Données personnelles : la CNIL donne la priorité aux contrôles en ligne

Clément Bohic,
Régulations
donnees-personnelles-cnil-controles-ligne

La récente extension des prérogatives de la CNIL en matière d’inspections en ligne va entraîner une intensification des contrôles réalisés auprès de sociétés et services qui traitent des données personnelles.

Les contrôles en ligne sont une priorité à l’agenda 2014 de la CNIL. Longtemps habilitée à réaliser uniquement des inspections sur site, l’autorité indépendante a vu son pouvoir d’investigation renforcé par la loi du 17 mars 2014 relative à la consommation.

Ce nouveau pouvoir lui permettra de systématiser l’examen des fichiers et des pratiques qui concernent un grand nombre de Français : impôt sur le revenu, paiement en ligne, vidéosurveillance, sites et réseaux de rencontres, etc. Dans tous les cas, il s’agira de vérifier si le traitement des données personnelles s’effectue en respect du cadre réglementaire et si les dispositifs de vidéosurveillance éventuellement installés le sont dans le respect de la loi.

En 2013, la CNIL a réalisé 414 de ces contrôles dans les locaux de sociétés qui manipulent des informations sur les personnes. Plus des deux tiers (280, dont 75% menés dans le privé) ont porté sur des traitements relevant directement de la loi « informatique et libertés ». La plupart des avertissements envoyés par courrier ont donné lieu à une mise en conformité. La CNIL a tout de même dû formuler une vingtaine de mises en demeure… et deux sanctions.

Les 134 autres contrôles ont concerné les dispositifs de vidéosurveillance. Réalisés au deux tiers dans le privé, ils ont « permis de mettre en relief des irrégularités récurrentes ». En l’occurrence, l’absence de formalités (autorisation préfectorale ou déclaration auprès de la CNIL), une information incomplète des personnes, des mesures de sécurité à améliorer et des dispositifs parfois trop intrusifs. Sur une dizaine de mises en demeure, l’une a trouvé continuité dans une dénonciation au parquet.

Pour 2014, la CNIL se donne l’objectif de réaliser 550 de ces campagnes, dont 200 en ligne et un quart portant sur la vidéosurveillance. L’autorité surveillera tout particulièrement le fonctionnement du Fichier des incidents de remboursement de crédits aux particuliers (FICP).

Elle s’intéressera également aux modalités de gestion des violations de données personnelles par les prestataires d’offres de communications électroniques. Il s’agira notamment d’avoir une vision sur la problématique des failles de sécurité, que les FAI et opérateurs de téléphonie mobile/fixe ont, depuis 2011, l’obligation de notifier à la CNIL, voire aux personnes concernées.

Les investigations s’étendront aussi aux plates-formes de rencontres en ligne, qui récupèrent parfois des données sensibles (orientations sexuelles, origines ethniques, religion) « sans que l’on sache exactement quels sont les traitements effectués ». L’attention se portera par ailleurs sur les traitements mis en oeuvre au titre de paiement et du recouvrement de l’impôt sur le revenu. Il s’agira notamment de s’assurer que les méthodes de gestion et de protection aient bien évolué depuis l’introduction de la procédure en ligne.

La CNIL cherche enfin à sensibiliser les acteurs du paiement en ligne sur la sécurité des données et la durée de leur conservation. Elle contrôlera notamment l’application effective de la recommandation de novembre sur le stockage des numéros de cartes bancaires. Seront examinées en parallèle, les conditions d’exploitation du fichier judiciaire national automatisé des auteurs d’infractions sexuelles ou violentes (FIJAISV), créé en 2004 pour favoriser l’identification et la localisation des auteurs d’infractions sexuelles déjà condamnés, afin de prévenir toute récidive.

La coopération internationale avec les autorités compétentes en matière de protection des données se poursuivra notamment avec un second volet pour le Sweep Day. Lors de la première édition en mai 2013, la CNIL et ses pairs réunis au sein du Global Privacy Enforcement Network avaient mené une opération conjointe : un audit de confidentialité sur un échantillon de sites Internet. Il s’agissait non seulement d’évaluer le respect des règles en matière de vie privée, mais aussi de contrôler les moyens d’information mis à disposition des utilisateurs pour les éclairer quant à l’exploitation de leurs données personnelles.

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?

Crédit photo : Slavoljub Pantelic – Shutterstock.com

Lire aussi :

RGPD : la Cnil actualise son modèle de registre de traitements pour les PME

FaceApp : le phénomène interpelle la Cnil

RGPD : la Cnil a le consentement du GESTE mais pas de La Quadrature du Net

Clément Bohic
Auteur : Clément Bohic
Lire la biographie de l´auteur  Masquer la biographie de l´auteur