CNIL: Des priorités 2021 dictées par l’actualité


CNIL: Des priorités 2021 dictées par l'actualité

Pour l’année 2021, la CNIL annonce la couleur et présente les principaux thèmes qui occuperont ses équipes en 2021. La commission indique avoir procédé en 2020 à «6 500 actes d’investigation dont, en particulier, 247 procédures formelles de contrôle». Les procédures de contrôle de la CNIL peuvent prendre quatre formes différentes: contrôle sur place, audition, contrôle en ligne et enfin contrôle sur pièce. Ces différents contrôles peuvent être mis en œuvre suite à des plaintes déposées par des citoyens, mais aussi dans le cadre des thématiques définies chaque année par la commission. La CNIL réservera ainsi «plus d’une cinquantaines de contrôles» aux sujets pertinents pour l’année 2021.

On prend (presque) les mêmes et on recommence

Dans l’ensemble, la CNIL ne renouvelle pas en profondeur ses sujets de prédilection: sur les trois axes cités, deux étaient déjà au programme de l’année 2020. La Commission se penchera à nouveau sur la sécurité des données de santé: la Commission indique ainsi que dans le contexte sanitaire, elle entend «poursuivre ses contrôles amorcés en 2020» sur ce sujet.

Il faut dire que l’actualité récente en matière de données de santé a donné fort à faire à la CNIL. La fuite des données de santé de 500 000 English au début du mois de février est évidemment le plus récent épisode, mais la CNIL a également été amenée à s’exprimer plusieurs fois sur les sujets liés à l’application Tousanti en œuvre dans le cadre des stratégies de dépistage et de vaccination. On peut également évoquer les multiples polémiques autour de la mise en œuvre du Health Data Hub, sujet sur lequel la CNIL a rendu un avis assez sec et qui continue de faire l’objet de débats. Au vu des derniers mois, la CNIL opte donc pour une approche assez réaliste en remettant à son menu de l’année 2021 la thématique des données de santé.

L’autre sujet qui fait son retour est celui de la réglementation en matière de cookies et de traceurs. La CNIL fait ainsi savoir que les «contrôles vont se poursuivre cette année avec un périmètre étendu». A partir d’avril 2021, la CNIL contrôlera ainsi la conformité des services avec les lignes directrices qu’elle a publié au mois d’octobre 2020, portant notamment sur le recueil du consentement des utilisateurs. Le projet de règlement européen ePrivacy, qui entend proposer une législation unifiée sur ce sujet pour les pays de l’UE, a récemment redonné des signes de vie, ce qui laisse à penser que le sujet sera de nouveau sur la table dans le courant de l’année.

Le web français dans le collimateur

Le nouveau sujet qui occupe la CNIL en 2021 concerne «la cybersécurité du web français». La CNIL indique ainsi qu’une attention particulière sera apportée aux «formulaires de recueils des données personnelles, à l’utilisation du protocole HTTPS et à la conformité des acteurs à la recommandation de la CNIL sur les mots de passe». Selon la CNIL, les défauts de sécurisation des sites web font partie des manquements les plus fréquents qui lui sont signalés, représentant 2825 signalements en 2020.

La CNIL fait également savoir qu’elle enquêtera sur des stratégies mises en place pour se protéger des attaques par rançongiciel: si le sujet n’était pas jusque là pas forcément au centre des préoccupations de la Commission, les attaques au ransomware se doublent fréquemment depuis le début d’année 2020 de fuites de données. Le sujet de la sécurité des sites web ne s’arrête d’ailleurs pas aux seules attaques de ransomware, les attaques de vol de données de carte bleue sont également fréquemment mises en avant, et les attaques de credential stuffing ont récemment valeur à deux entreprises d’écoper d’amendes de la part de la CNIL pour défaut de sécurisation de leurs services.



Laisser un commentaire