Plan de contrôle CNIL et Décryptage
Qu'est-ce que le plan de contrôle CNIL ?
La CNIL définit chaque année un plan de contrôle sur des sujets qu'elle définit comme "à forts enjeux". Historiquement, les thèmes prioritaires de contrôle représentent un tiers des contrôles de la CNIL. Ecoutez le détail de cet article en version podcast RGPD.
4 thèmes prioritaires de contrôle CNIL en 2023
- Contrôle de l’utilisation de caméras augmentées
- Contrôle des accès au dossier patient informatisé dans le secteur sanitaire et médico-social
- Contrôle des applications mobiles
- Contrôle de l'accès au fichier des incidents de remboursement de crédit aux particuliers
Contrôle de l’utilisation de caméras augmentées en 2023 (1/4)
Les caméras dites « intelligentes » ou « augmentées » sont des technologies mixant intelligence artificielle et vidéo-surveillance. L'IA peut ainsi analyse image par image, réaliser du profilage et des déductions à partir d'informations personnelles.
Ces mécanismes de surveillance sont notamment déployés par des collectivités territoriales, et font l’objet de nombreux questionnements sur la scène publique, médiatique, et questions à la CNIL. Il peut aussi s'agir de caméra dans les magasins permettant d'identifier combien de fois les passants s'arrêtent devant un rayon, quels chemins ils prennent dans les allées, etc.
Ces dispositifs se retrouvent aussi dans le cadre de manifestations sportives tels que la Coupe du monde de rugby en 2023 et les Jeux Olympiques de 2024. A noter que la CNIL a aussi déployé une "task force" dédiée à l'Intelligence Artificielle.
Contrôle des accès au dossier patient informatisé dans le secteur sanitaire et médico-social (2/4)
Vous avez peut-être entendu parler de mon espace santé ? Il s'agit d'une application web qui permet aux citoyens français de centraliser d'une part et de partager aux professionnels de santé et applications tierces d'autre part, leurs documents, analyses médicales, rapport de médecins et informations de santé gratuitement. Ce projet de numérisation de la santé pour faciliter le quotidien des particuliers impliquent de nombreux questionnements en matière de RGPD et le rapprochement de nombreux dispositifs publics tels que le Dossier Médical Partagé, la messagerie MS Santé, l'espace Ameli et privés, avec toutes les cliniques et applications qui viendront proposées leurs services. Ce transition implique aussi tous les établissements sanitaires tels que les hopitaux et SSR, ainsi que tous les établissements médico-sociaux traitant des données de santé de manière directes ou indirectes. Des vérifications ont déjà été engagées par la CNIL en 2022 et se poursuivront en 2023. Ce choix de prioriser les contrôles a été renforcé à la suite de plaintes reçues par la CNIL qui dénoncent des accès par des tiers non autorisés à des dossier patients.
Au même titre que des médecins ont été sanctionnés pour non conformité au RGPD, les contrôles qui vont être conduits par la CNIL auront aussi pour but d'identifier les mesures de sécurités numériques et physiques (documents papiers) mises en place pour protéger les informations personnelles des personnes.
Contrôle des applications mobiles (3/4)
L'éditeur d'application mobile, l'entreprise Voodoo a en déjà subi les frais avec une amende RGPD de 3 millions d'euros. En résumé, les fabricants de téléphones mettent à disposition des éditeurs des identifiants pour traquer les utilisateurs. Or, dans les règles de l'art (et du RGPD), vous et moi devrions être informés de cet usage. En pratique, ce n'est pas toujours le cas selon la CNIL. Suite à la sanction à l'encontre de Voodoo et d'autres entreprises dans le secteur, la CNIL souhaitent travailler à d'avantage de transparence et de leur conformité au RGPD des éditeurs vis-à-vis de leurs produits.
Contrôle de l'accès au fichier des incidents de remboursement de crédit aux particuliers (4/4)
Là, nous sommes sur une thématique complexe. En deux mots, le FICP de la Banque de France (fichier des incidents de remboursement de crédit aux particuliers) liste les incidents de paiement des personnes pour des besoins non professionnels, et informations relatives au surendettement. Avant l'octroi d'un crédit, sa consultation par les banques est obligatoire.
Avec les remous actuels autour du crédit, les éventuels risques de crises financière suite à la chute de la SVB et la récente décadence de la Banque Suisse, les données présentées sur le FICP sont cruciales, à la fois pour la bonne marche de système de crédit et à la fois pour les particuliers, qui pourraient se voir refuser un crédit sur la base d'informations erronées ou auxquelles les banques ne devraient pas avoir accès. Avec l'augmentation des cyberattaques, la sécurisation de ces données est aussi un enjeu particulièrement fort. En pratique, les contrôles de la CNIL devraient porter sur les conditions dans lesquelles les banques accèdent au fichier, en extraient des informations et le tiennent à jour après régularisation des incidents de paiement.
Quelles étaient nos prédictions pour 2023 ?
Les prédictions sur le plan de contrôle 2023 ont été réalisées à la mi-février, avant publication par la CNIL le 15 mars.
Les objets connectés et les caméras de vidéosurveillance (désormais intégrés dans notre quotidien) sont des domaines dans lesquels le RGPD impose des règles strictes en matière de collecte, de traitement et de stockage de ces données. La CNIL a notamment lancé une consultation sur la vidéosurveillance dans les Ehpad.
L'usage de l'intelligence artificielle, omniprésente sur les réseaux avec Chat GPT et Midjourney, implique des risques en matière de conformité car les IA aspirent la data (machine learning), peuvent potentiellement extraire les données collectées et prendre des décisions automatisées sur la base de données personnelles.
Les traceurs utilisés pour collecter des données sur les utilisateurs de sites web ou d'applications sont à la fois de plus en plus performants et à la fois régulièrement attaqués par les autorités. Avec les sanctions, avis et consultations récentes en la matière, il est probable que la CNIL maintiennent sa volonté répressive pour respecter les droits des personnes (consentement éclairé et explicite).
Les données sensibles telles que les données de santé ou informations relatives aux mineurs, collectées et traitées par les établissements sanitaires et médico-sociaux pourraient être une priorité de la CNIL étant donné le nombre important de cyberattaques menées sur les hôpitaux et cas de violation de données recensées dans ces secteurs.