Cette semaine, la CNIL a publié en open data la liste intégrale des formalités préalables accomplies auprès de la CNIL depuis 1979. Le site de l'autorité administrative indépendante propose en téléchargement une série de fichiers CSV aisés à exploiter dans un tableur ou une base de données, chaque fichier comprenant les déclarations des organismes dont les noms sont classés entre deux lettres de l'alphabet (de A à B, C, de D à F, etc.).

Chaque enregistrement intègre : la raison sociale du responsable du traitement, le nom du déclarant, l'adresse de l'organisme, la date de déclaration, la finalité du traitement, un identifiant et le type de déclaration (déclarations simplifiées (DS), déclarations ordinaires (DO), déclarations normales (DN), demandes d'avis (DA), demandes d'autorisation (DT), demandes d'autorisation recherches médicales (DR), demandes d'autorisation évaluation de pratiques de soins (DE)).

Aider les entreprises à se mettre en conformité avec le GDPR

Mais pourquoi une telle ouverture et pourquoi maintenant ? Très officiellement, la CNIL affirme que c'est d'abord pour aider les entreprises à préparer leur mise en conformité à GDPR (RGPD en Français), le nouveau Règlement Général Européen sur la Protection des Données Personnelles. En effet, la CNIL avait constaté que beaucoup d'entreprises faisaient leurs déclarations et ne les archivaient pas ou plus. Cette publication peut leur permettre de retrouver tout ce qui avait été fait auprès de la CNIL.

Le RGPD implique de fait la disparition de la plupart des déclarations préalables au profit d'une plus grande responsabilité de chaque entreprise. C'est en effet à l'entreprise, désormais, de documenter en interne tous les traitements de données personnelles avec les études d'impacts et les mesures de protection prises. Et c'est cette documentation que la CNIL auditera en cas de contrôle au lieu de se reposer avant tout sur les déclarations reçues. Et les infractions peuvent mener à des amendes de 4 % du chiffre d'affaires mondial, ne l'oublions pas.

Un effort de transparence citoyenne

Au delà de la préparation GDPR de chaque entreprise, la CNIL a aussi un objectif de transparence citoyenne. Jusqu'à présent, si quelqu'un souhaitait vérifier que telle entreprise avait bien effectué une déclaration obligatoire, il lui fallait entrer en contact avec la CNIL pour formuler sa demande et attendre la réponse. Maintenant, il suffit de télécharger le bon fichier et de chercher la bonne raison sociale. Les erreurs sur le nom peuvent peut-être aboutir à de fausses inquiétudes, ce que la CNIL admet.

Enfin, l'existence de ces fichiers a un dernier avantage, c'est celui de tout open-data. Faire des statistiques ou des retraitements de ces données pourrait permettre une véritable étude sur l'utilisation des données personnelles en France avant que cette source de données ne disparaisse avec les obligations déclaratives.