Les thèmes prioritaires de contrôle de la Cnil en 2021 

Depuis plusieurs années, la Commission nationale de l’informatique et des libertés (ci-après « Cnil ») dévoile sa stratégie en matière de contrôle, en fixant des thèmes prioritaires. 

 

En effet, dans le cadre de ses missions, la Cnil dispose de plusieurs moyens pour veiller au respect de la réglementation sur la protection des données personnelles. Elle peut être amenée à effectuer quatre types de contrôles, expliqués ici : https://www.dcavocat.com/la-charte-des-contrôles-de-la-cnil.

 

Ces contrôles peuvent porter sur toutes les dispositions prévues par la réglementation. En 2020, 247 procédures formelles de contrôle ont été réalisées par la Cnil. 

 

Compte tenu de la diversité des thématiques en matière de données personnelles, la Cnil oriente ses contrôles autour de trois thèmes sur lesquels elle va se concentrer au cours de l’année. 

 

Cette année 2021, la Cnil, dans un communiqué du 2 mars 2021, a annoncé que les trois thèmes prioritaires de contrôle seront : 

 

  • la cyber sécurité des sites internet ;  

  • la sécurité des données de santé ; 

  • les cookies. 

 

La cyber sécurité des sites internet 

 

Dans son communiqué, la Cnil indique qu’en 2019, 24 % des notifications qu’elle a reçues concernaient des défauts de sécurité des sites internet. 

 

L’article 32 du RGPD impose au responsable du traitement de mettre en place toutes les mesures nécessaires afin de s’assurer que les données collectées, entre autre depuis les sites internet de la société, sont protégées.

 

Afin de se mettre en conformité avec la réglementation, les organismes disposant de sites internet doivent mettre en place un certain nombre d’actions.

 

De nombreux organismes ont déjà été sanctionnés pour manquement à l’obligation de sécurité des données personnelles. C’est par exemple le cas de la société Spartoo et de la société Carrefour France

 

La Cnil a annoncé qu’elle portera une attention particulière aux « formulaires de recueils de données personnelles, [à] l’utilisation du protocole HTTPS et [à] la conformité des acteurs à la recommandation de la Cnil sur les mots de passe ». 

 

  • Les formulaires de recueils de données personnelles 

 

À titre d’exemple, lors de la création d’un espace personnel, d’une inscription à une newsletter ou encore de l’envoi d’une demande de contact depuis un formulaire de contact disponible sur un site internet, la personne concernée va être amenée à renseigner ses données personnelles (telles que son nom, prénom et son adresse mail par exemple).

 

Dans ces cas de figure, une mention d’information doit apparaître au bas du formulaire de recueils de données personnelles, afin d’être conforme aux exigences de la réglementation sur les données personnelles. 

 

Dans un communiqué du 26 juillet 2019, la Cnil a publié plusieurs exemples de formulaire de collecte de données personnelles contenant les mentions de base à faire apparaître sous ces formulaires. 

 

  • Le protocole HTTPS 

 

Le protocole HTTPS est une extension sécurisée du protocole HTTP. Ce protocole permet d’établir un échange sécurisé des données entre un navigateur web et un site internet. En effet, dans le cadre du protocole HTTPS, les données échangées sont chiffrées et sécurisées, comme en témoigne le cadenas visible dans l’url du site internet. 

 

L’installation d’un certificat SSL/TLS permet d’activer le protocole HTTPS. 

 

  • La recommandation sur les mots de passe de la Cnil 

 

La Cnil estime que les mots de passe, composés de moins de huit caractères, sans critère de complexité, ne sont pas suffisamment sécurisés.

 

Pour qu’un mot de passe soit suffisamment sécurisé il doit être composé : 

 

- au minimum de douze caractères (lettre majuscule et minuscule, chiffre et un caractère spécial) ; 

 

- ou de huit caractères (contenant trois des quatre catégories de caractères cités précédemment) et être accompagné de mesures complémentaires tel que le blocage temporaire du compte après plusieurs tentatives de connexion infructueuses. 

 

La Cnil a publié en 2017 une recommandation complète à ce sujet, à lire à l’adresse suivante : https://www.cnil.fr/fr/mots-de-passe-des-recommandations-de-securite-minimales-pour-les-entreprises-et-les-particuliers

 

La sécurité des données de santé 

 

Les données de santé sont, en raison de leur nature, des données considérées comme sensibles. Ces données méritent donc une protection spécifique. Pour en savoir plus sur ces mesures, je vous invite à lire l’article dédié à ce sujet ici : https://www.dcavocat.com/le-traitement-des-données-de-santé.

 

En 2020, les données de santé constituaient déjà l’un des axes prioritaires de contrôle de la Cnil. 

 

Par ailleurs, dans deux délibérés du 7 décembre 2020, la Cnil a prononcé deux amendes de 3 000 et 6 000 euros à l’encontre de deux médecins libéraux pour manquement à l’obligation de sécurité des données et plus généralement à la règlementation sur les données personnelles dans le secteur médical. 

 

La récente fuite d’un fichier contenant les données de santé d’environ 500 000 personnes, en février 2021, démontre une fois de plus que les données de santé doivent faire l’objet d’une protection et d’une vigilance particulière. 

Les cookies 

 

Tout comme les données de santé, les cookies constituaient déjà un des thèmes prioritaires de contrôle de la Cnil en 2020. 

 

Par ailleurs, la Cnil a annoncé  dans un communiqué du 4 février 2021 que « le délai raisonnable pour mettre en conformité les sites web et applications mobiles aux nouvelles règles en matière de cookies ne saurait excéder le 31 mars 2021 ».

 

En 2020, dans des lignes directrices complétées par une recommandation, la Cnil a rappelé les règles à respecter dans le dépôt et l’utilisation de cookies.

 

 

Outre ces trois thématiques prioritaires, il convient de rappeler que la Cnil pourra également être amenée à effectuer des contrôles sur toutes les dispositions prévues par la réglementation sur la protection des données personnelles. 

 

Les organismes doivent donc veiller à se mettre en conformité avec la réglementation afin d’éviter une sanction. 

Par Debora Cohen - 10 mars 2021

  • LinkedIn Social Icône
  • Facebook
  • Instagram