CNIL (Commission nationale de l'informatique et des libertés)
Autorité française indépendante de protection des données — fait appliquer le RGPD, déclenche le délai de 72 h de notification et publie des doctrines opposables.
La CNIL — Commission nationale de l’informatique et des libertés — est l’autorité française indépendante de protection des données. Instituée par la loi Informatique et Libertés du 6 janvier 1978, elle est l’un des plus anciens régulateurs de protection des données au monde et, depuis le 25 mai 2018, l’autorité de contrôle française du Règlement général sur la protection des données (RGPD). Son site est cnil.fr.
Pour les RSSI, DPO et acheteurs sécurité, la CNIL pèse sur trois fronts opérationnels.
- Notification de violation. Sous l’article 33 du RGPD, une violation de données personnelles susceptible d’engendrer un risque pour les personnes doit être notifiée à la CNIL dans les 72 heures suivant sa connaissance. Une notification tardive ou incomplète est elle-même un manquement régulé.
- Contrôles et sanctions. La CNIL mène des contrôles sur place et en ligne ; sa formation restreinte peut prononcer des amendes pouvant atteindre 20 M€ ou 4 % du chiffre d’affaires mondial au titre de l’article 83 du RGPD. Plusieurs décisions récentes ont sanctionné une sécurité insuffisante au sens de l’article 32 du RGPD — pratiques de mots de passe faibles, formation insuffisante des personnels notamment.
- Doctrine opposable. La CNIL publie des guides pratiques (cookies, biométrie, vidéosurveillance, BYOD, suivi des salariés, rôle du DPO). Ces guides ne sont pas purement consultatifs : ils façonnent ce que les contrôles vérifient.
Pour les organisations françaises, la CNIL est l’homologue protection des données de l’ANSSI sur le versant sécurité technique. Quand l’ANSSI publie les méthodes pour comment sécuriser, la CNIL fait appliquer ce qui doit être protégé et comment c’est gouverné dès lors qu’il y a des données personnelles. Les deux apparaissent souvent ensemble dans les conversations NIS2 et DORA, parce que la plupart des incidents de sécurité sont simultanément des incidents de données personnelles.
L’angle comportemental devient explicite dans les décisions CNIL : lorsqu’une violation remonte à un clic d’hameçonnage, un partage de fichier trop ouvert ou un octroi OAuth à une application non vérifiée, l’autorité cherche la preuve que le responsable de traitement a fait plus que ranger une politique et organiser un e-learning annuel — exactement la preuve comportementale qu’Engarde (engarde.cc) produit pour les DPO et les RSSI.
Termes liés
- RGPD article 32Article du RGPD qui impose aux responsables et sous-traitants des mesures techniques et organisationnelles appropriées — lu de plus en plus comme incluant les contrôles comportementaux.
- ANSSI (Agence nationale de la sécurité des systèmes d'information)Autorité nationale française de cybersécurité — publie les guides, certifications (SecNumCloud, CSPN) et posture de réponse à incident sur lesquels les organisations s'alignent.
- NIS2Directive UE 2022/2555 qui élève les obligations cyber des entités essentielles et importantes, avec contrôles comportementaux et formation désormais auditables.
- PSSI (Politique de Sécurité des Systèmes d'Information)Politique de Sécurité des Systèmes d'Information — document maître de sécurité d'une organisation, formalisé selon la méthode PSSI-E publiée par l'ANSSI.
- Preuve comportementaleArtefact d'audit attestant qu'un comportement risqué a été détecté, qu'un nudge a été envoyé et que le comportement a été corrigé — de plus en plus demandé à la place d'un certificat de complétion.