Chaque année, la CNIL publie son programme de contrôles de l’application des règles du RGPD c’est-à-dire les thématiques auxquelles elle va accorder une priorité au regard des enjeux identifiés.
Ce programme vient en complément des autres sources de contrôles (réclamations reçues par la CNIL, les signalements d’autres autorités de contrôle européennes, les initiatives liées à l’actualité etc.).
Le programme pour 2021, qui a été publié le 3 mars 2021, fixe les priorités suivantes :
La publication de ce programmes de contrôles est l’occasion pour la CNIL de faire son bilan de l’année précédente.
Relevons simplement qu’en 2020, la CNIL a réalisé 6 500 actes d’investigation dont 247 procédures formelles de contrôle et 50 dans des domaines (sécurité des données de santé et l’utilisation des cookies) faisant partie des priorités du programme de 2021.
En ce qui concerne la cybersécurité des sites web français, la CNIL rappelle que « les défauts de sécurité des sites web figurent parmi les manquements les plus souvent constatés lors des contrôles et peuvent notamment conduire à des violations de données (2 825 notifications reçues en 2020, soit 24 % de plus qu’en 2019) ». La CNIL focalisera ses contrôles sur les « formulaires de recueils de données personnelles, l’utilisation du protocole HTTPS et la conformité des acteurs à la recommandation de la CNIL sur les mots de passe » mais aussi « les stratégies mises en place pour se prémunir contre les rançongiciels ».
En ce qui concerne les données de santé, la CNIL relève « les enjeux toujours croissants liés à la numérisation du secteur de la santé (gestion des accès au dossier patient informatisé au sein des établissements de santé, plateformes de prise de rendez-vous médicaux en ligne, gestion des violations de données personnelles dans les établissements de soins, etc.) ». L’autorité de contrôle a pour objectif de conduire les responsables de traitements et sous-traitants « à élever le niveau de sécurité des données de santé des personnes ».
En ce qui concerne l’utilisation des cookies et plus généralement de tous les traceurs, l’objectif de la CNIL est « d’assurer le respect des obligations en matière de ciblage publicitaire et de profilage des internautes », son périmètre de contrôle étant élargi aux « règles relatives au recueil du consentement » au regard des lignes directrices et de la recommandation du 1er octobre 2020.
Dans sa communication du 3 mars 2021, la CNIL indique également qu’elle va « poursuivre la coopération avec ses homologues européens pour les traitements transfrontaliers » selon les modalités de coopération que sont l’assistance mutuelle (= partages d’informations entre autorités de contrôle européennes), et la réalisation d’opérations conjointes (= contrôles en France ou dans un pays de l’UE en présence des agents des autorités de contrôle compétentes).
C’est donc l’occasion pour les responsables de traitement et les sous-traitants de passer en revue leurs politiques en matière de cybersécurité des sites web, de sécurité des données de santé et d’utilisation des cookies
Mieux vaut tard que jamais.
