Les actus du vendredi : Les contrôles CNIL
En ce début de mois de mars, la CNIL a annoncé ses thématiques prioritaires pour les contrôles qu’elle effectuera en 2021.
L’autorité de contrôle est claire dans sa stratégie : elle vise le respect des obligations en matière de cookies, les enjeux de la cybersécurité et la sécurité des données de santé.
Après avoir réalisé 247 procédures formelles de contrôle dans les entreprises et les institutions, en 2020. Le gendarme de la vie privée donne une nouvelle fois priorité aux contrôles en matière de dépôt des cookies et de sécurité des données de santé. Cependant, l’autorité décide également d’orienter ses actions de contrôle sur la thématique de la cybersécurité.
Un renforcement des enjeux de la cybersécurité :
Alors que les annonces de fuites des données sont de plus en plus récurrentes, la Commission pointe du doigt le défaut de sécurité de l’internet français. En effet, la carence de sécurité des systèmes d’information est un « des manquements les plus souvent constaté lors des contrôles », mais aussi une des raisons conduisant à une violation des données (soit 2 825 notifications reçues en 2020).
La CNIL se donne donc pour mission de contrôler le niveau de sécurité technique des données personnelles confiées aux entreprises et aux institutions. Elle souhaite notamment se concentrer sur trois points :
- les formulaires de recueil de données personnelles
- l’utilisation du protocole HTTPS
- la conformité des acteurs à sa recommandation sur les mots de passe
Ainsi si les contrôles visaient « le niveau de sécurité des sites web français les plus utilisés dans différents secteurs », la CNIL se concentrera aussi sur « les stratégies mises en place pour se protéger des attaques par rançongiciels ».
Pensez donc à mettre en place le plus tôt possible une politique de sécurité effective au sein de votre organisme et à souscrire à une assurance cyber risques pour vous couvrir en cas de faille de sécurité !
La sécurité des données de santé
Le domaine de la santé est un secteur qui se numérise de plus en plus. De ce fait, il est en proie aux cyberattaques, comme on le constate avec les malheureux évènements de ces derniers temps. Entre multiplication des cyberattaques à l’encontre d’organismes de santé et la récente fuite massive des données de santé de 500 000 personnes, la CNIL va porter son attention sur la sécurité des données de santé. Et plus particulièrement, concernant :
- la gestion des accès au dossier patient informatisé
- les plateformes de prise de rendez-vous médicaux en ligne
- la gestion des violations de données personnelles dans les établissements de soins
La protection des données de santé s’inscrit ainsi dans la continuité des priorités de l’autorité de contrôle. En effet, n’oublions pas que la CNIL a beaucoup été sollicitée dernièrement, notamment du fait de la crise sanitaire, à travers l’application TousantiCovid mais aussi à travers le projet Health Data Hub ou encore récemment en sanctionnant des médecins libéraux pour leur non-conformité au RGPD.
Elle avait également été sollicité en décembre 2020 lorsque le Gouvernement a lancé la campagne de vaccination, pour se prononcer sur le fichier Système d’Information VACCIN-COVID. Pour plus d’informations vous pouvez relire notre article sur le sujet juste ici « La protection des libertés fondamentales face au suivi de la pandémie COVID-19 ».
Le respect des obligations en matière de cookies :
Enfin la CNIL contrôlera le respect aux obligations relatives au ciblage publicitaire et au profilage des internautes.
Pour rappel, elle n’a pas hésité à sanctionner sévèrement Google et Amazon le 7 décembre dernier pour non-respect de la réglementation relative au dépôt de cookies publicitaires. Les amendes étaient fort salées : 100 millions d’euros pour Google et 35 millions d’euros pour Amazon ! Et si vous l’aviez raté, nous avons également écrit une brève sur ce sujet : « Nouvelles amendes records pour Google et Amazon : les cookies publicitaires en cause ».
Alors qu’en octobre dernier l’autorité de contrôle publiait ses lignes directrices et sa recommandation relative aux dépôts de cookies et à la publicité ciblée. Elle a donné 6 mois aux entreprises, soit jusqu’au 1er avril 2021 pour que ces dernières mettent en conformité leurs sites internet et applications. Passée cette date, elle n’hésitera pas à sanctionner. Ainsi pour éviter toute sanction, retrouvez notre infographie sur les bonnes pratiques à adopter en matière de recueil de consentement et mettez-vous en conformité !
Pour en savoir plus sur les outils de conformité existants sur le marché en matière de gestion de cookies, vous pouvez écouter notre podcast avec Axeptio, un gestionnaire de cookies français, fiable et ludique.
Toute l’équipe de La Robe Numérique se tient à votre disposition.
Une question ? N’hésitez pas à nous écrire à l’adresse suivante : team@larobenumerique.fr
Sources :