Les avis de la CNIL
La CNIL peut être saisie par différents acteurs publics sur des projets de texte. Les avis rendus permettent d’éclairer les pouvoirs publics sur des enjeux Informatique et Libertés mais ne constituent pas une « validation », une « autorisation » ou encore un « refus ».
Le conseil aux pouvoirs publics est l’une des missions de la CNIL prévues par la loi Informatique et Libertés.
La CNIL exerce notamment cette mission au travers des avis qu’elle rend sur des projets de texte (lois, décrets, etc.), avant leur adoption. Elle conseille tout particulièrement le Gouvernement, qui doit obligatoirement demander son avis pour certains projets.
93
avis rendus par la CNIL sur des projets de texte en 2022
Qu’est-ce qu’un avis de la CNIL ?
L’avis rendu par la CNIL :
- a pour objectif d’éclairer le Gouvernement, le Parlement ou toute autre autorité publique (par exemple une collectivité locale) ayant saisi la CNIL ;
- peut entraîner des modifications pour tenir compte des observations formulées dans la délibération (mais l’auteur de la saisine n’est pas tenu de modifier son projet en ce sens).
Pour cette raison, la CNIL rend un avis sur un projet de texte qui peut être différent de celui finalement déposé devant le Parlement ou publié.
Dans certains cas, l’avis de la CNIL doit obligatoirement être recueilli mais la CNIL peut aussi être saisie pour avis à titre facultatif.
Important : cet avis ne constitue pas une « validation » ni un « refus » de la CNIL. La CNIL ne rend pas d’autorisation ni d’avis contraignant sur les projets de texte dont elle est saisie.
Sur quels textes la CNIL rend-elle des avis ?
Les projets de texte sont le plus souvent soumis par le Gouvernement ou le Parlement. Ils peuvent concerner la création ou la modification de traitements de données personnelles (par exemple : création d’un nouveau fichier, ajout de nouvelles finalités ou de nouveaux destinataires, etc.) ou, de manière plus générale, la protection des données personnelles.
Concrètement, il peut s’agir :
- de propositions de loi ;
- de projets de loi ou d’ordonnance ;
- de projets de décret ;
- de projets d’arrêté.
La CNIL peut être consultée sur l’intégralité d’un projet de texte ou seulement sur une ou plusieurs dispositions de ce projet qui peuvent présenter des enjeux pour la protection des données personnelles.
La rédaction et l’adoption de l’avis
Les projets de texte reçus par la CNIL font d’abord l’objet d’une étude (instruction) poussée. Celle-ci peut conduire à plusieurs échanges avec l’auteur de la demande afin de mieux comprendre, par exemple, les raisons conduisant à créer un nouveau traitement ou à modifier les conditions de mise en œuvre d’un traitement existant.
Les avis de la CNIL sont ensuite adoptés par son Collège réuni en séance plénière. Les avis sur les projets de décret ou d’arrêté les plus fréquents sont adoptés dans un délai de huit semaines à compter de la réception de la demande, qui peut être renouvelé de six semaines. Quand il n’est pas rendu à l’issue de ces délais, cet avis est « réputé donné » (c’est-à-dire qu’il peut être considéré que la CNIL a été consultée, même si elle n’a pas formulé d’observation).
Enfin, les avis font le plus souvent l’objet d’une publication, par exemple au Journal officiel, en étant indiqués par la mention « délibération portant avis sur ».
Consulter les avis sur les projets de texte
Dans la plupart des cas, l’avis de la CNIL est publié en même temps que le texte sur lequel il porte.
En conséquence, plusieurs semaines, voire plusieurs mois, peuvent séparer la délibération de la CNIL et la publication de son avis.
Dans certains cas, cette publication peut être accompagnée d’une communication de la CNIL sur son site web, notamment quand le sujet est lié à l’actualité ou présente des enjeux importants pour les personnes.
Voir les communications de la CNIL sur ses avis sur les projets de texte
Les cas particuliers
L’urgence
L’auteur de la demande peut, dans certains cas, invoquer une « urgence ». La CNIL a alors un mois pour rendre son avis.
En pratique, la CNIL rend fréquemment ses avis dans des délais moindres.
Les avis non publiés
Par exemple, certains traitements mis en œuvre pour le compte de l’État et concernant la sûreté de l’État, la défense ou la sécurité publique peuvent être dispensés de la publication du texte qui les crée ou les modifie.
Dans cette hypothèse, seul le sens de l’avis émis par la CNIL sera alors publié et non le contenu de la délibération adoptée.
Certains traitements de données de santé
Le secteur de la santé fait l’objet de formalités particulières, qui se distinguent des avis de la CNIL.
Certains traitements de données de santé peuvent en effet faire l’objet d’une autorisation de la CNIL (traitements fondés sur l’intérêt public ou concernant une recherche). Les autorisations sont différentes des avis prononcés par la CNIL : dans ce cas, elle peut effectivement accepter ou refuser un traitement.