La Cnil présente ses projets pour une société numérique de confiance dans son plan stratégique pour 2022-2024.
Suite à sa publication des thématiques prioritaires de contrôle pour 2022 (1), la Cnil se projette plus loin. Elle prévoit trois axes prioritaires dans l’espoir de construire une société numérique de confiance. Par-là, la Cnil entend faire face aux différents enjeux qui émergent entre la numérisation croissante de la société et les dégâts causés par la pandémie.
Dans un tel contexte, le risque encouru quant à l’efficace protection de notre vie privée n’a jamais été aussi important. L’intervention du Règlement Général sur la Protection des Données Personnelles (RGPD) est alors indispensable pour veiller à l’ancrage d’une société numérique de confiance.
À titre de rappel, le précédent plan stratégique de la Cnil visait à s’approprier les nouvelles dispositions du RGPD.
Axe 1. – Favoriser la maîtrise et le respect des droits des personnes sur le terrain
Ce premier axe est basé en grande partie sur la connaissance, par le public, des droits qui lui sont conférés. En effet, le public doit avoir un repère dans son quotidien numérique. Pour cela, la Cnil veille à ce qu’il puisse s’approprier les outils numériques qui sont mis à sa disposition. Dès lors que l’information sera transmise et comprise, les personnes pourront exercer leurs droits de manière beaucoup plus aisée et fluide.
En outre, la Cnil veut travailler à l’adaptation de ses procédures de contrôle, de mise en demeure et de sanction (2) pour améliorer sa politique répressive dissuasive.
Elle compte aussi poursuivre ses efforts pour accroître l’efficacité d’un mécanisme appelé « guichet unique ». Cette procédure a été mise en place dans le but d’harmoniser, au niveau européen, les décisions des autorités de protection des données concernant les traitements transfrontaliers.
Ainsi, les quatre objectifs qui ressortent du premier axe sont :
- Renforcer l’information et la sensibilisation des personnes pour favoriser l’exercice de leurs droits ;
- Accroître l’efficacité de l’action répressive ;
- Renforcer le rôle européen de la Cnil et l’efficacité du collectif européen ;
- Prioriser les actions pour protéger les usages du quotidien.
Axe 2. – Promouvoir le RGPD comme un atout de confiance pour les organismes
La Cnil souhaite renforcer son offre d’accompagnement à l’égard des responsables de traitement (entreprises, communes, administrations…) qui manipulent en permanence différentes sortes de données.
- Elle veut, d’une part, faciliter leur compréhension du cadre légal en produisant une doctrine claire et accessible.
- D’autre part, il est surtout question d’un développement des outils de conformité et d’une aide contre les risques grandissant de cyberattaques.
Pour faciliter une telle démarche, la Cnil compte publier de plus en plus de « bacs à sable » sur lesquels les organismes pourront s’appuyer. L’un de ses premiers « bac à sable » données personnelles dans le domaine de la santé numérique avait connu un grand succès en 2021 : une soixantaine de candidatures avaient été déposées pour bénéficier d’un accompagnement par la Cnil.
Par conséquent, les cinq objectifs retenus sont :
- Renforcer la sécurité juridique des responsables de traitement par des orientation pratiques et claires ;
- Développer les outils de certification et de code de conduite ;
- Faire de la conformité RGPD la meilleure prévention contre les risques de cybercriminalité ;
- Renforcer et faire évoluer la stratégie d’accompagnement (bac à sable, stratégie start-ups, etc.) ;
- Assumer un rôle de régulateur ayant un impact économique.
Axe 3. – Cibler la régularisation sur des sujets à fort enjeu pour la vie privée
Enfin, le dernier axe ne répond pas à des objectifs mais à des thématiques auxquelles nous faisons face au quotidien. Les nouvelles technologies reposent sur une collecte et un traitement important de nos données personnelles. Dès lors, afin d’élaborer une société numérique de confiance, la Cnil a retenu différents secteurs où une mise en conformité doit être établie. La réflexion s’opérera en deux temps : il faut d’abord fixer la doctrine pour ensuite offrir aux établissements concernés des outils pratiques d’aide à la conformité.
L’une des principales difficultés est de sécuriser, une bonne fois pour toutes (3), les données personnelles des Français lors de leur transfert en dehors de l’Union européenne.
En résumé, ce dernier axe comprend trois thématiques :
- Les caméras augmentées et leurs usages.
- Les transferts de données dans le « cloud ».
- Les collectes de données personnelles dans les applications des smartphones.
Pour une société numérique de confiance
La Cnil poursuit sa volonté d’accompagnement et de protection des droits et libertés des personnes. Les axes sur lesquels elle compte se pencher, montrent sa démarche active de construction d’une société numérique de confiance.
Virginie Bensoussan-Brulé
Tess Muckensturm
Tess Sedbon (élève avocate)
Lexing Contentieux numérique
(1) Virginie Bensoussan-Brulé « Plan de contrôle de la Cnil : les thématiques prioritaires en 2022 », Lexing Alain Bensoussan Avocats, 23 février 2022.
(2) Cnil, « Charte des contrôles », 5 août 2020.
(3) Par référence à l’Arrêt Schrems II ayant invalidé le Privacy shield (CJUE, 16 juillet 2020 aff. C-311/18)