• Données personnelles

    par brm_admin

    Rapport d’activité de la CNIL pour l’année 2016 : l’essentiel

    La Commission Nationale de l’Informatique et des Libertés a publié, ce lundi 27 mars 2017, son rapport d’activité pour l’année 2016. Celui-ci est notamment marqué par les principaux textes qui ont bouleversé, ou promettent de le faire rapidement, la protection des données à caractère personnel en France et en Europe.

    Tour d’horizon des principales observations dégagées par la CNIL dans ce rapport.

    Le Règlement Général sur la Protection des Données.

    Evidemment, le Règlement n°2016-678 retient toute l’attention de la Commission, qui participe activement, de façons diverses, à appréhender du mieux possible ce texte et à le clarifier, aussi bien pour les personnes concernées que pour les responsables de traitement. En effet, le RGPD représente un véritable changement de paradigme par le passage d’une logique de formalités préalables à une logique de conformité nécessitant un renouvellement profond de la doctrine de la CNIL en matière de protection des données à caractère personnel.

    Ainsi, en bref :

    • La CNIL travaille au projet de loi informatique et liberté 2, qui doit renouveler la loi n°78-17 actuellement en vigueur pour intégrer le RGPD, en participant aux groupes de travail organisés par le Ministère de la Justice. Le projet de loi devrait être déposé au Parlement au plus tard en juin 2017;
    • La CNIL anticipe la mise en œuvre du RGPD en diffusant une information concrète à destination des acteurs concernés et en participant aux travaux du G29 pour la rédaction de lignes directrices destinées à préciser les grands axes du RGPD. Celles relatives au consentement, au profilage et aux notifications de failles de sécurité devraient être disponibles courant 2017.

    La Doctrine de la Commission sur la biométrie

    L’importance des traitements biométriques ne cesse de croître, et la CNIL a ainsi reçu, en 2016, 1372 engagements de conformité à l’autorisation unique relative au contour de la main sur le lieu de travail (AU-007) ou encore 1899 engagements de conformité à l’autorisation unique relative à l’empreinte digitale sur le lieu de travail (AU-008).

    Considérant que l’évolution des techniques numériques rendait sa doctrine distinguant biométries « à traces » et « sans trace » obsolète, la Commission a revu sa copie, estimant désormais que toutes les biométries présentaient des risques élevés pour la vie privée des individus.

    De nouvelles autorisations uniques ont ainsi été adoptées (AU-052 et AU-053) et ont au passage intégréles exigences du RGPD en matière de privacy by design et de documentation. Un exemple d’analyse d’impact réunissant les conditions inscrites dans le Règlement y a par ailleurs été intégré.

    Enfin, la CNIL a été contrainte d’émettre un avis défavorable à la constitution du fichier biométriques TES (Titres Electroniques Sécurisés), considérant qu’au vu de ses exigences traditionnelles, le projet « n’était pas entouré de garanties suffisantes permettant d’assurer un haut niveau de protection des données ».

    L’Open data

    La Commission poursuit sa conformité à la Loi Pour une République Numérique d’octobre 2016, qui rend possible le libre accès aux données publiques, et rend accessible 9 jeux de données (à disposition sur son site internet). Un « pack de conformité » est aussi en rédaction, en collaboration avec la Commission d’Accès aux Documents Administratifs, afin d’accompagner les acteurs en charge de l’ouverture des données publiques.

    La Loi Pour une République Numérique

    Cette LPRN, justement, renforce les pouvoirs de sanction de la CNIL (portant les amendes administratives jusqu’à un montant maximum de 3 millions d’euros) et permet aux individus de mieux gérer le devenir de leurs données, tout en anticipant certaines dispositions du Règlement.

    7 décrets ont déjà reçus un avis de la CNIL, mais la Commission attend toujours d’être saisie pour 8 autres décrets.

    Le chiffrement

    La CNIL doit, également en vertu de la LPRN, promouvoir les techniques de chiffrement, ce qu’elle a fait en produisant de nombreux guides accessibles disponibles sur son site internet (Cf : https://www.cnil.fr/fr/comprendre-les-grands-principes-de-la-cryptologie-et-du-chiffrement ; https://www.cnil.fr/fr/comment-chiffrer-ses-documents-et-ses-repertoires).

    La Commission se prononce en outre contre les solutions visant à introduire des « backdoor » ou à conserver des « master keys » afin de permettre aux gouvernements d’accéder aux données chiffrées lorsqu’ils l’estiment nécessaires, considérant que de telles solutions affaibliraient le niveau de sécurité des personnes et ne seraient pas efficaces.

    Bilan d’activité

    La CNIL dresse de manière traditionnelle son bilan pour l’année 2016, et souligne une activité soutenue, notamment en matière de conseil et d’accompagnement.

    Quelques informations :

    • 7709 plaintes ont été reçues, dont 66% d’entre elles concernaient les secteurs internet / téléphonie / commerce ;
    • 41278 engagements de conformité à une norme simplifiée ont été reçus ;
    • Lancement de la rédaction du « pack de conformité » relatif aux véhicules connectés;
    • Attribution du premier label « coffre fort numérique» ;
    • 430 contrôles menés, 82 mises en demeure prononcées et 13 sanctions infligées ;
    • Création du Laboratoire d’Innovation Numérique (LINC).

    Programme de contrôle 2017

    Poursuivant une logique de contrôles complexes, alliant contrôles sur place, sur pièce, en ligne ou par convocation, la CNIL a identifié 3 thématiques pour l’année 2017, qui devraient représenter 25% de son activité annuelle :

    • La confidentialité des données de santé traitées par les sociétés d’assurance: la Commission veillera notamment à ce que le pack de conformité, lancé en 2015, soit effectivement pris en compte par les sociétés d’assurance ;
    • Les fichiers de renseignement: PASP (prévention des atteintes à la sécurité publique), GIPASP (gestion de l’information et prévention des atteintes à la sécurité publique), EASP (enquêtes administratives liées à la sécurité publique) et fichier STARTRAC relatif à la lutte contre le blanchiment d’argent ;
    • Les télévisions connectées: la Commission s’intéressera notamment aux systèmes de reconnaissance vocale intégrés à ces « SMART-TV » ainsi qu’aux conditions de traitement des données collectées par ces appareils connectés.

    Sujets de réflexion en 2017

    Enfin, la Commission communique sur les chantiers qu’elle a engagés pour l’année 2017. Ainsi, elle ambitionne de mener une réflexion sur les villes connectées et la place du citoyen, thème du 5ème cahier IP. Elle organise également des cycles de débats publics relatifs aux enjeux éthiques et aux questions de société soulevés par la place toujours plus importance que prennent les algorithmes et lancera, en outre, une nouvelle collection d’ouvrages dédiés à la protection des données à caractère personnel, « POINT CNIL », avec un premier numéro consacré aux données génétiques prévu pour juin 2017.

    En somme, une année 2016 très chargée pour la CNIL, et une année 2017 qui promet de l’être au moins tout autant !

    Martine RICOUART-MAILLET – Avocat associé

     Clyde COUTELLIER – Juriste