Programme des contrôles 2016 : quelles thématiques prioritaires ?

12 mai 2016

En 2016, la CNIL réalisera entre 400 et 450 contrôles sur place, sur audition, sur pièces et en ligne. 

Les contrôles liés aux thématiques du programme annuel représenteront 25% de l’activité totale. Des contrôles seront en outre diligentés pour instruire les plaintes reçues par la CNIL (20%). Les vérifications effectuées à la suite de courriers d’observations, de mises en demeure ou de sanctions, ainsi que celles réalisées à l’initiative de la CNIL ou en lien avec des sujets d’actualité, représenteront pour leur part 35% de l’activité totale. Un volet de l’activité sera spécifiquement réservé à la vérification des dispositifs de vidéosurveillance et de vidéoprotection (20%).

Les thématiques retenues pour le programme annuel 2016 relèvent tant du secteur public que privé. Elles concernent des traitements portant sur la vie quotidienne des personnes, et s’inscrivent dans un contexte international.

Les thématiques retenues pour l’année 2016 sont les suivantes :

  • Le SNIIRAM : Le Système national d’information inter-régimes de l'assurance maladie (SNIIRAM) a été créé en 1999 et contient aujourd’hui plusieurs dizaines de millions d’enregistrements issus des demandes de remboursements de frais de santé (feuilles de soins, factures de cliniques, etc.). Les données collectées sont l’âge et le sexe du patient, le diagnostic de l’affection longue durée, la commune et le département de résidence, la date de décès ou encore les soins remboursés. Ces données sont « pseudonymisées », de manière à empêcher l’identification des patients concernés. Cette base de données nationale doit contribuer à une meilleure gestion de l’Assurance maladie et des politiques de santé, à améliorer la qualité des soins et à transmettre aux professionnels de santé les informations pertinentes sur leur activité. Les contrôles permettront de vérifier la conformité des traitements de données mis en œuvre avec l’ensemble des dispositions de la loi Informatique et Libertés, notamment la sécurité des données et la réalité de la pseudonymisation de ces dernières.
  • Le fichier API-PNR : Le système API-PNR (Advance Passenger Information-Passenger Name Record) est un fichier de contrôle des déplacements aériens, autorisé par la loi à titre expérimental en 2013. Il s'applique aux vols à destination et en provenance de pays étrangers et sert notamment à la lutte contre le terrorisme ou le trafic de drogue. Avec plus de 100 millions de personnes transportés par an, ce fichier, sensible au regard de la protection de la vie privée et de la liberté de mouvement, est géré par le ministère chargé des douanes et peut être consulté par les services de police, de gendarmerie et des douanes, ainsi que par les services de sécurité et de renseignement spécialisés. La CNIL, consultée lors de la mise en place du fichier, vérifiera le respect de la loi au regard des avis publiés en juillet 2014 et juillet 2015.
  • Les courtiers en données (Data Brokers) : Les entreprises utilisent toujours plus de données personnelles pour maximiser leur rentabilité et améliorer leurs performances commerciales, en analysant les centres d’intérêts de leurs clients, leur comportement, leurs habitudes. La commercialisation de ces données revêt une importance majeure et représente un marché en constante évolution, compte-tenu des nouveaux modes de collecte. La CNIL s’intéressera plus particulièrement aux intermédiaires faisant le lien entre les organismes collectant des données personnelles, et ceux les utilisant dans le cadre de leur activité économique. Le profilage, de plus en plus fin et pertinent, réalisé à partir de ces données constitue l’enjeu majeur de la protection de la vie privée du 21ème siècle. Dans ce cadre, il s'agira notamment pour la CNIL de veiller au respect des obligations de pertinence des données et d'information des personnes, de consentement et de respect des droits prévus par la loi « Informatique et Libertés » et, enfin, de sécurité.

Enfin, l’année 2016 sera de nouveau l’occasion pour la CNIL de coopérer avec les autres autorités de protection des données, au travers du quatrième volet du Sweep Day sur le thème des objets connectés. Cet audit portera sur les objets de domotique, de santé et de bien-être.

Les mots clés associés à cet article