La Cnil a publié les thématiques qu’elle entend privilégier pour diligenter ses contrôles en 2016 (1).
Tous les ans, la Cnil mène de multiples contrôles sur place, sur audition, sur pièce ou encore en ligne.
Si une partie des contrôles est menée en fonction de l’actualité, des plaintes reçues et des vérifications à effectuer suite à des courriers, des mises en demeure ou des sanctions, 25 % des contrôles qu’elle mène sont, quant à eux, publiés à l’avance.
Thématiques retenues. L’année 2015 a été marquée par des contrôles dans le domaine du paiement sans contact ou le fichier national des permis de conduire. Pour 2016, la Cnil a prévu de mener des contrôles sur les thématiques suivantes :
- le système national d’information inter-régimes de l’assurance maladie (SIIRAM) ;
- le fichier API-PNR ;
- les courtiers en données ou data brokers.
Le premier thème retenu pour les contrôles porte sur le domaine de la santé à travers l’analyse de la conformité du système national d’information inter-régimes de l’assurance maladie à la loi Informatique et libertés. Ce système SIIRAM se présente comme une base de données nationale contenant des millions d’enregistrements issus des demandes de remboursement de frais de santé. L’objectif de ce contrôle par la Cnil est de vérifier la sécurité des données et la réalité de la pseudonymisation des données à caractère personnel afin d’empêcher l’identification des patients concernés.
Le second thème porte sur le système API-PNR (Advance Passenger Information-Passenger Name Record) qui est un fichier de contrôle des déplacements aériens permettant de lutter contre le terrorisme et le trafic de drogue autorisé par la loi à titre expérimental en 2013. La Cnil avait publié deux avis en juillet 2014 (1) et juillet 2015 (2) en raison de la possible atteinte particulièrement grave au droit au respect de la vie privée et à la protection des données personnelles. Son contrôle aura pour objectif de vérifier le respect de la loi Informatique et libertés au regard de ces deux avis et de s’assurer de la bonne mise en œuvre des garanties prévues afin de réduire le risque d’atteinte portée à la vie privée et à la protection des données personnelles.
Le dernier thème est consacré aux intermédiaires dits Data Brokers dont le rôle est de collecter des données à caractère personnel, de les analyser et de déterminer des profils client sur la base des comportements des clients et de leurs centres d’intérêts puis de revendre ces données à des entreprises qui les utilisent dans le cadre de leur activité économique. L’objectif du contrôle de la Cnil consistera à veiller au respect des obligations de pertinence des données et d’information des personnes, de consentement, de respect des droits, comme celui du droit d’accès, et de sécurité.
Dispositifs de vidéosurveillance et de vidéoprotection. De plus, la Cnil prévoit que 20 % de ses contrôles sera consacré à la vérification des dispositifs de vidéosurveillance et de vidéoprotection.
On peut rappeler qu’en 2014, ces contrôles représentaient un tiers des contrôles effectués et un quart en 2015.
Sweep Day. L’année 2016 sera également marquée par un nouveau Sweep Day sur le thème des objets connectés et notamment les objets domotiques, de santé et de bien-être.
Ces Sweep Day ont pour objet, le temps d’une période donnée, pour la Cnil et ses homologues européens ou mondiaux de mener un audit des principaux sites internet et applications mobiles afin de dresser un état des lieux des pratiques européennes et mondiales en fonction d’une thématique déterminée.
Ainsi, ce nouveau Sweep Day est le quatrième volet d’une série qui a débuté en mai 2013 (4) par un « Internet Sweep Day » afin d’évaluer le niveau d’information des internautes sur les sites internet ou les applications mobiles les plus visités. Cela s’est ensuite poursuivi par un « Cookie Sweep Day » au niveau européen en septembre 2014 (5) concernant les cookies, puis par un nouvel « Internet Sweep Day » au niveau mondial relatifs aux sites internet et aux applications mobiles pour les enfants (6).
Il convient donc aux entreprises concernées par ce programme de contrôle de s’assurer d’ores et déjà de la bonne conformité de leurs traitements à la loi Informatique et libertés et de mettre en place une procédure interne permettant de se préparer à un éventuel contrôle de la Cnil.
Lexing Alain Bensoussan Avocats
Lexing, Droit Informatique et libertés
(1) Programme des contrôles Cnil 2016.
(2) Délib. Cnil 2014-308 du 17-7-2014.
(3) Délib. Cnil 2015-230 du 9-7-2015.
(4) Internet Sweep Day 2013.
(5) Cookie Sweep Day 2014.
(6) Internet Sweep Day 2015.