Dans un communiqué en date du 12 mars 2020, la CNIL, qui est l’autorité européenne de contrôle ayant le plus sanctionné en 2019, a annoncé sa stratégie de contrôle pour 2020.

Quelle stratégie cette année ?

  • La sécurité des données de santé

Rappelons simplement que les données de santé sont des données sensibles qui bénéficient d’une protection particulière. A ce titre, le recours à un hébergeur de données de santé certifié est obligatoire pour une majorité des traitements de santé.

Les médecins, professionnels de santé, établissements hospitaliers vont être particulièrement scrutés cette année.

  • Les nouveaux usages des données de géolocalisation

Le secteur de la publicité avait déjà été particulièrement surveillé concernant la collecte de données de géolocalisation. Cette année, ce sont les applications proposant des trajets optimisés, en transport ou à pied, qui sont visées. Il est probable que les applications de livraison de restaurants, de commande de VTC ou permettant d’enregistrer ses lieux favoris soient également concernées puisqu’elles facilitent également la vie quotidienne des utilisateurs en collectant des données de géolocalisation.

Ces acteurs devront notamment se demander si la collecte de données de géolocalisation lorsque l’application n’est pas utilisée est justifiée et si leurs utilisateurs comprennent les traitements engendrés par le téléchargement de l’application en cause.

  • Les dispositions applicables aux cookies et autres traceurs

La pierre d’achoppement porte principalement sur la nouvelle obligation issue du RGPD de recueillir un consentement explicite des utilisateurs préalablement au dépôt des cookies : il faut qu’un utilisateur dise oui en cliquant et non plus par la simple poursuite de sa navigation sur le site.

Si la CNIL avait décidé d’accorder un délai aux acteurs pour se mettre en conformité concernant les cookies, ce temps semble maintenant terminé ou presque. En effet, après l’adoption de lignes directrices en juillet 2019, la CNIL avait annoncé qu’elle publierait des recommandations pratiques en avril 2020, ce qui déclencherait un délai de 6 mois à la fin duquel les acteurs devraient être en conformité. Mais cette publication va être repoussée en raison du Covid-19, ce qui va laisser plus de temps aux acteurs pour s’adapter. Il faut en déduire que les contrôles sur ce point pourraient n’avoir finalement lieu qu’en 2021.

Notons quand même qu’au vu du manque de conformité d’un grand nombre de responsable de traitement dans l’utilisation des cookies, la CNIL opère déjà des contrôles notamment dans le secteur de la publicité, sans que l’absence de recueil d’un consentement explicite ne puisse être sanctionnée.

Qu’est-ce qu’une stratégie de contrôle ?

Tous les ans, la CNIL détermine à l’avance les secteurs qui vont faire l’objet d’une attention particulière en fonction de ce qu’elle considère comme prioritaire par rapport aux préoccupations quotidiennes des français. En pratique, ces secteurs vont représenter 20% des procédures formelles de contrôle menées par la CNIL.

Quid des autres secteurs ?

Si les autres secteurs ne sont pas concernés directement par la stratégie de contrôle, ils peuvent cependant faire l’objet d’un contrôle par exemple si la presse dévoile des pratiques douteuses, si des personnes se plaignent de leurs collectes de données, s’ils subissent une violation de données personnelles ou en cas de signalement par une autre autorité européenne de contrôle.

Tous les responsables de traitement doivent donc être en conformité et veiller particulièrement à assurer la sécurité des données personnelles traitées et à répondre aux demandes d’exercice de leurs droits des personnes concernées.

Qu’est-ce qu’un contrôle de la CNIL ?

Il est à noter que les contrôles de la CNIL sont quelque peu perturbés du fait de la situation actuelle liée au Covid-19 et que les contrôles sur place et les convocations ne peuvent avoir lieu tant que le confinement est en cours.

Un contrôle de la CNIL peut être opéré par quatre moyens qui peuvent être cumulatifs ou alternatifs :

  • Contrôle sur place avec un accès aux différents traitements de données personnelles mis en œuvre ;
  • Contrôle en ligne qui va constituer notamment en un audit du site internet/ de l’application visé ;
  • Convocation des acteurs concernés qui vont devoir répondre aux interrogations de la CNIL sur les traitements opérés ;
  • Contrôle sur pièce comportant des questions écrites et des demandes de documents.

Les procédures formelles de contrôle sont au nombre de 300 par an environ, mais la CNIL va effectuer des milliers d’autres actes de vérification concernant par exemple l’exercice des droits des personnes ou les signalements de violation de données personnelles.

Contrôle veut-il forcément dire sanction ?

Attention, un contrôle ne va pas forcément mener à une sanction. Si la CNIL n’a que peu d’observations concernant les traitements mis en œuvre, la procédure va être clôturée par l’envoi d’un simple courrier. En revanche, en cas de manquements plus sérieux, la CNIL peut prononcer une mise en demeure ou directement une sanction, qui peuvent être publiques ou non.