Bilan des contrôles de 2016 et programme pour 2017

Alors que les autorités de protection des données personnelles se préparent à l’entrée en vigueur prochaine du Règlement Général sur la Protection des données, la CNIL a publié le 31 mars dernier un bilan des contrôles annuels effectués en 2016 et le programme fixé pour 2017.

La CNIL dispose en effet du pouvoir de diligenter des visites sur les lieux du traitement, de demander la communication de tout document se rapportant au traitement, d’accéder aux programmes informatiques et de recueillir, sur place ou sur convocation, toute information utile (article 44 de la loi Informatique et Libertés).

Depuis la loi du 17 mars 2014 relative à la consommation (dite « loi Hamon »), ce pouvoir a été étendu puisque la CNIL peut désormais procéder à des contrôles à distance en accédant aux sites en ligne. L’année passée, l’autorité nationale a ainsi réalisé 430 contrôles dont un tiers en ligne.

Le bilan fait également apparaître que près de 20 % des contrôles ont porté sur des traitements liés aux dispositifs de vidéo-protection installés dans des lieux ouverts au public.

La Commission avait par ailleurs défini trois thématiques principales pour ses contrôles 2016 :

  • le système national d’information inter-régimes de l’assurance maladie (le CNIIRAM), base de données de santé dont la protection a été estimé satisfaisante ;
  • l’activité de courtage de données (Data brokers) qui agrège, enrichit et transforme les données personnelles pour les commercialiser ;
  • le fichier de contrôle des déplacements aériens (Advance Passenger Information – Passenger Name Record).

En dehors des contrôles décidés dans les secteurs ci-dessus énoncés, le rapport énonce que 15 % des missions d’investigation de la CNIL ont été initiées à la suite de plaintes reçues dans des domaines divers (géolocalisation, vidéosurveillance, prospection politique, exercice du droit d’opposition à la réception de messages publicitaires). Les plaintes demeurent donc un élément non négligeable de déclenchement des contrôles.

Pour 2017, la CNIL a prévu de consacrer 25 % de son activité de contrôle à trois thématiques :

  • La confidentialité des données de santé traitées par les sociétés d’assurance. La Commission rappelle à ce titre qu’elle a rendu disponible en 2014 un pack de conformité encadrant de tels traitements au regard de l’obligation du secret médical.
  • Les fichiers de renseignement qui intéressent la sûreté de l’Etat, la défense ou la sécurité publique mis en œuvre par les services du ministère de l’Intérieur.
  • Les télévisions connectées (Smart TV) qui proposent de nouveaux services tels que la télévision de rattrapage, la vidéo à la demande et l’accès aux plateformes de vidéos en ligne. La CNIL entend ainsi contrôler les informations recueillies par ces services qui permettent de révéler de nombreux aspects de la vie privée des utilisateurs au regard notamment, des exigences de pertinence, de sécurité et de confidentialité.

Cette dernière thématique doit être rapprochée de la condamnation par la Federal Trade Commission en février dernier de la société Vizio, fabricant américain de téléviseurs « intelligents », à une amende de 2,2 millions de dollars pour le recueil sans consentement d’un grand nombre d’informations sensibles concernant ses clients, et de l’historique de leurs visionnages grâce à des captures d’images. Tout récemment encore, il a été révélé que les logiciels équipant des téléviseurs souffraient de nombreuses failles de sécurité permettant leur prise de contrôle à distance.