La CNIL (commission nationale de l’informatique et des liberté) a publié la semaine dernière son bilan 2016. Elle y mentionne entre autres que 7 703 plaintes lui ont été adressées. Celles-ci ont principalement concerné l'e-réputation (diffusion de données personnelles sur Internet, 33% des cas) et les opérations de prospection marketing ou commerciales par courrier électronique (33% également). Les autres cas sont liés aux ressources humaines (vidéosurveillance notamment), au secteur de la banque et du crédit, ainsi qu'au secteur de la santé et du social. Dans ce dernier domaine, les plaintes ont porté sur la difficulté à accéder à son dossier médical ou sur la création de dossiers pharmaceutiques sans consentement, précise la Commission.
L’an dernier, le régulateur des données personnelles a de son côté effectué 430 contrôles en combinant différents modes d’intervention. Il a ainsi réalisé 300 contrôles sur place, une centaine en ligne et une trentaine sur pièces et convocation. Lorsqu’un contrôle en ligne illustre des manquements, des agents se déplacent pour vérifier la situation. Cela s’est produit 20 fois l’an dernier, en débouchant sur 4 avertissements dont un public adressé au Parti Socialiste, en raison d’une faille sur sa plateforme de primo-adhésions. Un autre avertissement public a été adressé à l'entreprise Ricard pour défaut de sécurisation des données d'un programme de fidélité accessible sur le web.
Assurance maladie : gestion jugée « globalement satisfaisante »
En 2016, seules 15% des missions ont été engagées à la suite de plaintes reçues par la CNIL. Sur l’ensemble des contrôles, 20% ont porté sur les dispositifs de vidéoprotection situés dans des lieux publics. Parmi les irrégularités les plus fréquentes dans ce domaine, la Commission note le défaut d’autorisation préfectorale, l’information du public et un accès aux images et enregistrements mal protégé. Le plus souvent, les systèmes ont été mis en conformité à la suite de sa visite, assure-t-elle. Par ailleurs, 20% de ses contrôles sur les traitements des données personnelles ont été faits dans le cadre des trois thématiques de son programme 2016 : le Sniiram (système national d’information inter-régimes de l’assurance maladie), les courtiers en données et l’API-PNR (fichier de contrôle des déplacements aériens).
L’énorme base de données santé Sniiram est l’une des plus importantes au monde, souligne le régulateur. Il a constaté, d’après les missions qu’il a effectuées auprès de la CNAMTS et de ses prestataires, que la gestion de ce système était « globalement satisfaisante au regard de la loi Informatiques et Libertés ». Il continue néanmoins ses analyses. Sur les courtiers en données, la CNIL a effectué plus de 50 contrôles qui ont permis d’identifier les différents acteurs en présence et leur rôle dans le traitement des données. Elle indique qu’elle adoptera en 2017 les mesures qui s’imposent. Concernant le système API-PNR (Advance Passenger Information - Passenger Name Record), il ne s’agit que des premières vérifications sur ce fichier autorisé à titre expérimental en 2013 et les contrôles vont se poursuivre, indique la CNIL.
2017, période de transition majeure
Pour l'année en cours, le régulateur va continuer à combiner ses différentes stratégies de contrôle : sur place, en ligne, sur pièces et sur convocation. Trois nouvelles thématiques ont été retenues pour 2017 : la confidentialité des données de santé traitées par les sociétés d’assurance, les télévisions connectées et les fichiers de renseignement. Concernant ces derniers, la CNIL prévoit de vérifier notamment les fichiers de prévention des atteintes à la sécurité publique utilisés par le ministère de l’Intérieur. Ceux-ci qui regroupent les anciens dossiers des renseignements généraux (PASP, GIPASP et EASP). Le régulateur contrôlera aussi le fichier Startrac regroupant les déclarations de soupçons de blanchiment d’argent transmis à Tracfin.
Par ailleurs, les sanctions sont susceptibles de s’alourdir pour les entreprises qui ne respectent pas les règles. La loi du 7 octobre 2016 pour une République numérique en a en effet multiplié le montant par 20. La CNIL pourra donc aller jusqu’à 3 millions d’euros suivant le type d’infraction. Enfin, en 2018, le prochain règlement général européen (RGPD, en anglais GDPR) sur la protection des données entrant en application le 25 mai 2018 va lui aussi alourdir les sanctions puisqu’il pourra être réclamé jusqu’à 4% du chiffre d’affaires mondial d’une entreprise en cas d’infraction. La CNIL prépare la mise en place de ce règlement avec ses homologues européens.
Commentaire