Que va contrôler la CNIL en 2021 ?

Outre les contrôles CNIL habituels liés à des plaintes, des sujets d’actualité dans le contexte de la crise sanitaire ou au respect de précédentes mesures correctrices, la CNIL choisit chaque année d’investiguer certains sujets jugés prioritaires.

En 2021, la CNIL va donc axer son action de contrôle sur 3 thématiques : la cybersécurité des sites web, la sécurité des données de santé et l’utilisation des cookies. Deux de ces thématiques –  la sécurité des données de santé et le respect des dispositions applicables aux cookies – s’inscrivent dans la continuité de sa stratégie de contrôle 2020.

La cybersécurité du web français

L’objectif de la CNIL est de contrôler le niveau de sécurité des sites web français les plus utilisés dans différents secteurs.

Les défauts de sécurité des sites web figurent parmi les manquements les plus souvent constatés lors des contrôles effectués par la CNIL. Dans son bilan annuel publié en juin 2020, la CNIL indiquait en effet que les défauts de sécurisation des données était un motif récurrent de plainte, et rappelait que les sanctions prononcées concernaient, entre autres mais principalement, la sécurité des données personnelles.

L’autorité de contrôle précise qu’elle portera plus particulièrement son attention sur les formulaires de recueil de données personnelles, l’utilisation du protocole HTTPS et la conformité des acteurs à la recommandation de la CNIL sur les mots de passe. La CNIL ajoute qu’elle interrogera aussi les organismes sur les stratégies mises en place pour se prémunir contre les rançongiciels.

La sécurité des données de santé

Pour l’année 2021, la CNIL souhaite poursuivre ses contrôles amorcés en 2020.

Ainsi, le contexte sanitaire actuel et les enjeux liés au développement de la numérisation du secteur de la santé (gestion des accès au dossier patient informatisé au sein des établissements de santé, plateformes de prise de rendez-vous médicaux en ligne, gestion des violations de données personnelles dans les établissements de soins) font de la sécurité des données de santé un sujet toujours d’actualité cette année.

Pour rappel, la CNIL publie régulièrement de la documentation pour aider les responsables de traitements du secteur de la santé à se mettre en conformité avec les règles en matière de protection des données personnelles et à élever le niveau de sécurité des données de santé.

Elle a par exemple publié trois référentiels pour le secteur de la santé en juillet 2020 (pour la gestion des traitements courants des cabinets médicaux et paramédicaux et pour les choix des durées de conservation), et plus récemment a partagé un article « questions-réponses » sur le Dossier Médical Partagé (DMP).

Le respect des règles applicables aux cookies et autres traceurs

De la même manière que pour la sécurité des données de santé, cette thématique de contrôle avait été initiée en 2020. En 2021, la CNIL poursuit ses contrôles, mais avec un périmètre plus large puisqu’à compter du mois d’avril, les vérifications pourront également porter sur les règles relatives au recueil du consentement prévues par ses lignes directrices et sa recommandation du 1er octobre 2020.

Comme indiqué, le délai de 6 mois laissé aux organismes pour se mettre en conformité aux nouvelles règles se termine en cette fin du mois de mars.

Pour les organismes qui ne seraient pas encore en conformité ou qui se posent encore des questions, la CNIL a mis à jour son article « questions/réponses » sur les lignes directrices et la recommandation sur les cookies et autres traceurs.

Cette Foire Aux Questions (FAQ) concentre au même endroit les réponses à un grand nombre de questions, qu’elles soient très générales (l’articulation entre les lignes directrices et la recommandation, le champ d’application, les nouveautés par rapport à la recommandation de 2013, la politique répressive de la CNIL, l’avancement du règlement européen « ePrivacy »…), ou plus précises (les traceurs de mesure d’audience, le recueil du consentement, les traceurs exemptés, les modalités de refus…).

En outre, la question de l’exemption de consentement pour les cookies de mesure d’audience étant une question récurrente et complexe du fait du grand nombre de solutions existantes, la CNIL a lancé un programme d’évaluation pour vérifier si une solution de mesure d’audience est effectivement exemptée de recueil du consentement.

Pour participer à ce programme, il est nécessaire de proposer une solution de mesure d’audience pour les sites web hébergés en France ou dont les utilisateurs en sont résidents.

Un formulaire de participation est à télécharger sur le site web de la CNIL et un dossier, composé dudit formulaire complété et d’un « guide de configuration » de la solution, peut être déposé avant le 30 juin 2021.

L’objectif de la CNIL est ensuite d’identifier si les éléments de configuration disponibles peuvent permettre aux fournisseurs concernés de proposer à leurs clients une offre de mesure d’audience exemptée de consentement.

Si le dossier est validé, la solution et le guide de configuration seront listés sur une page dédiée du site de la CNIL, et le fournisseur de la solution pourra publier un texte édicté par la CNIL pour faire état de la validité de sa solution pour l’exemption du consentement.

Sources :

Cybersécurité, données de santé, cookies : les thématiques prioritaires de contrôle en 2021

Questions-réponses sur les lignes directrices modificatives et la recommandation « cookies et autres traceurs » de la CNIL

Solutions de mesure d’audience exemptées de consentement : la CNIL lance un programme d’évaluation

Je partage