Les limites de la CNIL
Selon le site data.gouv.fr, la CNIL a reçu en 2016, 7703 plaintes, effectué 430 contrôles, prononcé 82 mises en demeure et 13 sanctions. On peut ainsi constater que sur 430 contrôles, 82 entreprises ont été mises en demeure et 13 sanctionnées soit 22% des contrôlés qui n’ont pas respecté la loi informatique et liberté. 22% est un chiffre conséquent au regard du contexte actuel où le sujet de la gestion des données à caractère sensible est très sensible avec, en 2013, les révélations d’Edward Snowden et le procès de Facebook qui s’est tenu en ce début d’année 2018.
Point positif au tableau ? L’augmentation du nombre de plaintes notamment entre 2014 et 2015 passant de 5802 à 7908 (+ 36% en un an). Cette augmentation peut être interprétée comme le fait que de plus en plus de personnes connaissent leurs droits et l’exercent dans le cadre de ces plaintes.
En France la CNIL fait autorité pour protéger les données à caractère personnel des internautes. Mais le monde numérique est gigantesque et beaucoup d’organismes passent sans doute encore entre les mailles de ses filets.
Et qu’en est-il des entreprises basées à l’étranger ? Nous l’avons vu plus haut, seules les structures basées sur le territoire français sont obligées de respecter la loi informatique et liberté. Ainsi se dessinent des limites au pouvoir d’autorité et de protection de la CNIL.
L’ignorance de la loi
Ainsi, les entreprises collectant et traitant des données à caractère personnel sur leurs clients dans un but de vendre notamment, doivent être très attentifs à respecter ces lois. Néanmoins on peut remarquer dans le cas de OUICAR que les infractions aux lois informatiques et liberté sont souvent involontaires. Selon une étude Trend Micro, sur 67 % de cadres interrogés, la date de naissance d’un client n’est pas considérée comme une donnée personnelle. Les risques de non-respect du droit des personnes avec le traitement de leurs données personnelles sont aussi causés par l’ignorance des entreprises.
Les pouvoirs de contrôle de la CNIL ont été limités par le Conseil d’Etat en 2009.
Avant 2009, la CNIL pouvait directement effectuer un contrôle sans faire de demande préalable à un juge et sans prévenir les organismes pour maintenir l’effet de surprise. Néanmoins les organismes ont le droit de s’opposer à la visite de la CNIL qui devait alors justifier devant le tribunal la pertinence de sa visite. Malheureusement les données numériques ont un caractère fragile car elles sont très facilement effaçables. Ainsi certaines entreprises de mauvaise foi pourraient aisément passer outre les contrôles de la CNIL.
Les limites géographiques des droits sur les données personnelles.
Il faut savoir que les sites hébergés dans les pays hors Europe, n’ont aucune obligation de se soumettre à la législation européenne concernant les droits des citoyens sur leurs données à caractère personnel. Ces sites sont régis par la loi du pays où se trouve leur siège social et sont tout à fait libre de ne pas respecter les lois en France. Cela rend difficile aux citoyens français de faire appliquer leur droits en matière de protection de leurs données à caractère personnel.
De plus, même si une entreprise est située sur le territoire français, elle ne peut respecter les droits des internautes à une échelle mondiale, puisque leurs droits ne s’appliquent qu’en France.
Exemples :
En 2016, La CNIL a imposé une amende de 100 000 euros à Google pour avoir refusé une demande de déréférencement dans les recherches effectuées au niveau mondial. Le géant du Web a saisi le conseil d’Etat pour annuler cette amende car, malheureusement, le droit au déférencement ne s’applique actuellement que dans le droit Européen et français.
Un autre exemple, aux Etats-Unis, la législation permet de diffuser des « liste noires », c’est à dire des fichiers de « personnes à risques » répertoriant le nom de personnes ayant manqué à leurs devoirs contractuels. Selon la législation européenne, il est interdit de diffuser ce genre de liste contenant des données sensibles sur les personnes qui peuvent leur être préjudiciables. Néanmoins si une entreprise multinationale, dont le siège de direction est situé aux Etats-Unis, souhaite faire appliquer son droit national à toutes ses filiales, même en Europe, elle a le droit de le faire. Ainsi les filiales européennes peuvent utiliser ces listes noires.
Néanmoins, certaines entreprises dont la maison mère est aux Etats-Unis ont fait le choix de s’adapter à la législation européenne pour leurs filiales européennes, comme par exemple Facebook et Google.
Il faut aussi savoir que certaines législations étrangères autorisent les autorités de ces pays étrangers à accéder ou à collecter des données personnelles de ressortissants français. La CNIL n’a pas de pouvoir d’autorité sur la collecte des données effectuées hors de France, ce qui peut impacter gravement la protection des données à caractère personnel en France et dans l’Union européenne.
Conclusion
La Cnil a pour mission de protéger les citoyens et leurs données à caractère personnel à travers une législation imposant des obligations strictes aux entreprises et octroyant des droits nécessaires aux citoyens. Elle possède un pouvoir d’information, de contrôle et de sanction sur le territoire français mais les spécificités géographiques de chaque pays rendent caduque la loi informatique et liberté dès lors qu’un internaute se voit collecter et traiter ses propres données par une entreprise étrangère. Afin, entre autres, de réduire ces disparités géographiques, un projet de Règlement Européen sur la Protection des Données va être mis en place le 25 mai 2018.