Un nouveau référentiel de la Cnil pour la prospection commerciale.
En février 2022, la Cnil [1] a pris la décision de publier un nouveau référentiel [2] intitulé « gestion commerciale [3] », contenant des règles à suivre relatives à la réalisation d’actions de prospection commerciale [4] et des ressources permettant de conseiller les professionnels dans leur mise en conformité au regard du Règlement général sur la protection des données (ci-après « RGPD »).
Le développement des outils de surveillance liés au télétravail.
Les professionnels de tous les secteurs ont massivement recouru au télétravail depuis la crise sanitaire causée par l’épidémie de covid-19 [5]. Cela a provoqué le développement d’outils permettant notamment une étroite surveillance des employeurs sur les activités de leurs salariés.
En réaction à cela, la Cnil a émis des recommandations pour les employeurs [6] concernant les bonnes pratiques à respecter afin de ne pas porter atteinte à la vie privée des salariés et contrôler de manière légitime leurs activités.
L’utilisation des technologies de l’informatique en nuage.
L’utilisation des technologies de l’informatique en nuage (plus connues sous le nom de « cloud ») présente des dangers pour la protection des données personnelles.
Il y a notamment des risques de transfert de données personnelles [7] hors de l’Union européenne vers des pays ne respectant pas les dispositions du RGPD. La Cnil fait particulièrement attention à l’encadrement des relations contractuelles entre responsables de traitement et sous-traitants fournisseurs de solution cloud.
Les usages des caméras « augmentées ».
La thématique des usages des caméras « augmentées » [8] est un axe prioritaire du plan stratégique 2022-2024 [9] de la Cnil. La Cnil accompagne les acteurs privés et publics dans cette utilisation et effectue également des contrôles. Ces contrôles [10] ont pour objectif de vérifier le respect du cadre légal par les acteurs privés et publics.
Le fichier des incidents de remboursement de crédit aux particuliers.
Le fichier des incidents de crédit aux particuliers (ci-après « FICP ») de la Banque de France contient les informations sur les incidents de paiement liés aux découverts, crédits et aux situations de surendettement. Les banques ont l’obligation de consulter le FICP avant d’accorder un crédit.
Les informations dans le FICP sont primordiales pour les particuliers. En effet, ces derniers peuvent se voir accorder un crédit ou non selon ces informations. Il est donc important que les données inscrites dans le FICP soient exactes. Les durées de conservation des données et les conditions de gestion de ces données doivent être respectées.
En 2023, la Cnil contrôlera les conditions d’accès des banques au FICP, la manière dont ces dernières extraient les informations et leurs mise à jour après que les particuliers ont régularisé les incidents de paiement.
L’accès au dossier patient informatisé au sein des établissements de santé.
L’accès au dossier patient informatisé au sein des établissements de santé [11] est une thématique prioritaire choisie par la Cnil pour l’année 2023. La Cnil porte son attention sur la sécurité des données de santé [12] des patients concernant l’ensemble des établissements de santé.
La Cnil a déjà effectué des vérifications sur l’accès au dossier patient informatisé (ci-après « DPI ») en 2022, qui continueront en 2023. La Cnil a choisi de faire ces vérifications en réaction aux plaintes reçues dénonçant l’accès à des DPI par des tiers n’ayant pas d’autorisation.
La Cnil s’engage à effectuer des contrôles sur l’ensemble des mesures mises en place pour la sécurité des données de santé [13].
Le suivi des utilisateurs par les applications mobiles.
Les identifiants sur les applications mobiles sont l’équivalent des cookies [14] déposés sur les sites internet [15], et sont mis à disposition des éditeurs d’applications par les fabricants de téléphones. Ces identifiants permettent un suivi des utilisateurs à des fins publicitaires ou techniques et sont souvent utilisés de manière systématique en l’absence de l’information ou le consentement des utilisateurs.
La Cnil a effectué plusieurs contrôles sur des applications mobiles accédant aux identifiants générés par les systèmes d’exploitation mobiles sans le consentement des utilisateurs et continuera ces contrôles durant l’année 2023.