La CNIL dévoile ses priorités de contrôle en 2021
Pendant le mois de mars 2021, la CNIL (commission nationale de l’informatique et des libertés), a révélé ses thématiques prioritaires en matière d'audit et de contrôle pour 2021.
En plus de ses activités habituelles, cette année, la CNIL concentrera donc son action sur la cybersécurité, la sécurité des données de santé et l'utilisation des cookies et autres traceurs.
Conformément au RGPD et la loi informatique et libertés, les responsables de traitement (et les sous-traitants) ont l’obligation de respecter certaines règles et principes lorsqu’ils traitent des données personnelles. Afin d'assurer la conformité et de rester à jour avec les dernières orientations des autorités de contrôle en matière de données personnelles, il est important d’examiner les dernières publications de la CNIL : en effet, le focus de la CNIL peut également orienter la stratégie des différents acteurs qui traitent des données personnelles.
Bien entendu, il est essentiel que toutes les entreprises qui traitent des données à caractère personnel veillent à mettre en œuvre des pratiques de conformité suffisantes. Les organismes doivent être vigilants et répondre du principe de responsabilisation ("accountability") et en cas de contrôle de la CNIL, il est important de mettre en place une procédure adaptée aux activités de traitement et à toute enquête potentielle de la CNIL. Vous pouvez en savoir plus en lisant notre récente série d'articles sur ce sujet.
C'est dans ce contexte et grâce à la récente publication par la CNIL de sa stratégie 2021 que dans cet article nous partageons les principaux points d'attention de la CNIL pour l’année à venir !
Focus sur la Cybersécurité
La cybersécurité est une préoccupation croissante de la CNIL.
Le mois dernier, dans un communiqué de presse, la CNIL a en effet souligné que les failles de sécurité des sites web français sont désormais parmi les défauts les plus fréquents constatés lors des audits. En 2020, elle a constaté une augmentation importante du nombre de notifications de violations de données (+24% depuis 2019).
Dans son annonce, la CNIL a ainsi déclaré qu'elle entend assurer la sécurité des sites web les plus utilisés en France dans divers secteurs, en se concentrant notamment sur la collecte de données personnelles, l'utilisation du HTTPS et le respect de ses recommandations sur les mots de passe.
Sécurité des données de santé
C’est sans grande surprise que les données de santé constituent l’une des nouvelles priorité de l’autorité, dans le contexte de la pandémie actuelle de Covid-19 et des diverses questions juridiques soulevées par la numérisation du secteur de la santé.
En effet, en 2020, la CNIL a constaté trois fois plus de violations liées à des attaques de cryptolockers sur des établissements de santé tels que les hôpitaux, les cliniques, les établissements de soins, les laboratoires, etc (12 violations en 2019 contre 36 en 2020).
En outre, s'ajoutent les récentes découvertes dans les médias d'une fuite massive des données médicales de plus de 500 000 personnes. A cet égard, le tribunal judiciaire de Paris a adopté, hier, une décision demandant aux principaux fournisseurs d’accès à internet (FAI) de bloquer l'accès au site internet hébergeant le fichier de données. La CNIL a précisé qu’elle demeurera attentive à la nécessité de potentielles mesures supplémentaires, et qu’elle poursuivra ses investigations.
Focus sur l’utilisation de cookies et autres traceurs
Initié en 2020, l'objectif de la CNIL de veiller au respect des obligations en matière de ciblage publicitaire et de profilage des internautes s'élargit : les contrôles porteront désormais également sur les règles relatives à la collecte du consentement telles qu'elles ressortent des lignes directrices et recommandations adoptées par la CNIL le 1er octobre 2020 (entrée en vigueur en avril 2021).
Dans ce contexte, la CNIL a indiqué qu'elle poursuivra sa coopération avec les autorités de contrôle européennes pour le suivi des activités de traitement transfrontalier.
Conclusion
Dans l’ensemble, ces problématiques s’inscrivent dans la continuité des choix opérés par la CNIL en 2020, puisque sur les trois thématiques retenues comme prioritaires en 2021, une seule ne figurait pas dans les priorités de l’année passée : la cybersécurité. Selon nous, l’approche de notre autorité de contrôle est logique, notamment au vu du climat actuel et au vu du succès croissant des activités numériques et de commerce en ligne.
Bien entendu, comme d'habitude, si vous avez des questions sur cet article ou si vous souhaitez revoir vos pratiques en matière du RGPD ou de protection des données, n'hésitez pas à nous contacter !
Article rédigé par Evane Alexandre @ Gerrish Legal, mars 2021
Sources:
Cybersécurité, données de santé, cookies : les thématiques prioritaires de contrôle en 2021, CNIL, 02 mars 2021 (https://www.cnil.fr/fr/cybersecurite-donnees-de-sante-cookies-les-thematiques-prioritaires-de-controle-en-2021)
Violation de données de santé : la CNIL rappelle les obligations des organismes à la suite d'une fuite de données massive annoncée dans les médias, CNIL, 24 février 2021 (https://www.cnil.fr/fr/violation-de-donnees-de-sante-la-cnil-rappelle-les-obligations-des-organismes-la-suite-dune-fuite-de)
Fuite de données de santé : le tribunal judiciaire de Paris demande le blocage d'un site web, CNIL, 04 mars 2021 (https://www.cnil.fr/fr/fuite-de-donnees-de-sante-le-tribunal-judiciaire-de-paris-demande-le-blocage-dun-site-web)