Depuis le 15 mars 2023, l’Autorité de surveillance française (« CNIL”) s’exprime dans un poste ses quatre principales priorités concernant les futures enquêtes pour 2023 ciblant des secteurs spécifiques (I), auxquelles s’ajoute un autre sujet lié aux DPD conformément au cadre d’application coordonnée du Conseil européen de la protection des données pour mesurer si les DPD s’acquittent correctement de leurs fonctions (II). Pour rappel, en 2022, les sujets prioritaires de la CNIL seront (i) le marketing direct (ii) la télésurveillance et (iii) l’utilisation du cloud computing (voir notre précédent poste).

1. Priorité nationale pour 2023

• Utilisation de caméras « intelligentes » par les acteurs publics

Dans la perspective des prochains Jeux olympiques et paralympiques de 2024 en France et de l’utilisation de tels appareils dans des événements sportifs de grande envergure prévus en 2024 (coupe du monde de rugby), la CNIL donne des orientations et publie des avis sur l’utilisation des caméras dites « intelligentes » :

• En juillet dernier, la CNIL l’a publié position sur le déploiement de ces caméras dans les espaces publics. Ce document fournit des conseils sur les conditions qui s’appliquent à l’utilisation de ces technologies qui présentent un risque élevé pour les droits à la vie privée de la personne concernée.
• En fin d’année dernière, la CNIL lui a également donné avis sur un projet de loi relatif aux Jeux olympiques et paralympiques de 2024 qui introduit spécifiquement la possibilité de mettre en œuvre, à titre expérimental, des caméras intelligentes dans des zones accessibles au public pour détecter et signaler en temps réel des événements prédéterminés pouvant constituer une menace pour la sécurité des personnes .

Ainsi, la feuille de route de la CNIL pour les perquisitions à l’aube en 2024 consiste à examiner si l’utilisation de caméras « intelligentes », est conforme au cadre légal.

• Utilisation des incidents de règlement de crédit aux particuliers par les banques

Un fichier nommé « Fichier des incidents de crédit aux particuliers» (FICP) détenus par la Banque de France, regroupent les informations sur les incidents de paiement liés aux découverts et prêts consentis pour des besoins non professionnels, ainsi que des informations sur les surendettements. Les banques sont tenues de consulter ce dossier avant de consentir des prêts. Compte tenu de la sensibilité du fichier, l’activité de traitement associée représente un risque élevé pour la personne concernée. Par conséquent, il est très important de s’assurer que les entrées dans le fichier sont exactes et que les modalités de conservation de ces données de gestion de fichier sont conformes aux lois sur la protection des données (par exemple, la gestion des droits des personnes concernées). La CNIL examinera également les mesures mises en place pour assurer la sécurité des données.

• Accès aux dossiers électroniques des patients dans les établissements de santé

La sécurité des données de santé est sous le contrôle de la CNIL depuis plusieurs années et sera investiguée en 2020 et 2021 dans les établissements de santé. Pour 2023, la CNIL continuera à se concentrer sur le secteur de la santé. Une attention particulière sera portée aux conditions d’accès aux dossiers électroniques des patients dans les établissements de santé et notamment aux mesures de sécurité techniques et organisationnelles mises en œuvre pour assurer la sécurité des données de santé. Cette décision fait suite à plusieurs plaintes déposées auprès de la CNIL pour accès non autorisé par des tiers à des dossiers patients détenus par des établissements de santé.

• Suivi des utilisateurs avec application mobile

Les fabricants de téléphones permettent aux éditeurs d’applications de suivre les utilisateurs à des fins publicitaires, statistiques ou techniques (par exemple Apple IDFA, IDFV et Google AAID). De tels identifiants équivalents à des cookies sont généralement utilisés sans information ni consentement de l’utilisateur. Alors que la CNIL présentait en novembre 2022 son plan d’action en trois temps pour protéger la vie privée dans le cadre de l’utilisation des applications mobiles (voir, uniquement en français), plusieurs enquêtes ont été menées par la CNIL sur des applications accédant à des identifiants générés par le système d’exploitation du smartphone, sans le consentement de l’utilisateur. La CNIL poursuivra son enquête en 2024. En décembre dernier, la CNIL a infligé une amende de 3 millions d’euros aux sociétés qui éditent des jeux vidéo pour smartphones et qui utilisent l’identifiant IDFV d’Apple à des fins publicitaires sans le consentement légitime des utilisateurs (voiruniquement en français).

1. Soutien aux cadres d’application coordonnés concernant les délégués à la protection des données ​

Le même jour que la publication de la CNIL, le Conseil européen de la protection des données (EDPB) a fait pversion res sur le lancement d’une application coordonnée pour évaluer si les délégués à la protection des données (DPD) occupent les postes requis par le RGPD dans leurs organisations. La CNIL vérifiera les modalités de nomination et les modalités de mise en œuvre de la fonction de DPO.

En France, la CNIL a publié un guide pratique sur les DPO (voir notre précédent guide poste). En parallèle du CEPD, il est probable que la CNIL transmette un questionnaire d’enquête ou détermine si une enquête est pertinente et apte à mener une enquête. Les résultats de cette initiative seront analysés de manière coordonnée et l’Autorité de surveillance décidera si une action nationale de surveillance et d’exécution est nécessaire. L’EDPB publiera un rapport sur les résultats de cette analyse dans un format consolidé.

Encore une fois, l’année qui vient s’annonce chargée pour la CNIL et les organisations visées par ce nouveau programme annuel de grève de l’aube.