Cet article a été publié il y a 3 ans, il est donc possible qu'il ne soit plus à jour.
En complément des contrôles faisant suite à des plaintes ou en lien avec l’actualité dans le contexte de la crise sanitaire, la CNIL orientera ses actions de contrôles autour de 3 thématiques prioritaires en 2021 : la cybersécurité des sites web, la sécurité des données de santé et l’utilisation des cookies.
Au titre de ses missions, et en complément de ses actions d’accompagnement, la CNIL veille au respect des traitements mis en œuvre par les professionnels dans le cadre de l’application du RGPD et de la loi Informatique et Libertés.
Elle a ainsi réalisé, pour la seule année 2020, 6 500 actes d’investigation dont, en particulier, 247 procédures formelles de contrôle.
Parmi ces procédures formelles, plus d’une cinquantaine sera consacrée à trois thématiques retenues comme prioritaires en 2021. Deux d’entre elles, la sécurité des données de santé et l’utilisation des cookies, s’inscrivent dans la continuité de la stratégie de contrôle retenue en 2020.
La cybersécurité du web français
Les défauts de sécurité des sites web figurent parmi les manquements les plus souvent constatés lors des contrôles et peuvent notamment conduire à des violations de données (2 825 notifications reçues en 2020, soit 24 % de plus qu’en 2019).
L’objectif de la CNIL est de contrôler le niveau de sécurité des sites web français les plus utilisés dans différents secteurs. L’attention sera portée plus particulièrement sur les formulaires de recueils de données personnelles, l’utilisation du protocole HTTPS et la conformité des acteurs à la recommandation de la CNIL sur les mots de passe.
À cette occasion, la CNIL interrogera également les organismes sur les stratégies mises en place pour se prémunir contre les rançongiciels.
La sécurité des données de santé
Dans le contexte sanitaire actuel et compte tenu des enjeux toujours croissants liés à la numérisation du secteur de la santé (gestion des accès au dossier patient informatisé au sein des établissements de santé, plateformes de prise de rendez-vous médicaux en ligne, gestion des violations de données personnelles dans les établissements de soins, etc.), la CNIL souhaite poursuivre ses contrôles amorcés en 2020.
Au-delà de la vérification de la conformité, les contrôles menés doivent permettre de continuer à élever le niveau de sécurité des données de santé des personnes.
Le respect des règles applicables aux cookies et autres traceurs
Cette thématique avait été initiée en 2020 afin d’assurer le respect des obligations en matière de ciblage publicitaire et de profilage des internautes. Les contrôles vont se poursuivre cette année avec un périmètre étendu puisqu’à compter du mois d’avril 2021, les vérifications porteront également sur les règles relatives au recueil du consentement telles qu’éclairées par les lignes directrices et la recommandation adoptées par la CNIL le 1er octobre 2020.
Ce faisant, la CNIL répond aux attentes des internautes de plus en plus sensibles aux problématiques de traçage sur internet, comme en témoignent les plaintes constantes qu’elle reçoit sur ce sujet.
Enfin, dans le prolongement des deux précédentes années, la CNIL va poursuivre la coopération avec ses homologues européens pour les traitements transfrontaliers. Elle utilisera ainsi les deux modalités de coopération prévues par le RGPD : l’assistance mutuelle, qui permet de partager toutes informations utiles entre autorités de protection des données, et la réalisation d’opérations conjointes, qui permet d’effectuer des contrôles en France ou au sein d’autres États membres de l’Union européenne en présence des agents des autorités compétentes.
Par exemple, en 2020, plus de 1 000 dossiers de coopération européenne concernaient des plaintes ou des contrôles. La CNIL a été autorité « chef de file » (l’établissement principal de l’organisme visé se situe en France) dans une centaine de cas et « autorité concernée » (l’établissement principal de l’organisme visé se situe dans un autre pays de l’Union, mais des résidents français sont concernés) dans près de 400 cas.
Ce mécanisme de coopération a permis de régler près d’une centaine de situations individuelles françaises ayant fait l’objet de plaintes et a conduit la formation restreinte de la CNIL à prononcer une première sanction dans le cadre de la procédure dite du « guichet unique ».
Référence
Communiqué CNIL du 2 mars 2021.