Quelle stratégie de contrôle pour 2020 ?
En 2020, en complément des contrôles faisant suite à des plaintes, à des sujets révélés dans l’actualité ou à des mesures correctrices, la CNIL va axer son action de contrôle sur 3 thématiques prioritaires en lien avec les préoccupations quotidiennes des Français : les données de santé, la géolocalisation pour les services de proximité ainsi que les cookies et autres traceurs.
Comme chaque année, en plus de l’accompagnement des professionnels dans l’application du RGPD, la CNIL va veiller au respect de leurs obligations à travers le contrôle des traitements mis en œuvre. À ce titre, elle réalise chaque année des milliers d’actes d’investigation, notamment en instruisant des plaintes, en procédant à des vérifications dans le cadre de la procédure de droit d’accès indirect à certains fichiers régaliens, en traitant des signalements de violations de données personnelles ou en ouvrant des procédures formelles de contrôle. Ces dernières, au nombre de 300 par an, permettent d’approfondir l’instruction des plaintes, de réagir à des sujets d’actualité, de s’assurer du respect de précédentes mesures correctrices ou d’investiguer certaines thématiques jugées prioritaires.
Parmi ces procédures formelles de contrôle, plus d’une cinquantaine sera menée dans le cadre de trois thématiques retenues comme priorités pour 2020 :
La sécurité des données de santé
L’actualité récente en matière de santé (télémédecine, objets de santé connectés, violations de données personnelles au sein d’établissements publics…) démontre l’attention qui doit être portée à la sécurité des traitements de santé.
Les données de santé sont des données sensibles, qui font l’objet d’une protection spécifique par les textes (RGPD, loi Informatique et Libertés, Code de la santé publique, etc.) afin de garantir le respect de la vie privée des personnes. La CNIL souhaite, grâce à cette thématique prioritaire, s’intéresser plus particulièrement aux mesures de sécurité mises en œuvre par les professionnels de santé ou pour leur compte.
Mobilités et services de proximité, les nouveaux usages des données de géolocalisation
De nombreuses solutions se développent avec pour objectif affiché de faciliter la vie quotidienne : recommandation des modes de transport adaptés selon un trajet défini, optimisation des parcours de déplacement... Ces solutions font le plus souvent appel à des données de géolocalisation, et soulèvent potentiellement des risques d'atteinte à la vie privée. Les contrôles porteront ainsi notamment sur la proportionnalité des données collectées dans ce cadre, les durées de conservation définies, l’information délivrée aux personnes et les mesures de sécurité mises en œuvre.
Le respect des dispositions applicables aux cookies et autres traceurs
Cette thématique, qui a déjà été annoncée par la CNIL à l’été 2019, vise à assurer le plein respect par les professionnels de leurs obligations en matière de suivi des internautes reposant sur des cookies ou autres traceurs, notamment utilisés pour le ciblage publicitaire et le profilage des utilisateurs.
En effet, l’article 82 de la loi Informatique et Libertés, qui transpose en droit français la directive ePrivacy du 12 juillet 2002, impose depuis de nombreuses années un certain nombre d’exigences fondamentales (obligation de recueillir un consentement préalable, obligation d’informer l’utilisateur sur les finalités des cookies déposés, etc.) La CNIL continuera de vérifier le respect de ces exigences de base tout au long de l’année 2020.
L’entrée en vigueur du RGPD, auquel renvoie la directive ePrivacy, a toutefois renforcé certaines exigences, notamment sur la manière de recueillir le consentement, qui doit désormais être libre, éclairé, explicite et univoque. En particulier, la simple poursuite de la navigation sur un site ne peut plus, désormais, traduire un consentement valide de l’utilisateur au dépôt de cookies. La CNIL a ainsi été conduite à adopter des lignes directrices en juillet dernier pour préciser le nouvel état du droit. Elle prendra, au printemps 2020, une recommandation pour guider les opérateurs dans la déclinaison opérationnelle des nouvelles exigences. Elle laissera un délai de 6 mois aux organismes, à compter de la publication de cette recommandation, pour se mettre en conformité sur les obligations nouvelles résultant du RGPD. Les contrôles, sur ces obligations nouvelles, démarreront ainsi à l’automne 2020 et se poursuivront en 2021.
Ces trois thématiques ont été choisies par la CNIL en raison de leur incidence sur le quotidien des citoyens. Elles visent, en effet, des traitements mis en œuvre lors des interactions avec des professionnels de la santé ou lors du recours à des nouveaux outils d’aide aux démarches quotidiennes (choix d’un moyen de transport, recherche d’un service de proximité…) ou, enfin, à l’occasion de la navigation sur le Web.
Ces trois thématiques représenteront 20 % environ des procédures formelles de contrôle menées par la CNIL en 2020. En effet, à l’instar des années précédentes, des contrôles seront également initiés suite à :
- des plaintes et réclamations adressées à la CNIL ;
- des sujets d’actualité nécessitant le contrôle des traitements mis en œuvre ;
- des mesures correctrices (mises en demeure, sanctions…) imposant de nouvelles vérifications.
Enfin, dans le prolongement des deux précédentes années, la CNIL va poursuivre la coopération avec les autres autorités de protection des données européennes pour les traitements transfrontaliers. Elle utilisera ainsi les deux modalités de coopération prévues par le RGPD : l’assistance mutuelle, qui permet de partager toutes informations utiles avec ses homologues, et la réalisation d’opérations conjointes, qui permet d’effectuer des contrôles en France ou au sein d’autres États membres de l’Union européenne en présence des agents des autorités compétentes.