Vie privée : la CNIL monte en puissance sur les contrôles
La CNIL compte renforcer son activité de contrôle en se concentrant sur des thématiques prioritaires comme les objets connectés et le paiement sans contact.
Dans son 35e rapport annuel d’activité publié le mois dernier, la CNIL posait la question de l’équilibre entre innovation à l’ère numérique et protection des données personnelles.
L’un des points identifiés par la commission était la nécessité d’intégrer le changement d’échelle induit par le big data, notamment en menant des contrôles – y compris a priori – sur la finalité des collectes.
L’activité va s’intensifier dans ce sens, d’autant plus que les sollicitations sont de plus en plus nombreuses de la part des citoyens français : 11 071 demandes reçues l’année dernière, dont près d’un quart concernant Internet (62 mises en demeure prononcées, pour 18 sanctions).
Alors qu’elle a mené 421 contrôles en 2014, la CNIL compte en effectuer 550 en 2015, dont 350 vérifications sur place (un quart devant porter sur les dispositifs de vidéoprotection) et 200 en ligne.
Plusieurs thématiques prioritaires « faisant partie du quotidien des Français » sont dégagées. En premier lieu, le paiement sans contact : outre les questions de sécurité, il s’agira de vérifier la bonne prise en compte du droit d’opposition.
Une attention particulière sera également portée à l’égard des objets connectés de bien-être et de santé. Ces dispositifs de suivi individuel et de partage de données suscitent, selon la CNIL, « de nombreuses interrogations quant à l’information et au consentement des utilisateurs ».
Les contrôles seront aussi renforcés sur les outils de mesure de fréquentation des lieux publics, déployés à l’échelle de bâtiments (typiquement des centres commerciaux), de quartiers ou de villes entières, avec entre autres objectifs la monétisation de l’espace publicitaire.
Permis de contrôler
Autre thème prioritaire : le Fichier national des permis de conduire (FNPC), mis en oeuvre par le ministère de l’Intérieur pour répertorier l’ensemble des quelque 40 millions de permis de conduire enregistrés en France. Il s’agira de vérifier la fiabilité et la mise à jour des données, ainsi que leurs modalités d’accès et leur sécurisation.
La CNIL se penchera enfin sur le traitement des données dans le cadre de la gestion des risques psycho-sociaux en entreprise. Les enquêtes menées par les patrons pour mieux lutter contre le stress au travail ont soulevé des questions qui ont « conduit de nombreux salariés à [une saisine] ». L’objectif est donc de mener un audit global chez les prestataires et entreprises concernés.
Adoptées à ce jour par une soixantaine d’organisations, les règles internes d’entreprise (« Binding Corporate Rules ») seront également scrutées de près. Ce dispositif, qui consiste en un code de conduite définissant la politique interne en matière de transferts de données personnelles hors de l’Union européenne, n’a encore fait l’objet d’aucun contrôle ex-post. La CNIL jaugera donc son impact au regard de la protection des données personnelles et du respect de la vie privée.
Par ailleurs, une troisième édition du « Sweep Day » sera bien organisée. Coordonné par le GPEN (« Global Privacy Enforcement Network », réseau international d’autorités chargées de la protection de la vie privée), l’audit conjoint portera cette année sur les services en ligne proposés aux mineurs.
Crédit photo : Pressmaster – Shutterstock.com