La CNIL rappelle qu’elle effectue ses contrôles selon trois axes :
- Les plaintes reçues ;
- Les sujets d’actualité ;
- Selon ses thématiques de contrôle prioritaires annuelles.
La première thématique de contrôle prioritaire annoncée pour 2023 est le contrôle de la conformité de l’utilisation de caméras augmentées par les acteurs publics. En effet, celles-ci sont déployées parfois sans vérifier leur conformité préalable au RGPD (Règlement UE 2016/679). Or, si certains usages sont admissibles, d’autres ne sont pas autorisés. La CNIL a fréquemment été saisie de ce sujet par différents acteurs en 2022, notamment. Ainsi, la CNIL rappelle dans sa position publiée en juillet 2022, que les usages en lien avec la prévention des infractions, notamment afin d’identifier des comportements suspects, ne sont pas licites par défaut, et doivent être autorisés par une loi en fixant les usages précis et les garanties. Elle rappelle la nécessaire légitimité des usages envisagés, le risque de disproportionnalité étant important, et les droits des personnes souvent négligés. Cette position de la CNIL était par ailleurs intervenue dans un contexte où les preuves de l’utilité et de l’efficacité de certains dispositifs déployés n’étaient pas rapportées. Ainsi, en 2019, la CNIL s’était déjà montrée circonspecte sur le déploiement de caméras augmentées par la ville de Nice, dont l’efficacité n’était pas démontrée.
Probablement en raison du contexte économique, le second axe de contrôle est celui de l’utilisation du fichier des incidents de remboursement de crédit aux particuliers par les banques. Seront ainsi particulièrement contrôlés les conditions dans lesquelles les banques accèdent au fichier des incidents de crédit au particuliers (FICP), elles extraient des informations, et les tiennent à jour après régularisation des incidents.
Le troisième axe de contrôle est celui de l’accès au dossier patient informatisé (DPI) au sein des établissements de santé, contenant des données sensibles. Cet axe de contrôle a notamment été déterminé suite à des plaintes émises par des patients d’établissements de santé dénonçant des accès non autorisés aux données de leur DPI.
Le quatrième axe est celui du traçage des utilisateurs par les applications mobiles. En effet, de nombreuses applications mobiles collectent des données personnelles sans le consentement des utilisateurs alors que celui ci est requis.
Enfin, la CNIL informe d’une vague de contrôle sur la désignation et les conditions d’exercice des délégués à la protection des données (DPD/DPO), impulsée au niveau européen. En effet, la désignation d’un DPO est essentielle dans la conformité au RGPD. Pour répondre aux exigences règlementaires, ces derniers doivent avoir les compétences, les moyens et l’indépendance nécessaires au plein exercice de leur fonction. Le CEPD a ainsi annoncé une vague de contrôle du respect de ces conditions en 2023 dans l’ensemble des pays de l’Union Européenne.