COVID-19 : Dans le contexte actuel, quelle stratégie de contrôle pour la CNIL en 2020 ?

La publication du programme de contrôle annuel de la CNIL est toujours un élément important que les organismes concernés doivent prendre en compte pour s’y préparer. Si les contrôles sur place de la CNIL vont nécessairement être reportés dans l’immédiat du fait du COVID-19, ce programme porte sur toute l’année, et concerne également ses autres modes de contrôles, qui sont effectués en ligne, sur pièces, ou par courriers. La CNIL indique sur son site qu’elle réalise ainsi chaque année des milliers d’actes d’investigations.

Quel que soit son mode d’exercice, un contrôle peut faire suite à une plainte (clients, salariés, internautes, association, syndicat, etc.), à un sujet révélé dans l’actualité, à une violation de données, ou encore s’inscrire dans le cadre du programme annuel de la CNIL.

Le positionnement fort de la CNIL en 2019

La stratégie de contrôle en 2019 avait été marquée par la volonté du régulateur de mettre fin à la période de transition post-RGPD, la CNIL considérant que les organismes avaient désormais disposer de suffisamment de temps pour finaliser leur mise en conformité à la nouvelle réglementation.

L’action répressive de la CNIL s’est donc intensifiée au cours de l’année 2019, et devra se poursuivre ainsi en 2020, en particulier sur les thématiques identifiées dans sa stratégie de contrôle annuelle. La CNIL est l’autorité de protection des données la plus répressive de l’Union européenne, le montant total des amendes administratives infligées depuis l’entrée en application du RGPD s’élevant à 51,1 millions d’euros (l’autorité allemande arrive en deuxième position avec un montant d’environ 24,6 millions d’euros d’amendes).

Trois thématiques en 2020 qui visent le quotidien des Français

Pour 2020, l’autorité française a indiqué qu’elle concentrera environ 20% de son action sur 3 thématiques principales :

• la sécurité des données de santé,

• les nouveaux usages des données de géolocalisation,

• les cookies et autres traceurs.

En 2019, les sujets ciblés étaient le respect des droits des personnes, les données de mineurs, et la répartition des responsabilités entre responsables de traitement et sous-traitants.

Cette année, la CNIL veut s’attaquer à des catégories bien précises de traitements. Pour ce qui est des données de santé, il s’agit de traitements « à risque », puisqu’ils portent sur des données sensibles au sens du RGPD qui doivent, à ce titre, faire l’objet de précautions et de mesures particulières. La CNIL fait valoir que « L’actualité récente en matière de santé (télémédecine, objets de santé connectés, violations de données personnelles au sein d’établissements publics…) démontre l’attention qui doit être portée à la sécurité des traitements de données de santé ».

Pour ce qui est des données de géolocalisation et des cookies, il s’agit de traitements qui utilisent des volumes importants de données, que la CNIL considère comme pouvant être particulièrement intrusifs dans la vie quotidienne des français.

Dans tous les cas, la CNIL souhaite appréhender les enjeux de vie privée soulevés par les nouveaux usages qui imprègnent désormais tous les aspects de la vie quotidienne, et qui impactent le rapport à la santé, à la mobilité et aux services en ligne.

Un programme qui s’inscrit dans la continuité des précédentes initiatives de la CNIL

La CNIL s’est déjà attaquée au cours des dernières années aux traitements de géolocalisation dans le secteur de l’Ad Tech. Cette année, elle contrôlera également les services de proximité et de mobilité qui utilisent la géolocalisation (optimisation des parcours de déplacement, plateformes d’échanges par exemple ou autres services). Elle indique qu’elle contrôlera en particulier la proportionnalité des données collectées, leurs durées de conservation, l’information des personnes et les mesures de sécurité.

Concernant les cookies et autres traceurs, ce sujet devra faire l’objet d’une attention particulière pour les professionnels du secteur. En effet, sans attendre l’adoption du futur Règlement e-Privacy, la CNIL adopté de nouvelles lignes directrices en juillet 2019 et publié, en janvier 2020, un projet de recommandation soumis à une consultation publique, qui devrait être définitivement adopté dans les semaines à venir. Les contrôles et les actions répressives de la CNIL suivront ensuite, après une période d’adaptation de 6 mois à compter de la publication définitive de la recommandation. Cela correspond à la période transitoire déjà annoncée précédemment par la CNIL pour permettre aux acteurs concernés de se mettre en conformité.

Notons cependant que la CNIL a d’ores et déjà lancé plusieurs missions de contrôle auprès de grands acteurs de la publicité en ligne, les invitant à prendre connaissance du nouveau projet de recommandation et à améliorer le contrôle des internautes sur leurs données personnelles. La CNIL a également déjà lancé d’autres contrôles depuis le début de l’année sur les thèmes de son programme de contrôles pour 2020.

Dans le contexte actuel, les contrôles sur place se verront très certainement reportés à l’issue de la crise sanitaire que traverse la France, ou du moins à l’issue des mesures de confinement annoncées par le gouvernement le 16 mars 2020. Néanmoins, les agents de la CNIL restent en activité, à distance, ce qui signifie que les autres types de contrôle pourront être mis en œuvre (voire remplacer certains contrôles prévus initialement sur place).