La Commission nationale de l'informatique et des libertés (CNIL) est une autorité administrative indépendante française chargée de veiller à la protection des données personnelles et à la protection de la vie privée. Elle a été créée par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
La CNIL est composée d'un collège pluraliste de dix-sept personnalités (« Commissaires »). Douze commissaires sont élus par les organismes qu'ils représentent (Assemblée nationale française, Sénat, Conseil d'État, Cour de cassation, Cour des comptes, Conseil économique et social). Trois personnalités qualifiées sont nommées par décret, deux sont désignées par le président de l'Assemblée Nationale et du Sénat. La durée du mandat des commissaires est de cinq ans, renouvelable une fois, sauf pour les commissaires issus du Conseil économique et social, de l'Assemblée nationale et du Sénat pour lesquels la durée du mandat correspond à la durée de leur mandat dans leur institution d'origine. Le Président de la CNIL est élu par les dix-sept commissaires. Depuis le 3 février 2004, c'est le sénateur Alex Türk qui est président de la CNIL.
Un commissaire du gouvernement, désigné par le Premier ministre, siège auprès de la Commission.
L'action de la CNIL s'appuie également sur quatre-vingts agents (« les services ») qui sont des agents contractuels de l'État.
Le statut d'autorité administrative de la CNIL lui confère une grande indépendance dans les choix et les actions qu'elle entreprend. Toutefois, ses pouvoirs sont limités et définis par
La CNIL enregistre la mise en œuvre des systèmes informatisés de traitement des données personnelles sur le territoire français. Ainsi plus de 800 000 déclarations de tels systèmes ont été faites en septembre 2004. En outre, la CNIL veille au respect de la loi dans ce domaine et effectue à ce titre plus de 50 missions de contrôle par an. Elle peut aussi adresser des amendes ou des avertissements à l'égard des contrevenants, voire dénoncer les infractions au Parquet.
300 systèmes d'informations nominatives sont déclarés chaque jour ;
8 000 appels téléphoniques par mois ;
4 000 plaintes ou demandes de conseil par an.
La réglementation relative au traitement des données personnelles concerne quatre principes :
tous les moyens de collecte frauduleux sont interdits ;
la finalité des fichiers de données doit être explicite ;
les personnes entrées dans les fichiers doivent être informées de leurs droits, notamment de rectification et de suppression des dites données sur simple demande ;
enfin, aucune décision concernant une personne ne peut être prise par informatique.
L'archivage d'informations sensibles est passible de 5 ans de prison et de 300 000€ d'amende.
Contexte européen et international
L'Allemagne en 1971, la Suède, en 1973, et la France en 1978 ont été les trois premiers pays dotés d'une loi informatique et libertés. Ces lois instituent la création d'autorités de contrôle indépendantes.
Certaines structures économiques et politiques internationales s'en sont inspirées, parmi lesquelles l'Organisation pour la coopération et le développement économique (OCDE) en 1980, le Conseil de l'Europe en 1981 et les Nations unies (ONU) en 1990. En 1995, la Commission européenne a émis une directive en ce sens, qui concerne désormais 25 pays en 2004.