Contrôles : bilan 2016 et programme 2017

31 mars 2017

La CNIL dresse le bilan de son activité de contrôle de 2016, au regard des objectifs annuels qu’elle s’était fixés. C’est également l’occasion de présenter son programme de contrôle pour 2017, à l’aube du règlement européen. 

Bilan 2016

En 2016, la CNIL a effectué 430 contrôles sur place, sur convocation, sur pièces et en ligne. Pratiquement 300 contrôles ont été effectués sur place, pour une centaine de contrôles en ligne. Les contrôles sur pièces et sur convocation, adaptés notamment aux organismes établis hors de France, ont représenté une trentaine de missions.

La combinaison de différents modes d’intervention a été mise en œuvre avec succès dans de nombreuses missions constatant des violations de données (« failles de sécurité » ou « fuites de données ») : après un contrôle en ligne figeant la preuve de manquements, des agents habilités se déplacent auprès de l’organisme concerné pour procéder à des constatations complémentaires. Une vingtaine d’opérations de ce type ont pu être menées en 2016, qui ont d’ores et déjà donné lieu à 4 avertissements, dont l’un public.

  1. Vidéoprotection : quels sont les manquements les plus courants ?

20% des contrôles ont porté sur des dispositifs de vidéoprotection installés dans des lieux ouverts au public, soumis au code de la sécurité intérieure. Les irrégularités les plus fréquemment constatées portent sur :

  • l’autorisation préfectorale (défaut d’autorisation ou autorisation expirée) ;
  • l’information du public (panneaux absents, peu lisibles ou incomplets) ;
  • la sécurité (accès aux images et aux enregistrements insuffisamment protégé).

Les organismes contrôlés, notamment des collectivités territoriales, ont le plus souvent, mis leurs dispositifs en conformité après les constats de la CNIL.

  1. Le programme annuel 2016

20% des contrôles portant sur des traitements de données à caractère personnel ont été réalisés dans le cadre des thématiques du programme annuel 2016 :

  • Le SNIIRAM : la CNIL a procédé à une dizaine de contrôles portant sur le système national d’information inter-régimes de l'assurance maladie (SNIIRAM), l’une des plus grandes bases de données de santé au monde. Créé en 1999 et mis en œuvre par Caisse nationale de l’assurance maladie des travailleurs salariés (CNAMTS), il contient plusieurs dizaines de millions de données de santé issues des demandes de remboursements de frais de santé (feuilles de soins, factures de cliniques, etc.). Les missions ont été conduites auprès de la CNAMTS et de ses prestataires, ainsi que d’organismes utilisateurs des données du SNIIRAM. Les premiers éléments constatés indiquent que la gestion du système est globalement satisfaisante au regard de la loi Informatique et Libertés. Toutefois, la CNIL poursuit son analyse sur la sécurité et la confidentialité des données, au regard de la sensibilité de ces dernières et du nombre de personnes concernées.

 

  • Les courtiers en données : la CNIL a effectué plus de cinquante contrôles auprès des différentes catégories d’acteurs intervenant dans le courtage de données (Data brokers), intermédiaires qui agrègent, enrichissent, transforment et commercialisent les données personnelles. Les contrôles ont permis d’identifier ces acteurs et leur rôle dans le traitement de données collectées par certains et réutilisées par d’autres. Les vérifications ont porté sur le fondement légal des traitements, les conditions de collecte des données, leurs durées de conservation, l’information des personnes et la faculté pour elles d’exercer leurs droits, les mesures de sécurité mises en œuvre. Au vu des constats effectués, la Commission adoptera les mesures qui s’imposent en 2017.

 

  • API-PNR : le système API-PNR (Advance Passenger Information - Passenger Name Record), fichier de contrôle des déplacements aériens autorisé par la loi à titre expérimental en 2013, a fait l’objet de premières vérifications auprès des services ministériels concernés. Toutefois, compte tenu du report du déploiement définitif du dispositif, les contrôles menés par la CNIL ont vocation à se poursuivre une fois le dispositif déployé, courant 2017.
  1. Les contrôles faisant suite à des signalements (plaintes, presse)

15% des missions ont été initiées à la suite de plaintes reçues par la CNIL, provenant par exemple d’employés signalant des pratiques de surveillance excessive de leur employeur (géolocalisation, vidéosurveillance, etc.), mais aussi de citoyens se plaignant de recevoir des messages de prospection politique ou encore de clients signalant des difficultés à exercer leur droit d’opposition à la réception de messages publicitaires.

Plus de la moitié des missions faisaient suite à des indications telles que des alertes dans la presse, des éléments recueillis lors de contrôles antérieurs, des signalements internes ou externes (dénonciations de violations de données, signalements DGCCRF ou inspection du travail, etc.).

Au programme 2017

Alors que s’est ouverte une période de transition majeure, la Commission va poursuivre en 2017 la mise en œuvre de stratégies de contrôle complexes, combinant contrôles sur place, sur pièces, sur convocation ou en ligne, en fonction des manquements potentiels. En lien avec ses homologues, elle prépare la mise en application des procédures de coopération prévues par le règlement européen.

La loi du 7 octobre 2016 pour une République numérique a en effet multiplié par 20 le montant des sanctions pouvant être prononcées par la CNIL (3 millions d’euros). Le règlement européen les multipliera à nouveau, à compter de mai 2018, pour atteindre 4% du chiffre d’affaires mondial. Il prévoit également de nouveaux mécanismes de coopération entre autorités européennes, à commencer par les opérations de contrôle conjointes.

En 2017, les contrôles liés aux thématiques du programme annuel devraient représenter 25% de l’activité totale. Les thématiques retenues relèvent tant du secteur public que privé. Elles concernent des traitements portant sur la vie quotidienne des personnes mais aussi des fichiers régaliens à forts enjeux.

Les 3 thématiques retenues pour l’année 2017 sont les suivantes :

  • La confidentialité des données de santé traitées par les sociétés d'assurance : les sociétés d'assurance recueillent des données relatives à l'état de santé de leurs clients, dans le cadre de nombreux contrats. Ces données constituent un élément essentiel d’évaluation du risque qui conditionne l’engagement de l’assureur. Elles sont également recueillies lorsqu'un assuré demande l'indemnisation d'un sinistre relatif à son état de santé. Un pack de conformité a été publié par la CNIL en novembre 2014, qui encadre notamment le traitement de données de santé au regard de l'obligation de secret médical. Il fait expressément référence à la convention dite "AERAS", signée par les différents acteurs du secteur pour encadrer l'usage des données de santé.

Cette thématique permettra de s'assurer de la conformité des sociétés d'assurance aux règles de confidentialité des données de santé et au respect du secret médical, deux ans après l'adoption du pack de conformité.

  • Les fichiers de renseignement : plusieurs fichiers intéressant la sûreté de l'Etat, la défense ou la sécurité publique feront l’objet de vérifications de la CNIL. Il s’agit notamment des fichiers de prévention des atteintes à la sécurité publique autorisés par décret et mis en œuvre par les services du ministère de l'Intérieur, dans lesquels ont été versés les anciens dossiers des renseignements généraux : PASP (Prévention des Atteintes à la Sécurité Publique), GIPASP (Gestion de l'Information et Prévention des Atteintes à la Sécurité Publique) et EASP (Enquêtes Administratives liées à la Sécurité Publique).

Les contrôles porteront sur le fonctionnement général de ces fichiers tout comme sur le respect des dispositions réglementaires applicables. Des vérifications porteront également sur le fichier STARTRAC, lui-aussi autorisé par décret et comprenant les déclarations de soupçons de blanchiment d'argent transmises au service à compétence nationale TRACFIN.

  • Les télévisions connectées (« Smart TV ») : la télévision connectée offre de nouveaux services aux téléspectateurs, comme la télévision de rattrapage, la vidéo à la demande ou l’accès aux plateformes de vidéos en ligne. Elle permet à l’usager d’interagir au moyen de nombreux supports sur les réseaux sociaux. Certains modèles dotés de technologies de reconnaissance vocale permettent d'analyser la voix de l'utilisateur afin d'exécuter ses instructions. Les informations recueillies sont susceptibles de révéler de nombreux aspects de la vie privée des utilisateurs, en particulier leurs habitudes de vie.

Les contrôles prévus porteront sur les traitements de données collectées par les télévisions connectées, en particulier la pertinence des informations recueillies, la finalité des traitements effectués ainsi que les mesures de sécurité et de confidentialité mises en œuvre.

 

Des contrôles seront aussi diligentés pour instruire les plaintes reçues par la CNIL (20%). Les vérifications effectuées à la suite de courriers de rappels à l’observation de la loi, de mises en demeure ou de sanctions, ainsi que celles réalisées en fonction des sujets d’actualité, représenteront 40% l’activité totale. Un volet sera spécifiquement réservé à la vérification des dispositifs de vidéosurveillance et de vidéoprotection (15%).

Enfin, 2017 sera l’occasion pour la CNIL de participer, pour la cinquième année consécutive, au Sweep Day sur le thème du contrôle par les utilisateurs de leurs données à caractère personnel (conditions d’exercice de leurs droits par les personnes et dispositifs mis en place par les organismes).

Texte reference

Les mots clés associés à cet article