Chaque année, la Cnil conduit des centaines de contrôles (345 en 2022) qui peuvent faire suite à des plaintes, des signalements de violations de données ou à des évènements dans l’actualité. 2023 ne manquera pas à l’appel puisque l’organisme de contrôle a décidé d’orienter sa politique de contrôle sur des sujets à fort enjeux pour le public. Au programme : l’utilisation des caméras dites « augmentées », l’utilisation du fichier des incidents de crédit aux particuliers ainsi que la gestion des dossiers de santé et les applications mobiles. Elle souhaite ainsi s’assurer que les bonnes pratiques sont bel et bien appliquées et que les secteurs choisis sont bien en conformité avec la loi et les recommandations de la Cnil.
Le premier point, qui concerne le développement de caméras dites « augmentées » notamment par des collectivités territoriales, est peut-être celui auquel la Cnil est le plus attaché. En effet, elle a fait de cette thématique un axe prioritaire de son plan stratégique 2022-2024. Cela se traduit par la mise en œuvre d’une série d’actions qui comportent un accompagnement des acteurs privés et publics, mais aussi la réalisation de contrôles. L’organisme admet par ailleurs que de nombreuses questions lui sont régulièrement posées à ce sujet. En effet, le recours à ces dispositifs est notamment prévu dans le cadre de manifestations sportives de grande ampleur prévues en 2023 (Coupe du monde de rugby) et en 2024 (Jeux olympiques à Paris). La Cnil a ainsi organisé une consultation publique avant de prendre position sur cette technologie. Concernant l’utilisation du fichier des incidents de crédit aux particuliers (FICP) de la Banque de France, l’enjeu est également fort puisque les informations recensées peuvent constituer un frein pour les personnes impactées dans leurs démarches futures ainsi que lors de leurs échanges avec les banques. Pour rappel, ce fichier contient des informations sur les incidents de paiement caractérisés liés aux découverts et aux crédits accordés pour des besoins non professionnels, ainsi que les informations relatives aux situations de surendettement. Sa consultation par les banques est obligatoire, notamment avant tout octroi de crédit. Les contrôles effectués par la Cnil porteront sur « les conditions dans lesquelles les banques accèdent au fichier, en extraient des informations et le tiennent à jour après régularisation des incidents de paiement » précise-t-elle.
E-dossier patient et applications mobiles également dans le viseur
La Cnil et le ministère en charge de la santé ont, ces dernières années, échangé à de nombreuses reprises sur la sécurité des données de santé, par exemple concernant la politique générale de sécurité des systèmes d’information en santé (PGSSI-S), le dossier médical partagé (DMP), la carte de professionnel de santé (CPS-eCPS), le service « pro Santé connect », rappelle l’organisme. La sécurité des données de santé a également été au cœur des préoccupations lors de la crise liée à la pandémie de Covid-19. Ainsi, c’est sans grande surprise que cette thématique est retenue au titre de sujet de contrôle en 2023 comme en 2020 et en 2021. La Cnil indique que des vérifications ont déjà été faites sur l’accès au dossier patient informatisé (DPI) en 2022 et se poursuivront cette année, notamment en raison des plaintes reçues dénonçant des accès par des tiers non autorisés à des DPI au sein d’établissements de santé.
Du côté du traçage des utilisateurs par les applications mobiles, la Cnil souhaite poursuivre le travail déjà effectué sur des applications qui accèdent aux identifiants générés par les systèmes d’exploitation mobiles en l’absence de consentement des utilisateurs. Cela fait suite à la modification de la recommandation sur l’utilisation de cookies et autres traçeurs. Pour rappel, elle cible ce qu’elle appelle « l’usage systématique des identifiants » mis à disposition des éditeurs d’apps par les fabricants de téléphones. Cette pratique est vue comme un équivalent « mobile » de l’utilisation massive des cookies sur les sites web et s’effectue bien souvent sans l'information ou le consentement des utilisateurs. Fin novembre 2022, elle annonçait un plan d’action visant à rappeler à l’ordre le secteur et informer les utilisateurs des dangers existants. Plus récemment, en janvier, elle a lancé un appel à contributions portant sur l’exploration économique de cet écosystème des apps mobiles.