Retour aux articles

Quelle est la stratégie de contrôle de la CNIL pour 2020 ?

Affaires - Immatériel
12/03/2020
La Commission nationale de l’informatique et des libertés (CNIL) va axer son action de contrôle sur trois thématiques prioritaires : les données de santé, la géolocalisation pour les services de proximité ainsi que les cookies et autres traceurs.
On retiendra plus précisément que parmi les procédures formelles de contrôle conduites par la CNIL, plus d’une cinquantaine sera menée dans le cadre de trois thématiques retenues comme priorités pour 2020 :

La sécurité des données de santé
L’actualité récente en matière de santé (télémédecine, objets de santé connectés, violations de données personnelles au sein d’établissements publics…) démontre l’attention qui doit être portée à la sécurité des traitements de santé.
Les données de santé sont des données sensibles, qui font l’objet d’une protection spécifique par les textes (RGPD, loi Informatique et Libertés, Code de la santé publique, etc.) afin de garantir le respect de la vie privée des personnes.
La CNIL souhaite, grâce à cette thématique prioritaire, s’intéresser plus particulièrement aux mesures de sécurité mises en œuvre par les professionnels de santé ou pour leur compte.

Mobilités et services de proximité, les nouveaux usages des données de géolocalisation
De nombreuses solutions se développent avec pour objectif affiché de faciliter la vie quotidienne : recommandation des modes de transport adaptés selon un trajet défini, optimisation des parcours de déplacement... Ces solutions font le plus souvent appel à des données de géolocalisation, et soulèvent potentiellement des risques d'atteinte à la vie privée. Les contrôles porteront ainsi notamment sur la proportionnalité des données collectées dans ce cadre, les durées de conservation définies, l’information délivrée aux personnes et les mesures de sécurité mises en œuvre.

Le respect des dispositions applicables aux cookies et autres traceurs
Cette thématique, qui a déjà été annoncée par la CNIL à l’été 2019, vise à assurer le plein respect par les professionnels de leurs obligations en matière de suivi des internautes reposant sur des cookies ou autres traceurs, notamment utilisés pour le ciblage publicitaire et le profilage des utilisateurs.

En effet, l’article 82 de la loi Informatique et Libertés, qui transpose en droit français la directive ePrivacy du 12 juillet 2002, impose depuis de nombreuses années un certain nombre d’exigences fondamentales (obligation de recueillir un consentement préalable, obligation d’informer l’utilisateur sur les finalités des cookies déposés, etc.)
Aussi, La CNIL continuera de vérifier le respect de ces exigences de base tout au long de 2020.

Par ailleurs, l’entrée en vigueur du RGPD, auquel renvoie la directive ePrivacy, a toutefois renforcé certaines exigences, notamment sur la manière de recueillir le consentement, qui doit désormais être libre, éclairé, explicite et univoque. En particulier, la simple poursuite de la navigation sur un site ne peut plus, désormais, traduire un consentement valide de l’utilisateur au dépôt de cookies. La CNIL a ainsi été conduite à adopter des lignes directrices en juillet dernier pour préciser le nouvel état du droit.

Elle prendra ainsi, au printemps 2020, une recommandation pour guider les opérateurs dans la déclinaison opérationnelle des nouvelles exigences. Elle laissera un délai de six mois aux organismes, à compter de la publication de cette recommandation, pour se mettre en conformité sur les obligations nouvelles résultant du RGPD.
Les contrôles, sur ces obligations nouvelles, démarreront à l’automne 2020 et se poursuivront en 2021.

On retiendra également que ces trois thématiques représenteront 20 % environ des procédures formelles de contrôle menées par la CNIL en 2020.

On retiendra, enfin, dans le prolongement de 2018 et 2019, la CNIL va poursuivre la coopération avec les autres autorités de protection des données européennes pour les traitements transfrontaliers. Elle utilisera ainsi les deux modalités de coopération prévues par le RGPD : l’assistance mutuelle, qui permet de partager toutes informations utiles avec ses homologues, et la réalisation d’opérations conjointes, qui permet d’effectuer des contrôles en France ou au sein d’autres États membres de l’Union européenne en présence des agents des autorités compétentes.
A suivre..
Source : Actualités du droit