Publié le

La CNIL annonce ses thématiques de contrôle prioritaires pour 2023

La CNIL rappelle qu’elle effectue ses contrôles selon trois axes :

  • Les plaintes reçues ;
  • Les sujets d’actualité ;
  • Selon ses thématiques de contrôle prioritaires annuelles.

La première thématique de contrôle prioritaire annoncée pour 2023 est le contrôle de la conformité de l’utilisation de caméras augmentées par les acteurs publics. En effet, celles-ci sont déployées parfois sans vérifier leur conformité préalable au RGPD (Règlement UE 2016/679). Or, si certains usages sont admissibles, d’autres ne sont pas autorisés. La CNIL a fréquemment été saisie de ce sujet par différents acteurs en 2022, notamment. Ainsi, la CNIL rappelle dans sa position publiée en juillet 2022, que les usages en lien avec la prévention des infractions, notamment afin d’identifier des comportements suspects, ne sont pas licites par défaut, et doivent être autorisés par une loi en fixant les usages précis et les garanties. Elle rappelle la nécessaire légitimité des usages envisagés, le risque de disproportionnalité étant important, et les droits des personnes souvent négligés. Cette position de la CNIL était par ailleurs intervenue dans un contexte où les preuves de l’utilité et de l’efficacité de certains dispositifs déployés n’étaient pas rapportées. Ainsi, en 2019, la CNIL s’était déjà montrée circonspecte sur le déploiement de caméras augmentées par la ville de Nice, dont l’efficacité n’était pas démontrée.

Probablement en raison du contexte économique, le second axe de contrôle est celui de l’utilisation du fichier des incidents de remboursement de crédit aux particuliers par les banques. Seront ainsi particulièrement contrôlés les conditions dans lesquelles les banques accèdent au fichier des incidents de crédit au particuliers (FICP), elles extraient des informations, et les tiennent à jour après régularisation des incidents.

Le troisième axe de contrôle est celui de l’accès au dossier patient informatisé (DPI) au sein des établissements de santé, contenant des données sensibles. Cet axe de contrôle a notamment été déterminé suite à des plaintes émises par des patients d’établissements de santé dénonçant des accès non autorisés aux données de leur DPI.

Le quatrième axe est celui du traçage des utilisateurs par les applications mobiles. En effet, de nombreuses applications mobiles collectent des données personnelles sans le consentement des utilisateurs alors que celui ci est requis.

Enfin, la CNIL informe d’une vague de contrôle sur la désignation et les conditions d’exercice des délégués à la protection des données (DPD/DPO), impulsée au niveau européen. En effet, la désignation d’un DPO est essentielle dans la conformité au RGPD. Pour répondre aux exigences règlementaires, ces derniers doivent avoir les compétences, les moyens et l’indépendance nécessaires au plein exercice de leur fonction. Le CEPD a ainsi annoncé une vague de contrôle du respect de ces conditions en 2023 dans l’ensemble des pays de l’Union Européenne.

Publié le

Quelles ambitions pour la CNIL en 2023 ?

Force est de constater, plus de quatre années après l’entrée en vigueur du RGPD, que la conformité des entreprises françaises à ce règlement n’est pas encore acquise. Plus particulièrement la conformité des TPE et PME reste à largement à améliorer, faute souvent de volonté et de moyens suffisants octroyés pour cette démarche. Les efforts minimum n’ont parfois pas été fournis, et même au sein des plus grandes entreprises, un manque de culture de protection des données personnelles est parfois à déplorer.

Sous cet angle, la démarche pédagogique de la CNIL est à elle seule insuffisante. Cependant, il ne faut pas nier l’un des effets majeurs de l’entrée en vigueur du RGPD et des immenses efforts de pédagogie déployés par la CNIL (diffusion de nombreux supports d’information sectoriels, de cours en ligne ou « MOOC« , etc.), à savoir la diffusion, au sein du grand public, d’une certaine culture de la protection des données personnelles. Ce sujet souvent oublié avant 2018 a bien été approprié par l’opinion publique, à défaut de l’être systématiquement par les chefs d’entreprise.

Le bilan de l’activité de la CNIL pour 2022 n’a pas encore été publié, mais à cette occasion seront présentées ses thématiques prioritaires de contrôle (pour rappel en 2022 : prospection commerciale, cloud et surveillance du télétravail) et cela donnera une idée de ses ambitions pour cette nouvelle année.

Il sera également intéressant à lire à plusieurs égards : outre l’augmentation des effectifs de la CNIL, qui laisse augurer des contrôles élargis, les cibles des contrôles seront également intéressantes à analyser. L’année 2021 avait notamment marqué des contrôles renforcés des éditeurs d’applications en lien avec la gestion de la pandémie et/ou les données de santé. L’année 2022 a ouvert la voie à de nouveaux risques dans les traitements de données personnelles, avec notamment une augmentation significative des cyberattaques.

A noter, ces axes prioritaires annuels s’inscrivent plus largement dans un programme pluriannuel 2022/2024 dont les objectifs sont :

  • améliorer de façon effective la maîtrise et le respect des droits des personnes concernées par les traitements ;
  • Convaincre les organisations de l’atout que constitue le respect du RGPD, vecteur de confiance ;
  • Prioriser les actions CNIL sur les sujets à fort enjeu pour la vie privée, dont notamment l’usage des caméras augmentées et leurs usages, les transferts de données dans le cloud et la souveraineté numérique (dans la suite de l’arrêt dit « Schrems II »), et enfin, renforcer la conformité des applications mobiles, dont les traitements manquent souvent de transparence.

Les chantiers sont donc nombreux et il sera intéressant de voir quelles sont les priorités de la CNIL en 2023, en cohérence avec le plan pluriannuel annoncé.

Publié le

La CNIL publie ses thématiques prioritaires de contrôle pour 2021 : cybersécurité, données de santé, et cookies

En transparence, la CNIL informe chaque année le grand public de ses thématiques prioritaires de contrôle.

Cette année, en lien avec l’actualité, la CNIL ciblera principalement les problématiques de la cybersécurité des sites web, de la sécurité des données des santé et du respect des règles applicables aux cookies et autres traceurs.

Les défauts de sécurité des sites web font partie des manquements les plus souvent constatés par la CNIL. Le Cabinet ne peut que confirmer, à son échelle, ce constat : certains clients sont touchés par de graves défauts de sécurité, suite à un problème de mise à jour par exemple.

La sécurité des données de santé est naturellement une question essentielle, et au delà de la particulière sensibilité de ces données, de nombreuses actualités sont venues démontrer les difficultés de certains organismes ou établissements français à assurer leur sécurité de manière satisfaisante.

Également dans le collimateur de la CNIL, la conformité des sites Internet aux recommandations et lignes directrices sur les cookies et autres traceurs. A compter d’avril 2021, la CNIL contrôlera notamment la conformité à ses dernières lignes directrices et recommandation du 1er octobre 2020.

A noter, la CNIL publiera prochainement, sur cette page, la liste des solutions pouvant être utilisées sans recueil du consentement, sous réserve d’en faire un usage conforme aux recommandations susmentionnées.

Cette aide pratique sera la bienvenue, car c’est souvent la complexité du paramétrage des solutions existantes, ou bien la difficulté à identifier des solutions efficaces et simples d’utilisation y compris pour les personnes n’ayant pas de compétences techniques particulières, qui est un obstacle à la conformité effective de nombreux sites Internet.

Publié le

Cookies : lignes directrices et recommandation pratique définitives de la CNIL

La CNIL publiait le 4 juillet 2019 de nouvelles lignes directrices rappelant le droit applicable en matière de ciblage publicitaire sur Internet. Toutefois, dans une décision du 19 juin 2020 le Conseil d’État, tout en validant l’essentiel des lignes directrices considérait que l’interdiction générale des « Cookies walls » déduite du RGPD ne pouvait être proclamée dans des lignes directrices, instrument de droit souple. En conséquence, pour le Conseil d’État « la CNIL a excédé ce qu’elle peut légalement faire » et « la délibération attaquée est, dans cette mesure, entachée d’illégalité » .

Pour autant, il ne faut pas en déduire la validité du procédé du « Cookie wall » pour obtenir le consentement des internautes avant la navigation sur un site : cette analyse serait contraire à la position de l’EDPB (ou CEPD, Comité européen de protection des données personnelles) et au RGPD, aux termes duquel le consentement doit être libre, le choix devant être réel. Or, ce choix n’existe pas si à défaut de consentement le site n’est plus accessible.

Quoiqu’il en soit, conformément à la décision du Conseil d’État, la CNIL a ajusté ses lignes directrices et sa recommandation pratique de mise en conformité en cas de recours aux Cookies et autres traceurs, publiées le 17 septembre 2020.

Publié le

Crise sanitaire et Cookies : où est passé la CNIL?

Nous annoncions il y a déjà quelques mois la publication de la version définitive de la recommandation pratique sur la mise en œuvre des règles relatives aux cookies, rédigée par la CNIL et soumise à consultation publique.

La crise sanitaire est toutefois venue perturber le calendrier initial : la CNIL concentre désormais ses moyens sur la gestion des dossiers en lien avec celle-ci, et la version définitive de la recommandation se fait attendre. Toutefois, en cette période suspendue, les règles issues du RGPD, applicable depuis le 25 mai 2018 et publié deux ans auparavant, demeurent en vigueur.

Dès lors, il est conseillé d’anticiper les nouvelles préconisations, vraisemblablement peu différentes du projet de recommandation, pour entamer les développements nécessaires sur ses sites internets et prendre contact dès à présent avec son avocat pour la mise à jour des politiques des cookies.

Publié le

Cookies : la CNIL durcit le ton et annonce une plus grande sévérité dans les sanctions

Dans un article du Figaro du 3 février 2020, Madame Marie-Laure Denis, Présidente de la CNIL, annonce des « sanctions nettement plus significatives » . Elle considère désormais qu’il est temps de faire appliquer le RGPD en matière de cookies.

Consciente des enjeux pratiques, la CNIL laissera une période d’adaptation de six mois aux acteurs une fois sa recommandation définitive adoptée en avril ou mars prochain. En effet, bien que le RGPD soit entré en vigueur depuis le 25 mai 2018, la CNIL a jugé nécessaire de faire bénéficier les acteurs de l’Internet d’un temps de grâce, au vu de « l’ampleur de cette régulation qui concerne la quasi totalité des sites web« . Attention cependant, elle précise dans un entretien publié dans le journal Le Monde le 14 février que « La période d’adaptation ne porte que sur un sujet très précis : les nouvelles modalités du recueil du consentement aux traceurs. Toutes les autres dispositions relatives aux cookies restent applicables et sont déjà contrôlées par la CNIL » .

Reste à savoir dans quelle mesure son projet de recommandation sera amendé pour tenir compte des remarques des professionnels du secteur de la publicité en ligne, peu favorables au projet publié.

Cependant, le RGPD étant un texte européen d’application directe en droit national, la CNIL ne pourra que rester fidèle, dans l’ensemble, à son projet de recommandation, tout particulièrement en ce qui concerne l’exigence du caractère non équivoque du consentement de l’internaute au dépôt des traceurs.

Publié le

Conférence de clôture du cycle Données personnelles à l’EFB

La conférence de clôture du premier cycle de formation sur les données personnelles organisé par l’EFB, en partenariat avec le Cercle Montesquieu, a eu lieu le 30 janvier 2020, en présence notamment du directeur de l’Ecole, Monsieur Pierre Berlioz, et de Madame Sophie Nerbonne, de la CNIL.

A cette occasion, les certificats de présence aux sept modules de formation ont été remis aux participants impliqués dans l’ensemble du cycle, qui avait été clôturé par un test de connaissances en ligne fin 2019.

Madame Sophie Nerbonne a rappelé la posture de la CNIL, à la fois régulateur et titulaire d’un pouvoir de sanction, tout en insistant sur son rôle d’accompagnement des professionnels dans leur mise en conformité et notamment des PME. Elle a ensuite répondu aux questions de l’auditoire, et a notamment été interrogée par Monsieur Berlioz sur les limites du rôle pédagogique de la CNIL, dès lors qu’elle est à la fois rédactrice de normes et pouvoir de sanction.

En conclusion, le directeur de l’EFB a émis le souhait que le prochain cycle de formation dans cette matière fasse salle comble.

Publié le

Vers l’adoption d’une recommandation définitive sur les modalités de recueil du consentement au dépôt des cookies

La CNIL avait annoncé la publication d’une recommandation sur les modalités du recueil du consentement pour l’utilisation de cookies et autres traceurs au plus tard pour le début de l’année 2020. Ce projet de recommandation a été publié le 14 janvier et est soumis à consultation publique jusqu’au 25 février.

Cette recommandation a pour objet de préciser les modalités pratiques du recueil du consentement afin de guider les professionnels dans leur mise en conformité.

En effet, force est de constater, dans ce domaine, que la pratique reste dans l’ensemble très éloignée des règles du RGPD . En effet, de nombreux cookies non indispensables à la navigation sont présents sur les sites internet, sans pour autant que le recueil du consentement préalable soit effectué. On pourrait imaginer qu’il s’agit, en France, d’une conséquence de la publication récente des nouvelles lignes directrices de la CNIL en la matière, et notamment de l’application de la période transitoire laissée aux acteurs numériques pour se mettre en conformité.

Cette position de la CNIL sur l’application de ses dernières lignes directrices a été critiquées par les « deux camps » opposés en matière de protection des données : les associations de protection des citoyens comme les professionnels du secteur de la publicité en ligne, les premiers trouvant l’octroi d’une période transitoire aux acteurs trop clémente car non conforme au RGPD d’application directe, et les seconds, trop stricte, l’exigence de recueil du consentement préalable risquant de bloquer la collecte des données via les traceurs en ligne. Le Conseil d’État avait finalement décidé, en référé et au fond, que la période transitoire accordée par la CNIL ne portait pas « une atteinte excessive au droit au respect de la vie privée et au droit à la protection des données personnelles ».

On constate toutefois que de nombreux sites ne sont pas non plus conformes à la délibération antérieure, puisque très fréquemment, des cookies sont déposés sur les terminaux des utilisateurs avant même que ceux-ci aient consenti à leur dépôt ou bien aient poursuivi leur navigation par un « scroll significatif’.

Or, la difficulté en la matière est bien d’allier les aspects juridiques avec les aspects techniques, de trouver des outils conformes, mais également de répondre à des exigences parfois perçues comme contradictoires : délivrer une information complète aux personnes concernées et être synthétique et lisible dans la rédaction des politiques d’information sur les données personnelles. La CNIL elle-même avait choisi, provisoirement, de retirer tous les cookies de son site internet suite à la publication de ses dernières lignes directrices, le temps d’opérer, vraisemblablement, des mises à jour techniques.

La publication définitive de la recommandation sera donc particulièrement bienvenue, en complétant la cadre règlementaire par des précisions opérationnelles.

A noter, ce cadre pourra à nouveau être amené à évoluer une fois la directive e-privacy adoptée. Il faut espérer, pour les responsables de traitement, que ces éventuelles évolutions se feront dans la continuité, afin de leur éviter une mise à jour juridique ou technique d’ampleur.

Le Cabinet suit de très près les évolutions règlementaires et les préconisations opérationnelles de la CNIL afin de vous accompagner aux mieux dans la mise en conformité de vos sites internet et plus largement de vos traitements de données personnelles.

Publié le

Les PME doivent-elles craindre la CNIL?

Les enjeux de la compliance RGPD peuvent parfois être perçus comme insurmontables pour les start-up ou les PME qui ont d’autres défis à relever.

La tentation de faire l’autruche est donc grande. C’est toutefois un mauvais calcul à long terme : les chantiers laissés en friche peuvent rapidement se révéler mortifères pour les entreprises dont l’activité repose pour une part importante sur le traitement de données, pour leur compte ou celui de clients (ex : développement de solutions logicielles, marketing,…). L’activité ou les produits n’ayant pas été pensés pour être conformes dès l’origine, il sera plus difficile d’intégrer le cadre règlementaire a posteriori et le développement de la société en sera freiné voire compromis.

En effet, si la CNIL, les personnes concernées ou très probablement les clients demandent des preuves de conformité, le retard sera difficile à rattraper si rien n’a été fait en amont.

Or, la question de la gouvernance et de la protection des données devient incontournable.

Certaines PME espèrent que la CNIL tiendra compte de leur situation économique. La CNIL a pourtant balayé l’excuse de la viabilité économique dans sa décision condamnant l’éditeur du site Challenges.fr à une amende de 25.000 euros pour non respect de la réglementation sur les cookies, sanction confirmée par le Conseil d’Etat.

D’autres estiment que la CNIL cible avant tout les GAFAM. C’est faux, au vu de l’historique des sanctions. S’il est vrai que la sanction contre Google LLC de 50 millions d’euros a fait couleur beaucoup d’encre, des sociétés de tailles hétérogènes ont pu faire l’objet de contrôle et de sanctions. La période de tolérance annoncée par la CNIL est désormais révolue, et toutes les entreprises sont concernées par la règlementation quelle que soit leur taille. La CNIL a par ailleurs énormément travaillé à faciliter le travail de mise en conformité en rédigeant de nombreux documents pédagogiques, ce qui réduit d’autant l’argument selon lequel la règlementation serait inaccessible.

Elle procède actuellement à de nombreux recrutement et il y a fort à parier que ses contrôles auront vocation à s’étendre au cours des prochains mois.

Le Cabinet propose des programmes de mise en conformité adaptés au enjeux et aux ressources de chaque entreprise, association ou collectivité et vous guidera pour la mise en place des outils de conformité adéquats.

Publié le

Violation de données : faut-il tout déclarer?

L’article 33 du RGPD dispose qu’en « cas de violation de données à caractère personnel, le responsable du traitement notifie la violation en question à l’autorité de contrôle compétente …dans les meilleurs délais….à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques« .

La notification des violations de données à l’autorité de contrôle est ainsi le principe, l’exception étant l’absence de notification si la violation n’engendre aucun risque pour les droits et libertés des personnes concernées.

La notion de risque pour les droits et libertés des personnes concernées est notamment précisée au considérant 75 du RGPD. Le risque peut ainsi résulter d’un traitement susceptible « d’entraîner des dommages physiques, matériels ou un préjudice moral » et en particulier « une discrimi­nation, un vol ou une usurpation d’identité, une perte financière, une atteinte à la réputation …ou tout autre dommage économique ou social important« .

Or, rares sont les violations de données non susceptibles d’engendrer un risque pour les droits et libertés des personnes concernées. Dès lors, au vu de leur occurrence élevée (ex : perte d’une clef USB non cryptée contenant des données personnelles) de nombreuses entreprises et organismes devraient avoir déclaré des violations de données à la CNIL.

S’il est vrai qu’une telle déclaration est de nature à déclencher un contrôle, il est raisonnable de considérer que l’absence de toute déclaration pourrait en déclencher également : c’est un indice d’absence de prise en compte des obligations issues du RGPD. A chaque entreprise d’entreprendre de changer ses pratiques, et dans une logique de responsabilité, de ne pas omettre d’alerter l’autorité de contrôle en cas de violation de données.

Cela implique d’avoir mis en place les outils internes permettant de respecter les délais impartis (72 heures à compter de la prise de connaissance de la violation, un retard devant être justifié) et d’avoir conscience que déclarer les violations de données n’est pas nécessairement le signe d’une non conformité, au contraire.