Image : CNIL.
La pratique est habituelle à la CNIL. Chaque année, l’autorité de protection des données personnelles définit une liste de thématiques prioritaires pour ses contrôles – aussi déclenchées par l’actualité. Ainsi, en 2022, et dans l’air du temps, la Commission se montrait attentive à la surveillance du télétravail.
Cette année, la France accueillera deux rendez-vous sportifs, les Jeux olympiques et la Coupe du monde de rugby. Ces événements seront l’occasion pour les pouvoirs publics d’expérimenter un nouveau genre de caméras. Le gouvernement a tout spécialement fait voter un projet de loi de sécurité pour permettre l’usage d’une vidéoprotection dopée à l’intelligence artificielle.
Caméras IA : respect du cadre légal attendu
La CNIL n’a jamais fait mystère de sa position à l’égard de ces technologies, et en particulier de la reconnaissance faciale. Ces dernières constituent d’ailleurs un axe prioritaire de son plan stratégique. L’autorité entend donc en 2023 se faire l’arbitre du bon usage des caméras dites augmentées par les acteurs publics.
Cela passe par de l’accompagnement, mais aussi des contrôles, ce domaine étant défini comme prioritaire. « Cela lui permettra de vérifier le respect du cadre légal par les acteurs publics », annonce la CNIL.
Exécutif et législateur ne portent pas seulement des ambitions nouvelles en matière de sécurité. Les données de santé représentent un autre champ d’action politique. En 2022, le gouvernement présentait Mon espace santé, rien de moins qu’une « nouvelle révolution » pour le ministère.
Les dossiers de santé constituent également des données particulièrement sensibles. La digitalisation croissante et la mutualisation des données au sein de l’écosystème de santé justifient donc une vigilance accrue. Comme en 2020 et 2021, la CNIL fait donc de cet enjeu une priorité.
Des plaintes pour accès non autorisés aux DPI
Les contrôles porteront sur les modalités d’accès au dossier patient informatisé (DPI) au sein des établissements de santé. La CNIL rappelle avoir engagé des vérifications en 2022. Elles se poursuivront, et cela notamment en raison des plaintes reçues.
Auprès de ses services, des citoyens « dénoncent des accès par des tiers non autorisés à des DPI au sein d’établissements de santé ». La CNIL examinera en outre les « mesures mises en place pour assurer la sécurité des données » – tout comme elle auditera l’utilisation du fichier des incidents de crédit aux particuliers (FICP) par les banques.
Les éditeurs d’applications mobiles devront eux aussi montrer patte blanche. On se souviendra qu’en 2018, la CNIL avait pris pour cible des éditeurs spécialisés dans la publicité mobile et géolocalisée. Les sanctions et conséquences avaient été sévères pour ces acteurs.
Cela n’a cependant pas abouti à un assainissement des pratiques plus globales de privacy dans le secteur des apps mobiles. La CNIL constate un « usage systématique » des identifiants publicitaires des OS mobiles et « une utilisation massive » des cookies qui n’est pas freinée par les cookies walls.
Grand régisseur des cookies tiers et de leurs usages web, Google tarde à agir. L’année dernière, le géant du web retardait de nouveau leur disparition. Mozilla, lassé d’attendre, vient de prendre la décision de les bannir sur Firefox sous Android.
Apps mobiles : la carotte et le bâton
L’autorégulation ne suffit pas, cependant. La CNIL regrette ainsi des pratiques menées « bien souvent sans l’information ou le consentement des utilisateurs ». Les dernières recommandations de la CNIL sur les cookies et autres traceurs devaient infléchir la trajectoire.
Leur publication avait été suivie de contrôles. « La CNIL poursuivra ses vérifications en 2023 », prévient-elle. Elle espère aussi agir plus en amont, via des travaux sur les bonnes pratiques en matière de développement des applications mobiles.
Et si la pédagogie et les contrôles ne suffisent pas, il reste les sanctions. Ce pouvoir de la CNIL a été renforcé au travers du RGPD. Quelques semaines plus tôt, l’autorité rappelait qu’elle n’hésitait pas à recourir à ce levier d’action lorsque nécessaire.
En 2022, la Commission prononçait 21 sanctions et 147 mises en demeure. Le montant total des amendes sur l’année dépassait les 100 millions d’euros. Au niveau européen, depuis l’entrée en application du RGPD, les amendes représentent 2,5 milliards d’euros.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));