La préservation des données personnelles fait partie des enjeux majeurs de notre époque. Il est essentiel de savoir à qui s’adresser en cas de violation de ses droits. En France, plusieurs autorités sont chargées de veiller à protéger les données à caractère personnel (nom, prénom, adresse postale, numéro de Sécurité sociale, etc.). Chacune possède des responsabilités et domaines d’intervention spécifiques.
La Commission nationale de l’informatique et des libertés (CNIL)
Qu’est-ce que la CNIL ?
La CNIL a été instaurée par la loi Informatique et Libertés du 6 janvier 1978. Elle s’assure de la protection des données à caractère personnel contenues dans les fichiers informatiques ou papiers, publics et privés. Elle fait en sorte que l’informatique ne nuise pas :
- À l’identité humaine ;
- Aux droits de l’homme ;
- À la vie privée ;
- Aux libertés publiques, individuelles comme collectives.
Cette autorité administrative indépendante (AAI) est constituée de 18 membres, élus ou nommés.
Quelles sont les missions de la CNIL pour protéger les données personnelles ?
La CNIL poursuit quatre missions principales.
Informer, protéger les droits
Une des missions phares de la CNIL est de répondre aux demandes des particuliers et des entreprises. En parallèle, elle met en place des actions de communication à destination du grand public : presse, site web, réseaux sociaux. Elle recueille les plaintes des citoyens en lien avec :
- La réputation en ligne, avec des demandes de suppression de contenus sur le web ;
- Le commerce. Par exemple, une opposition à la réception d’e-mails commerciaux ;
- Les ressources humaines (RH), au sujet de la vidéosurveillance ou encore de la géolocalisation des véhicules des salariés ;
- La banque et l’emprunt. La plainte peut porter sur une inscription au sein de l’un des fichiers de la Banque de France.
Accompagner vers la mise en conformité/conseiller
La CNIL aide les acteurs privés comme publics à se mettre en conformité avec le règlement général sur la protection des données (RGPD). Elle leur propose une boîte à outils, adaptée à leur taille et à leurs besoins. L’autorité indépendante exerce aussi une activité de conseil et de réglementation. Elle donne par exemple son avis sur des projets de textes portant sur la protection des données à caractère personnel.
Anticiper, innover
La Commission nationale de l’informatique et des libertés contribue à la formation d’un débat autour des enjeux éthiques des données avec :
- Son laboratoire d’innovation numérique, connu sous le nom de LINC ;
- Le Comité de la prospective ;
- Le Prix européen CNIL-INRIA ;
- Le Privacy Research Day, une conférence académique d’envergure autour de la protection des données.
Contrôler, sanctionner
La CNIL a le droit de contrôler les organismes privés et publics. Si elle constate des manquements, elle peut alors les mettre en demeure voire les sanctionner. En 2022, l’autorité a réalisé 345 contrôles et 147 se sont soldés par une mise en demeure. Parmi les procédures de sanction, nous retrouvons :
- La procédure de sanction ordinaire, avec des amendes pouvant atteindre jusqu’à 20 millions d’euros ;
- La procédure de sanction simplifiée, réservée aux dossiers peu complexes ou de faible gravité.
Quel est le rôle de la CNIL ?
La CNIL joue un rôle de régulateur des données à caractère personnel au sein de l’univers numérique. Elle accompagne les entreprises dans leur mise en conformité, tout en aidant les particuliers à exercer leurs différents droits. Pour rappel, les personnes dont les données sont récoltées disposent de plusieurs droits :
- Le droit d’accès aux données, à tout moment, sans limitation ;
- Le droit de rectification des données conservées et d’opposition à leur exploitation ;
- Le droit à la portabilité, consistant à récupérer les données fournies, puis les transférer à un tiers ;
- Le droit à l’oubli, reposant sur l’effacement de ses données et à leur déréférencement ;
- Le droit à notification si la sécurité des données est violée ;
- Le droit à réparation du dommage, qu’il soit de nature matérielle ou morale en lien avec la violation du RGPD ;
- Le droit de faire une réclamation ou un recours par le biais d’une action de groupe.
Dataventure est RGPD compliant
Dataventure conçoit des opérations de conquête conformes au RGPD. Elle utilise des bases opt-in dans le cadre de ses solutions d’e-mailing à la performance ou encore de SMS marketing. Elle propose de louer des fichiers ciblés et d’enrichir les données en s’appuyant sur les 100 millions de profils opt-in qualifiés de son réseau.
Co-sponsoring, co-registration, clic-lead… Tous les mois, plus de 3 millions d’adresses sont récoltées pour les plus grands annonceurs. Dataventure se positionne comme un des leaders de la collecte opt-in en France.
Bon à savoir : Tous les dispositifs de collecte proposés par Dataventure sont facturés net de déduplication. Autrement dit, seuls les profils opt-in n’étant pas encore présents dans votre base d’actifs vous sont livrés.
La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF)
Qu’est-ce que la DGCCRF ?
La DGCCRF est un des services du ministère de l’Économie. Elle participe à la conception et à la mise en œuvre de la politique économique. Elle contrôle le bon fonctionnement des marchés, tout en étant au service des consommateurs et des entreprises.
Quelles sont les missions de la DGCCRF en lien avec la protection des données à caractère personnel ?
La DGCCRF mène des enquêtes et des contrôles pour s’assurer du respect des règles de préservation des données personnelles par les entreprises. Elle sanctionne les entreprises ne se conformant pas aux dispositions concernant le traitement des données sensibles. Elle informe les consommateurs sur leurs droits relatifs à la protection des données à caractère personnel. Le service du ministère de l’Économie les sensibilise aux dangers liés à leur utilisation.
En 2019, la CNIL et la DGCCRF ont signé un nouveau protocole de coopération. L’objectif des deux autorités ? Augmenter la protection des consommateurs et celle de leurs données à caractère personnel, tout en l’adaptant aux nouveaux enjeux numériques. Plus précisément, leur coopération vise à :
- Attirer l’attention des individus sur les risques encourus lors de la communication de leurs informations personnelles ;
- Diffuser les best cases déployés par les professionnels ;
- Simplifier la communication de renseignements relatifs au non-respect du droit de la consommation et de la protection des données à caractère personnel ;
- Effectuer des contrôles communs ;
- Porter de concert des propositions d’actions à l’échelon européen ;
- Mettre en commun les expertises, en particulier concernant les outils d’enquête ;
- Échanger leurs analyses portant sur les changements législatifs et réglementaires en matière de protection des consommateurs et de leurs informations personnelles.
Le Conseil d’État
Qu’est-ce que le Conseil d’État ?
Le Conseil d’État, institué par Napoléon Bonaparte en 1799, est la plus haute juridiction administrative. Elle a vocation à conseiller le Gouvernement. Elle est composée de 300 membres. Parmi eux, nous retrouvons des conseillers d’État, des maîtres des requêtes ou encore des auditeurs.
Quelles sont les missions du Conseil d’État en matière de protection des données personnelles ?
Le Conseil d’État juge les contentieux administratifs relatifs à la préservation des données personnelles. Il peut être consulté par le Gouvernement pour donner son avis sur des questions portant sur la protection des données à caractère personnel. Il émet des recommandations dans le domaine de la collecte et du traitement de données sensibles. Le Conseil d’État contrôle le caractère légal des décisions de la CNIL. Enfin, il tranche dans le cadre de conflits de compétence.
Par exemple, en juin 2020, le Conseil d’État rejette le recours de Google contre la sanction financière administrée par la CNIL. D’après lui, l’entreprise américaine a bien failli à ses obligations d’information et de transparence. De plus, il juge la sanction financière de 50 millions d’euros non disproportionnée.
En juin 2020, le Conseil d’État approuve la majorité des lignes directrices relatives aux cookies et aux traceurs de la CNIL. Il annule toutefois la disposition interdisant de manière générale et absolue la pratique du « mur de traceur », ou « cookie wall » en anglais . Cette dernière consiste à bloquer l’accès à un site web en cas de refus de cookies.
Les tribunaux judiciaires
Qu’est-ce que les tribunaux judiciaires ?
Le tribunal judiciaire est né de la fusion entre deux juridictions :
- Le tribunal d’instance (TI) ;
- Le tribunal de grande instance (TGI).
Il est compétent pour l’ensemble des litiges non confiés à un autre tribunal spécialisé.
Comment saisir le tribunal judiciaire ?
Le tribunal judiciaire peut être saisi par le biais :
- D’une assignation. Elle prend la forme d’un acte du commissaire de justice (ex-acte d’huissier de justice) informant l’adversaire qu’un procès est engagé contre lui. Il le convoque devant une juridiction. L’acte doit intégrer des mentions obligatoires comme le lieu, le jour et l’heure de l’audience, les motifs du litige ou encore le mode de comparution de l’adversaire devant la juridiction ;
- D’une requête. Il s’agit d’un écrit formalisé permettant la saisie d’un tribunal judiciaire. Il est possible de le rédiger soi-même, si la représentation par avocat n’est pas requise, ou de faire appel à un avocat ;
- Une requête conjointe, dans le cas où les deux adversaires sont d’accord pour que le litige soit trancher par le tribunal.
Le juge peut enjoindre les parties à recourir au préalable à la médiation.
Quelles sont les missions des tribunaux judiciaires pour protéger les données personnelles ?
Le tribunal judiciaire juge des infractions en matière de protection des données sensibles. Il accorde des réparations aux victimes de violations de la protection des données personnelles. Il donne des injonctions pour faire cesser ces violations. Enfin, il a le pouvoir de prononcer des sanctions.
À titre d’illustration, en mars 2021, suite à une fuite de données constatée par la CNIL, le tribunal judiciaire de Paris a ordonné à des fournisseurs d’accès à internet (FAI) de suspendre l’accès à un site web. Ce dernier abritait les données de santé de 500 000 individus
Le Collectif pour les acteurs du marketing digital (CPA)
Il s’agit d’une organisation professionnelle rassemblant 88 adhérents, spécialistes du marketing digital. Leurs métiers sont diversifiés : affiliation, e-mailing d’acquisition, couponing, génération de leads qualifiés, display, juridique, etc.
140 sociétés ont signé la charte E-mail du CPA. Elles s’engagent à :
- Mettre en œuvre des pratiques de collectes d’adresses et de monétisation conformes au RGPD ;
- Avoir recours à un outil tiers d’encapsulage des formulaires de collecte.
Comment le CPA participe à la protection des données à caractère personnel ?
Le Collectif pour les acteurs du marketing digital œuvre à la régulation des pratiques du marché. Elle favorise leur développement dans le respect des consommateurs en éditant des chartes de qualité. Le syndicat réalise une veille juridique en vue d’informer et former ses membres et adhérents sur des questions d’actualité ou de fond.
Le CPA est constitué de plusieurs collèges :
- Retail;
- Email ;
- Lead;
- Search;
- Juridique ;
- Technologies E-Marketing ;
- Métiers & Compétences.
Parmi eux, le Collège Juridique, créé en 2017, se positionne sur différents sujets légaux. Il se compose d’avocats, de juristes et d’experts de la performance marketing. Fabrice Perbost, son président, est avocat au barreau de Paris. Il est enseignant en droit du commerce électronique et droit de la data à l’Université Paris-Panthéon-Assas.
En avril 2021, le Collège Juridique a publié un guide pratique sur la recommandation CNIL : cookies et autres traceurs. Il accompagne les adhérents du CPA dans la mise en conformité de leurs dispositifs destinés à recueillir le consentement. Il est constitué de 14 fiches pratiques, abordant les points soulevés par la CNIL notamment le consentement éclairé, l’acte positif clair ou encore la preuve du consentement.
Le Collège Technologies E-Marketing a quant à lui publié en janvier 2021 des fiches techniques cookieless. Le but ? Informer les annonceurs sur les incidences de la fin des cookies tiers. Elles présentent des solutions alternatives permettant de continuer à suivre le parcours des internautes.
En France, de nombreuses autorités contrôlent le respect des directives liées au traitement des données à caractère personnel. Collecte, enregistrement, conservation, modification, consultation, diffusion, effacement… Les entreprises n’ont pas tous les droits. Elles doivent se conformer à la législation en vigueur. Pour mettre en place des opérations de conquête RGPD friendly, contactez nos experts.