la Cour de cassation

Secteur : Ressources humaines, travail
et biomtrie
Marie-France Mazars est membre
et vice-prsidente dlgue de la CNIL
depuis fvrier 2014.
VICE-PRSIDENT
Eric PERES,
membre du Conseil conomique,

social et environnemental
Secteur : industrie, transports, nergie,
dfense
Eric Peres est membre de la CNIL
depuis dcembre 2010, puis vice-prsident
depuis fvrier 2014.
Les membres lus de la formation

restreinte sont :
Jean-Franois CARREZ
(Prsident)
Philippe GOSSELIN
Dominique CASTERA
Marie-Hlne MITJAVILE
Alexandre LINDEN
Maurice RONAI
Dominique CASTERA,
membre du Conseil conomique,

social et environnemental
Secteurs : Liberts individuelles,
vie associative, vote lectronique,
lections.
Dominique Castera est membre
de la CNIL depuis octobre 2010.
Nicolas COLIN,
inspecteur des finances, co-fondateur

et associ de la socit de capital-risque
TheFamily
Secteur : sant (assurance maladie/
recherche/ e-sant)
Nicolas Colin tait membre de la CNIL
de fvrier 2014 fvrier 2016.
Loc HERVE,
snateur de la Haute-Savoie
Secteur : sant
Loic Herv est membre de la CNIL
depuis septembre 2014.
Laurence DUMONT,
dput du Calvados
Secteurs : social et logement
Laurence Dumont est membre
de la CNIL depuis octobre 2012.
Jolle FARCHY,
professeure de sciences de linformation

et de la communication lUniversit
Paris I et chercheure au Centre dconomie
de la Sorbonne
Secteurs : affaires culturelles,
sportives, jeux, tourisme.
Jolle Farchy est membre de la CNIL
depuis fvrier 2014.
Philippe GOSSELIN,
dput de la Manche
Secteur : collectivits territoriales,
vidoprotection et tlservices
Philippe Gosselin est membre de la CNIL
depuis fvrier 2015.
Philippe LEMOINE,
Prsident du Forum dAction Modernits

et Prsident de la Fondation internet
nouvelle gnration
Secteurs : recherche, statistiques,
archives et donnes publiques.
Philippe Lemoine est membre de la CNIL
depuis fvrier 2014.
Marie-Hlne MITJAVILE,
conseiller dtat
Secteur : international
Marie-Hlne Mitjavile est membre
de la CNIL depuis fvrier 2009.
Alexandre LINDEN,
Conseiller honoraire la Cour de cassation

Secteur : sant (assurance maladie /
recherche/ e-sant)
Alexandre Linden est membre de la CNIL
depuis fvrier 2014.
Franois PELLEGRINI,
professeur des universits luniversit

de Bordeaux
Secteurs : distribution, commercemarketing, lutte contre la fraude
et impays, international
Franois Pellegrini est membre de la CNIL
depuis fvrier 2014.
Maurice RONAI,
chercheur lcole des Hautes tudes

en Sciences Sociales (EHESS)
Secteurs : NTIC, communications
lectroniques, innovation technologique.
Maurice Ronai est membre de la CNIL
depuis fvrier 2014.
Jean-Luc VIVET,
conseiller Matre la Cour des comptes

Secteurs : banque, crdit, assurance
et fiscalit
Jean-Luc Vivet est membre de la CNIL
depuis fvrier 2014.
Gatan GORCE,
snateur de la Nivre
Secteur : justice, eurojust
Gatan Gorce est membre de la CNIL
depuis dcembre 2011.
COMMISSAIRES DU GOUVERNEMENT
Jean-Alexandre SILVY,
Catherine POZZO DI BORGO, adjoint
BILAN DACTIVIT
Les ressources humaines

et financires
LES RESSOURCES HUMAINES
Pour faire face laugmentation soutenue de ses missions traditionnelles
et laccroissement de son primtre
dintervention par lentre en vigueur de
nouveaux textes lgislatifs (contrles en
ligne, contrle du blocage administratif
des sites), la CNIL a bnfici, en 2015,
dune allocation complmentaire de 7
postes par le lgislateur. Ainsi, elle est
passe de 185 postes 192, soit une
progression de 3,8%.
Les nouveaux emplois ont permis de
consolider les quipes ddies aux acti-
vits principales de la CNIL (examen de

formalits pralables obligatoires, instructions de plaintes, sanctions, contrles)
afin de rpondre une activit en forte
croissance tout en amliorant la qualit
du service rendu aux usagers. Ces moyens
ont galement permis de rpondre aux
nouvelles comptences confies par le
lgislateur (contrles en ligne).
Dans la perspective dvolution croissante de lactivit de la CNIL, les moyens
en personnel vont continuer progresser,
raison dune moyenne de 6 crations
de postes en 2016 et 5 postes en 2017.

Sagissant des comptences de ses
agents, la CNIL a labor fin 2015 un
plan stratgique qui guidera son action
pour les trois ans venir. Ladoption du
projet de rglement europen sur la protection des donnes personnelles au cours
du 1er semestre 2016 et le projet de loi
pour une Rpublique numrique ncessiteront en effet daccompagner lvolution
des comptences en interne, notamment
dans la perspective dune coopration
accrue de la CNIL avec ses homologues
europennes. Lenjeu est donc de poursuivre la formation des agents et la diversification de leur profil, tout en assurant
une mobilit interne rgulire.
PROFIL DES 192 AGENTS DE LA CNIL

ge moyen : 40 ans
36 %des postes occups par des juristes, 20 %
par des assistants, 14 % par des ingnieurs / auditeurs
48 % des agents travaillant la CNIL sont arrivs
entre 2011 et 2015
71
64
% des agents occupent un poste de catgorie A

% de femmes / 36 % dhommes
Lanciennet moyenne la CNIL

est de 9 ans environ
LES RESSOURCES FINANCIRES

En 2015, les crdits octroys la CNIL
slvent 22 061 370 en autorisation
dengagement et 18 298 779 en crdits de paiement, rpartis comme suit :
13 090 783 pour le budget de personnel (titre 2) et 8 970 587 en autorisation dengagement et 5 207 996 en
crdits de paiement pour les dpenses
de fonctionnement, dinvestissement et
dintervention (titres 3, 5 et 6 : soit le
budget hors titre 2).
Ainsi, les crdits allous au budget
du personnel ont progress de 6,13 %
en raison des 7 crations de postes et le
budget hors titre 2 (HT2) a augment de
1,2 % en crdits de paiement en raison

de la refonte de son schma directeur des
systmes dinformation (SDSI) minor par
leffort budgtaire demand aux institutions publiques.
Toutefois, la CNIL a poursuivi leffort de
matrise rigoureuse des dpenses de fonctionnement, entrepris depuis 2012. Ainsi,
le budget rellement consomm de la CNIL
sest lev 4,461 millions deuros. Si ce
solde sexplique en partie par la finalisation
de projets informatiques structurants au
terme de lanne budgtaire, il tmoigne
aussi des efforts trs importants de rduction des dpenses. Pour la deuxime anne
conscutive, le budget consomm est ainsi

infrieur 4,9 millions deuros, alors quil
tait encore de 5,6 millions deuros en
2012, soit une baisse de plus de 10 %
(20 % hors loyers).
En 2015, le schma directeur des systmes dinformation (SDSI) de la CNIL a
permis de :
Redfinir la rponse de premier
niveau nos publics en sappuyant sur
de nouveaux contenus en ligne et outils
de questions / rponses ;
Amliorer laccompagnement des
usagers dans leurs dmarches de plaintes
en ligne et permettre une saisine de la
CNIL en ligne, quel quen soit le fondement, conformment aux obligations
lgales ;
89
90
Disposer doutils mtiers pleinement

adapts aux missions de la Commission ;
Poursuivre la refonte du site internet cnil.fr, oprationnel en fvrier 2016
Mettre en uvre le projet Open data.
La CNIL a poursuivi la mutualisation
dachats avec les services du Premier
ministre et le service des achats de lEtat
(SAE) afin de pouvoir dgager des conomies pour des dpenses de fonctionnement courant et de r-allouer ces sommes
des projets mtiers.
AUTORISATIONS
DENGAGEMENT
CRDITS 2015
CRDITS
DE PAIEMENT
Budget LFI
Titre 2
Hors Titre 2
22 907 204
13 156 566
9 750 638
18 817 431
13 156 566
5 660 865
Budget disponible
Titre 2
Hors Titre 2
22 061 370
13 090 783
8 970 587
18 298 779
13 090 783
5 207 996
Budget Consomm
Titre 2
Hors Titre 2
21 407 908
12 716 435
8 691 473
17 178 189
12 716 435
4 461 754
Organigramme des directions et services

Isabelle FALQUE-PIERROTIN
Prsidente
EDOUARD GEFFRAY
Secrtaire gnral
Service
des affaires
europennes et
internationales
Direction
de la Conformit
(DC)
Direction
de la protection
des droits et
des sanctions
(DPDS)
Direction
des technologies
et de linnovation
(DTI)
Direction
des relations avec les
publics et de
la recherche
(DRPR)
Direction
administrative
et financire
(DAF)
Conseil juridique
et Relations
institutionnelles
Service du secteur
rgalien et des
collectivits
territoriales
Service
des plaintes
Service
de lexpertise
technologique
Service de
linformation et de
la documentation
Service
des ressources
humaines
Service de la
communication
externe et interne
Service de la sant
Service
des contrles
Service de
linformatique interne
Service des relations

avec les publics
Service des finances

et marchs publics
Qualit
performance
et risques
Service
du secteur
conomique
Service des
sanctions
Ple innovation,
tudes
et prospective
Ple des publications

scientifiques et
partenariats avec
le monde
de la recherche
Service des
moyens gnraux
Service des questions

sociales & RH
Service droit
daccs indirect
Service des
correspondants
Informatique et
Liberts
Ple en charge
de la gestion
des formalits
pralables
Ple BCR
Ple labels
Ple ducation
au numrique
5
ANNEXES
Liste des sanctions prononces en 2015

Liste des mises en demeure prononces en 2015
92
Liste des sanctions prononces en 2015

NOM OU TYPE
D'ORGANISME
THME
MANQUEMENTS PRINCIPAUX
DCISION
ADOPTE
12/02/2015
PERSONNE
PHYSIQUE
Prospection
politique
collecte et traitement
illicite de donnes
Avertissement
non public
12/02/2015
PERSONNE
PHYSIQUE
Prospection
politique
collecte et traitement
illicite de donnes
Avertissement
non public
12/02/2015
THTRE
NATIONAL
DE BRETAGNE*
Prospection
politique
donnes incompatibles avec

la finalit pour lesquelles
elles ont t collectes
Avertissement
public
09/04/2015
COMMUNE
Gestion des
inscriptions scolaires
donnes inadquates,
non pertinentes et excessives,
dfaut d'information
Avertissement
non public
18/05/2015
SOCIT
D'ANALYSE DES
COMMANDES DES
CONSOMMATEURS
SUR SITE
E-COMMERCE
Lutte contre la fraude

la carte bancaire
non respect des formalits

pralables
Sanction
pcuniaire
non publique
01/06/2015
PRISMA MEDIA
Prospection
non respect des dispositions

de l'article L.34-5 du Code des
postes et des communications
lectroniques, dfaut
d'information, non respect
d'une dure de conservation
Sanction
pcuniaire
publique de
15 000 euros
18/06/2015
SOCIT VENTE
D'ABONNEMENTS
EN LIGNE
Faille de scurit impactant

les donnes des clients
et des prospects
dfaut de scurit
des donnes
Avertissement
non public
05/11/2015
OPTICAL CENTER
Gestion des donnes des

clients et des prospects
dfaut de scurit et de
confidentialit des donnes,
y compris celles gres
par un sous-traitant
Sanction
pcuniaire
publique de
50 000 euros
10/12/2015
BANQUE
Gestion des mots

de passe des clients
pour la consultation
des comptes en ligne
confidentialit des donnes
Avertissement
non public
21/12/2015
PROFILS
SNIORS
Constitution d'une base

de donnes/collecte
dloyale
dfaut de formalits pralables

non respect des dispositions
relatives aux transferts de
donnes hors de lUnion
europenne collecte dloyale
dfaut du consentement des
personnes au traitement de
leurs donnes par des tiers
dfaut de scurit des donnes
confidentialit des donnes
gres par un sous-traitant
Avertissement
public
DATE
* Recours pendant devant le Conseil dEtat
BILAN DACTIVIT

ORGANISMES
THMATIQUES
LES MISES EN DEMEURE PUBLIQUES

Date de clture
SASP PARIS SAINT

GERMAIN FOOTBALL
Fichier d'exclusion
Non respect des autorisations dlivres
11/09/2015
MOTEUR DE
RECHERCHE GOOGLE
Drfrencement
Non respect du droit d'opposition
BOULANGER
Commentaires
excessifs,
cookies
Non adquation, non pertinence et caractre

excessif des donnes ; dfaut d'information
des personnes ; dure de conservation
disproportionne ou non dfinie ; dfaut de
scurit et de confidentialit des donnes
06/11/2015
MINISTRE DE LA
JUSTICE ET MINISTRE
DE L'INTRIEUR
Demande daccs
des fichiers de
police et de justice
Non respect des dlais prvus par la procdure

de droit d'accs indirect des personnes
09/09/2015
8 SITES DE
RENCONTRES :
TOODATE, SAMADHI,
NESS INETRACTIVE,
GEB ADOPTAGUY,
PHOENIX CORP, MEETIC,
LT SERVICES, 2 L
MULTIMEDIA
Rseaux sociaux
de rencontres
Absence de formalits pralables/transferts

hors UE ; dfaut de consentement exprs de
la personne ; dfaut d'information des personnes ;
non adquation, non pertinence et caractre
excessif des donnes ; dure de conservation
disproportionne ou non dfinie ;
dfaut d'information et d'accord pralable
au dpt de cookies ou leur lecture ;
non dfinition d'une finalit dtermine,
explicite et lgitime ;
dfaut de scurit et de confidentialit des
donnes ainsi que de celles gres par
un sous-traitant ; non respect du droit d'accs ;
traitement dloyal
Non
clture
Non
cltures
LES MISES EN DEMEURE NON PUBLIQUES

COMMUNES
Demandes
d'tat civil en ligne
Dfaut d'information des personnes ;

dfaut de scurit et de confidentialit des donnes
COMMUNE
Dpt de cookies
Dfaut d'information et d'accord pralable des personnes
PERSONNE PHYSIQUE
DU MONDE POLITIQUE
Prospection
politique
Absence de formalits pralables ;

dfaut de coopration avec les services de la CNIL
PERSONNE PHYSIQUE
RESPONSABLE D'UN
BLOG
Droit d'opposition
sur des informations
figurant sur un blog
Non respect du droit d'opposition
93
94

ORGANISMES
THMATIQUES

SOCITS PROPOSANT
UN VASTE CHOIX DE
SERVICES MARCHANDS
EN LIGNE EN RELATION
AVEC LA PHOTO
NUMRIQUE
Service de photos
en ligne
Dfaut d'information des personnes ;

dfaut de scurit et de confidentialit des donnes ;
dure de conservation disproportionne ou non dfinie
SOCITS RALISANT
DES ESSAIS CLINIQUES
tudes cliniques
Dfaut de mise jour des formalits pralables ;

dfaut d'information et du recueil du consentement
de la personne ; dfaut de scurit et de confidentialit des
donnes ; non dfinition d'une dure de conservation des
donnes ; dfaut de scurit et confidentialit des donnes
gres par un sous-traitant ; non adquation,
non pertinence et caractre excessif des donnes
SITES DE SUIVI
DE GROSSESSE
Suivi de grossesse
Dfaut d'information des personnes ; dfaut de scurit

et de confidentialit des donnes ; dure de conservation
disproportionne ou non dfinie
MINISTRES
Fichier de l'Etat
Donnes collectes inexactes ;

non respect de la dure de conservation des donnes ;
TABLISSEMENT
PUBLIC
Donnes inexactes dans

un fichier d'un bnficiaire
gr par un organisme
Donnes inexactes, incompltes et non mises jour
SITES D'ACTUALIT
Cookies presse
Dfaut d'information et d'accord pralable des personnes ;

dfaut de scurit et de confidentialit des donnes ;
non dfinition d'une finalit dtermine, explicite et lgitime
du traitement ; dure de conservation disproportionne ou
non dfinie; non respect des dispositions de l'article L34-5
du code des postes et des communications lectroniques
SITES D'INFORMATIONS
THMATIQUES DIVERSES
Cookies
Dfaut d'information et d'accord pralable ;

non dfinition d'une finalit dtermine, explicite et lgitime ;
dure de conservation disproportionne ou non dfinie ;
dfaut de scurit et de confidentialit des donnes
ASSOCIATIONS
Prospection,
vidosurveillance,
commentaire de dcisions
de justice
Collecte dloyale de donnes ; dfaut d'information

des personnes ; dure de conservation disproportionne
ou non dfinie ; dfaut d'adquation, de pertinence
et caractre excessif des donnes, dfaut de scurit
des donnes ; non respect du droit d'opposition
BILAN DACTIVIT

ORGANISMES
THMATIQUES

COMMERCES
ET GRANDE
DISTRIBUTION
Fichier dexclusion,
scannettes,
vidosurveillance,
vidoprotection,
golocalisation,
surveillance
permanente
des salaris,
enregistrement
des conversations
tlphoniques
Absence de formalits pralables/non respect

de l'autorisation dlivre par la CNIL/ dfaut d'autorisation
prfectorale/non respect des finalits prvues par le code
de scurit intrieure ; dfaut d'adquation,
de pertinence et caractre excessif des donnes ;
dfaut d'information des personnes ; dfaut de scurit et de
confidentialit des donnes ; collecte illicite ; dfaut de mise
en oeuvre d'un registre ; non respect des dispositions
de l'article L34-5 du code des postes et communications
COMMERCES
EN LIGNE
Fichier dexclusion,
prospection
commerciale,
cookies,
donnes bancaires
Absence de formalits pralables/dfaut de mise jour des

traitements dclars/transfert hors UE ; dfaut de coopration
avec la CNIL ; non adquation, non pertinence et caractre
excessif des donnes ; dfaut de recueil du consentement ;
dfaut dinformation et daccord pralable au dpt des cookies ;
absence de dfinition dune finalit dtermine, explicite et
lgitime ; dfaut de scurit et de confidentialit des donnes ;
non respect des dispositions de larticle L34-5 du code
des postes et des communications
ASSURANCES
Gestion des sinistres,

donnes dinfractions,
donnes de sant
Absence de formalits pralables ; collecte illicite de donnes ;

non adquation, non pertinence et caractre excessif
des donnes ; dfaut de recueil du consentement ;
dfaut d'information des personnes ; absence de dfinition
d'une dure de conservation des donnes
SOCITS DE
RECOUVREMENT
Recouvrement
de crance scurit
Dfaut dinformation des personnes ;

SYNDICAT
NIR
Traitement illicite des donnes
PLATEFORME
TLPHONIQUE
D'APPELS
Suivi dactivit
Absence de dfinition dune dure de conservation des donnes ;

dfaut dinformation des personnes ; dfaut de scurit
et de confidentialit des donnes
SOCIT DE SCURIT
Droit daccs
dun salari
Absence de formalits pralables ; non respect du droit daccs ;

dfaut de rponse la CNIL
SOCITS
DE SERVICE
Site internet, cookies

vidosurveillance,
et vidoprotection,
gestion des donnes
clients et prospects
Absence de formalits pralables ; dfaut daccord pralable au

dpt des cookies ; non adquation, non pertinence et caractre
excessif des donnes ; dfaut dinformation des personnes ;
dfaut de scurit et de confidentialit des donnes ; non respect
du droit daccs ; non respect des dispositions de larrt
prfectoral dautorisation ; dfaut de rponse aux demandes de
la CNIL ; dure de conservation disproportionne ou non dfinie ;
non respect du droit dopposition
95
Commission nationale de linformatique et des liberts

8, rue Vivienne - 75083 Paris Cedex 02 / www.cnil.fr / Tl. 01 53 73 22 22 / Fax 01 53 73 22 00
Conception & ralisation graphique LINAL 03 20 41 40 76 / www.lineal.fr
Impression et diffusion Direction de linformation lgale et administrative
Tl. 01 40 15 70 10 / www.ladocumentationfrancaise.fr
Crdit photo CNIL, Fotolia, istockphoto
COMMISSION NATIONALE DE LINFORMATIQUE ET DES LIBERTS / 36E RAPPORT DACTIVIT 2015
rapport dactivit
2015
Diffusion
Direction de linformation lgale
et administrative
La Documentation franaise
Tl. 01 40 15 70 10
www.ladocumentationfranaise.fr
Commission nationale de
linformatique et des liberts
8, rue Vivienne
75083 Paris Cedex 02
Tl. 01 53 73 22 22
Fax 01 53 73 22 00
ISBN: 978-2-11-010351-2
DF: 5HC42290
Prix : 15e
www.cnil.fr
La
documentation
Franaise

Rapport Annuel 2015 de La CNIL

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Rapport Annuel 2015 de La CNIL

Încărcat de

Drepturi de autor:

Formate disponibile

COMMISSION NATIONALE DE LINFORMATIQUE ET DES LIBERTS / 36E RAPPORT DACTIVIT 2015

Prvu par larticle 11 de loi du 6 janvier 1978,

Les chiffres cls de 2015

ORGANISMES ONT DSIGN

Plus de 1000 participants

DEMANDES DE DROIT DACCS

RAPPORT DACTIVIT 2015

Les chiffres cls de 2015

Mot du secrtaire gnral

Lutte contre le terrorisme

Les camras-pitons utilises

La protection des donnes

Linvalidation du Safe Harbor :

Informer le grand public

Protger les citoyens

Les membres de la CNIL

Des objets connects

Liste des sanctions

Liste des mises en demeure

RAPPORT DACTIVIT 2015

2015, CEST AVANT TOUT LE CHOC,

anne 2015 a commenc et sest termine dans la

Depuis, le curseur entre impratifs de scurit et dfense

Le plan stratgique doit dessiner un projet pour

Dans un autre registre et toute proportion garde bien

Le G29 analysera ce nouvel accord la lumire des

ET MAINTENANT, QUE DIRE DE 2016 ?

RAPPORT DACTIVIT 2015

la CNIL intgre, dans lensemble de son fonctionnement,

un interlocuteur de confiance comme en tmoignent les

MOT DU SECRTAIRE GNRAL

Faire de la CNIL un vritable

MOT DU SECRTAIRE GNRAL

ou des nouvelles lgislations. Enfin, les volutions et

RAPPORT DACTIVIT 2015

en ligne en avril 2015. Dsormais, les personnes qui

ds maintenant de CIL pour monter en puissance en vue

RAPPORT DACTIVIT 2015

Lutte contre le terrorisme

LUTTE CONTRE LE TERRORISME ET PROTECTION DES DONNES

valeur constitutionnelle de sauvegarde de

cations lectroniques, qui a notamment

dique applicable aux rquisitions administratives des donnes de connexion,

RETOUR SUR LANNE

gnement en leur permettant daccder

La CNIL sest prononce sur la plupart de ces dispositions lgislatives,

En 2015, la CNIL sest prononce

tis des auteurs dinfractions sexuelles

RAPPORT DACTIVIT 2015

Le FIJAIT cr par dcret

mettre aux services de renseignement

tions. Tout comme le traitement CAR,

Un an auparavant, la LPM avait t

est en effet ncessaire afin de limiter les

La surveillance dInternet et des

La CNIL a ainsi t saisie dun projet de dcret portant amlioration des

de terrorisme ou en faisant lapologie,

Monsieur Alexandre Linden, commissaire au sein de la CNIL,

La cration de plusieurs techniques

RAPPORT DACTIVIT 2015

autoris lusage de nouvelles

notamment de la protection des donnes

Dune surveillance individuelle