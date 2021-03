Programme de contrôles de la CNIL pour 2021 : l’AFCDP recommande des actions prioritaires

mars 2021 par AFCDP

Sans grande surprise, au-delà des contrôles induits par des plaintes ou par l’actualité, la CNIL entend se focaliser sur trois grandes thématiques :

la cybersécurité des sites web ;

la sécurité des données de santé ;

l’utilisation des cookies.

Un programme sans surprise

La CNIL justifie les contrôles sur la sécurité des sites web par le fait que les défauts à ce sujet sont fréquents et peuvent conduire à des violations de données, dont le nombre a fortement augmenté en 2020. La Commission entend donc contrôler, en particulier, les formulaires de collecte de données, l’usage de protocoles sécurisés (HTTPS), l’application de ses recommandations sur les mots de passe et les stratégies de lutte contre les rançongiciels. Largement induits par le contexte sanitaire, les contrôles sur la sécurité des données de santé ont pour but de vérifier la conformité des traitements et de veiller au plus haut niveau de sécurité au profit des personnes concernées. Cette partie du programme de la CNIL n’est que la poursuite des actions entamées en 2020.

Enfin, la CNIL prévoit le renforcement de ses contrôles sur l’utilisation des cookies et autres traceurs, qu’elle va accentuer à partir du 1er avril 2021 en insistant sur les modalités de recueil du consentement, selon les lignes directrices et la recommandation qu’elle a publiées le 1er octobre 2020. La CNIL insiste sur son souhait de répondre aux attentes des internautes, dont les plaintes portent de plus en plus sur le traçage sur l’internet, et précise qu’elle entend continuer à collaborer avec les autres autorités de contrôle européennes pour les questions liées aux transferts transfrontaliers, y compris pour des opérations de contrôle conjointes.

L’AFCDP recommande d’intégrer le programme de la CNIL dans les priorités des responsables de traitement

L’AFCDP souhaite attirer l’attention de ses membres professionnels de la protection des données, et en particulier les Délégués à la protection des données (DPD/DPO) sur les impacts du programme de la CNIL, et les actions à prévoir pour éviter les déconvenues.

L’attention de la CNIL sur les conditions de sécurité des traitements confirme que ce sujet doit être pris à bras le corps par les DPD/DPO : la sécurité fait d’ailleurs l’objet d’obligations rappelées à l’article 32 du Règlement Européen sur la Protection des Données (RGPD).

L’AFCDP recommande aux DPD/DPO de se rapprocher des responsables de la sécurité de systèmes d’information (RSSI) et d’élaborer des plans d’action communs pour évaluer le niveau de sécurité des traitements, et corriger les failles éventuelles.

Cookie : un sujet sensible

L’AFCDP rappelle que dans leurs missions, les DPD/DPO doivent contribuer à la conformité des traitements de leurs organismes respectifs sans entraver leurs activités, mais aussi à s’assurer du respect des droits des personnes concernées.

Dans ce contexte, l’AFCDP recommande aux DPD/DPO de procéder sans délai à un inventaire exhaustif de tous les sites web mis en œuvre par leur organisme, et d’y vérifier la présence cookies ou de tout autre type de traceurs. Ces vérifications doivent intégrer les traceurs mis en œuvre par des tiers. Il convient alors, pour chaque cookie identifié, et selon la catégorie à laquelle il appartient, d’appliquer les recommandations de la CNIL en matière d’information, et dans certains cas de vérifier la présence et les modalités du recueil du consentement.

En particulier, comme elle l’a largement expliqué, la CNIL entend être vigilante sur les informations fournies aux internautes, et sur la faculté qui doit leur est donnée de ne pas accepter les cookies de traçage. L’AFCDP continue à suivre ces questions avec attention et à apporter son soutien à ses membres, en particulier au travers de son réseau social privé, source d’entraide entre DPD/DPO.

À propos de l’AFCDP - www.afcdp.net L’AFCDP, créée dès 2004, regroupe plus de 6 000 professionnels de la conformité au RGPD et à la Loi Informatique & Libertés – dont les Délégués à la Protection des Données (DPD ou DPO, pour Data Protection Officer). Si l’AFCDP est l’association représentative des DPD, elle rassemble largement. Au-delà des professionnels de la protection des données et des DPD désignés auprès de la CNIL, elle regroupe toutes les personnes intéressées par la protection des données à caractère personnel. La richesse de l’association réside – entre autres – dans la diversité des profils des adhérents : DPD, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.