La cnil dévoile sa stratégie de contrôle pour 2018

La CNIL (Commission Nationale Informatique et Libertés), depuis 40 ans maintenant, réalise chaque année un certain nombre de contrôles visant à vérifier la conformité des organismes français (tous secteurs confondus) avec les normes françaises et européennes de protection des données à caractère personnel. Le 2 juillet, elle a dévoilé son programme de contrôles pour l'année 2018. | Publié le 04 juillet 2018 par Hermann K
oujours autant de contrôles qu'en 2017

Alors que l'entrée en vigueur du RGPD (Règlement Général sur la Protection des Données) est encore fraîche et à fait l'objet, ces dernières semaines, d'une certaine publicité, la CNIL ne compte pas augmenter le nombre de ses contrôles annuels par rapport à 2017, à savoir environ 300 (en raison sans doute de ses effectifs stagnants).

Ces contrôles, rappelons-le, se font à parts (presque) égales à la suite de réclamations et signalements à la CNIL, de vérifications effectuées à la suite de clôtures de dossiers contentieux, de mises en demeures ou de sanctions, à la suite de missions réalisées en fonction de sujets d'actualité ou encore sur des thématiques spécifiques.

Dans ce dernier cas, les organismes sont généralement contrôlés en fonction de leur taille ou importance dans le secteur visé sans forcément avoir fait l'objet de signalements ou de précédents contrôles.

Recrutement, agences immobilières et stationnements payants en premières lignes.

La CNIL, cette année, décide de s'attarder sur trois secteurs dans lesquels des données sensibles ou spécifiques sont traitées de manière régulière.

Le secteur du recrutement tout d'abord est visé du fait de l'évolution des pratiques des acteurs du domaine : l'utilisation de plus en plus fréquente d'algorithmes d'aide au recrutement, pouvant s'apparenter à du profiling, et les méthodes basées sur le "big data".

Les contrôles dans ce domaine auront pour objectif de vérifier les moyens déployés pour l'identification des candidats, les outils utilisés pour les évaluer et les conditions des traitements de données.

Les agences immobilières ensuite, à cause du nombre de pièces justificatives trop importantes demandées aux candidats à la location.

La CNIL remarque en effet que malgré le décret de 2015 fixant une liste limitative des pièces pouvant être demandées à ces candidats, de nombreuses pièces complémentaires continuent d'être demandées par les agences immobilières.

Enfin, de par la sensibilité des données relatives aux infractions de stationnement, et du fait que depuis janvier 2018 les collectivités territoriales peuvent confier à des prestataires le contrôle du paiement des redevances de stationnement et la notification des forfais de post-stationnements, la CNIL va porter son attention sur ces prestataires, leurs méthodes, et leur conformité au RGPD.

RGPD : une entrée en vigueur progressive

Malgré l'entrée en vigueur, depuis un peu plus d'un mois maintenant, du RGPD, la CNIL affirme de nouveau son intention intensifier ses contrôles RGPD de manière progressive.

Ainsi, les premiers contrôles resteront fortement semblables à ceux des années précédentes, s'axant principalement sur le respect de principes fondamentaux de la protection des données comme la loyauté du traitement, les durées de conservation des données, leur pertinence, etc.).

Elle compte de plus commencer à vérifier le respect de nouvelles obligations comme le droit à la portabilité ou la réalisation régulière d'EIVP / PIA (Etudes d'impact sur la Vie Privée).

Pas d'inquiétude donc : la CNIL assure tenir compte, dans un premier temps, de la "dynamique engagée par les organismes pour se conformer pleinement aux nouvelles exigences européennes".

Grossièrement : de leur bonne foi et volonté dans leur mise en conformité.

Sources :

Site officiel de la CNIL
Le géant du web se voit condamné à une amende sans précèdent de 746 millions d'euros pour non respect du RGPD. | 04 août 2021
L'Union européenne prévoit un règlement applicable sur l'Intelligence Artificielle semblable au RGPD. | 30 avril 2021
Publié le jeudi 15 avril, le nouveau rapport d'activité édité par Cybermalveillance.gouv.fr comporte de grandes parties sur les nouveaux services publiques, les chiffres de l'assistance … | 20 avril 2021