Par Charlotte Barraco-David & Géraldine Guillo
Le 2 mars 2021, la CNIL a publié sur son site Internet, la stratégie de contrôles qu’elle entend mener
pour l’année en cours.
Fortement influencée par l’actualité, la CNIL a choisi de concentrer ses actions de contrôles
programmés dans les domaines de la cybersécurité, de la sécurité des données de santé et du
respect de l’obligation de recueil du consentement en matière de cookies. Deux d’entre eux, la
sécurité des données de santé et l’utilisation des cookies, s’inscrivent dans la continuité de la stratégie
de contrôle retenue en 2020.
CYBERSÉCURITÉ
En premier lieu, la CNIL a observé que les défauts de sécurité des sites web français « figurent parmi
les manquements les plus souvent constatés lors des contrôles ». Forte de ce constat, la CNIL a décidé
de faire l’une de ses priorités de contrôle : « le niveau de sécurité des sites web français les plus utilisés
dans différents secteurs ». L’attention de la CNIL portera plus particulièrement sur « les formulaires de
recueils de données personnelles, l’utilisation du protocole HTTPS et la conformité des acteurs à la
recommandation de la CNIL sur les mots de passe ». (Communiqué CNIL). Elle a par ailleurs précisé
qu’elle interrogera les organismes sur les stratégies mises en place pour se prémunir contre les
rançongiciels.
Il n’est pas inutile de rappeler que la pandémie mondiale de Covid-19 a entraîné une forte
augmentation du nombre de cyberattaques. L’Agence nationale de la sécurité des systèmes
d’information (ANSSI) a ainsi constaté une augmentation de 255% des signalements d’attaques par
rançongiciel par rapport à l’année 2019 (Etat de la menace rançongiciel). Elle estime que les
rançongiciels constituent aujourd’hui « la menace informatique la plus sérieuse pour les entreprises et
institutions » (Rapport sur l’état de la menace rançongiciel). Il n’est dès lors pas surprenant de voir que
ce sujet retiendra l’attention de la CNIL lors de ses contrôles.
SÉCURITÉ DES DONNÉES DE SANTÉ
En deuxième lieu, la CNIL a annoncé son intention de poursuivre ses actions de contrôles amorcées en 2020 dans le domaine de la sécurité des données de santé. La récente fuite de données médicales de près de 500.000 personnes au mois de février 2021 (dont la CNIL annonce avoir obtenu en référé le blocage d’accès concernant un site internet qui les hébergeait : Communiqué CNIL), mais aussi les nombreux débats liés à l’application TousantiCovid, à la mise en place de la plateforme Health Data Hub ou encore aux récentes sanctions prononcées contre des médecins libéraux pour avoir utilisé des serveurs dont l’accès n’était pas protégé et qui permettaient la consultation et le téléchargement d’images médicales (Sanction sécurité données de santé et Sanction sécurité données de santé bis), sont autant d’éléments d’actualité qui ont dû inciter la CNIL à poursuivre ses efforts sur cette thématique pour 2021.
La CNIL a indiqué que les contrôles porteront notamment sur les conséquences liées aux progrès de la numérisation des données : gestion des accès au dossier patient informatisé au sein des établissements de santé, plateformes de prise de rendez-vous médicaux en ligne etc.
COOKIES ET AUTRES TRACEURS
Enfin, la CNIL a annoncé poursuivre une thématique déjà au centre de ses préoccupations ces dernières années : le respect de l’obligation (sauf exceptions, par exemple pour les cookies de session ou encore les outils de mesure d’audience les moins intrusifs) de recueil du consentement en matière de cookies et autres traceurs. La CNIL considère que le délai raisonnable pour mettre en conformité les sites web et applications mobiles à sa nouvelle doctrine a été suffisamment long ; dès octobre 2020, elle avait prévenu qu’elle laisserait jusqu’au 31 mars 2021 aux éditeurs concernés pour s’y plier (Publication nouvelle doctrine cookies). En effet, cette « nouvelle » doctrine résulte en réalité d’une mise en cohérence avec le RGPD, applicable depuis mai 2018 et :
➢ de lignes directrices publiées dès juillet 2019, modifiées en septembre 2020 seulement à la marge (concernant les fameux « cookies walls »),
➢ et d’une recommandation également adoptée en septembre 2020, exposant ce que le régulateur considère comme de bonnes pratiques (de celles qui lavent le linge plus blanc que blanc en quelque sorte).
Son principal objectif est de faire disparaître les bandeaux cookies sur le modèle du fameux adage « qui ne dit mot consent » que l’on voit encore souvent. La CNIL souhaite ainsi apporter des réponses aux inquiétudes des internautes, liées aux problématiques de traçage sur internet. Sans toutefois répondre à celle de certains professionnels pour qui le linge ne pourra jamais être plus blanc que blanc, pour filer la métaphore.
La CNIL pourrait bien démarrer assez rapidement les contrôles à ce titre. Elle n’a d’ailleurs pas attendu pour afficher sa détermination sur ce sujet puisque, dès la fin de l’année 2020, elle a (lourdement) sanctionné Google et Amazon pour leurs pratiques en matière de cookies, qui n’étaient déjà pas conformes à l’ancienne doctrine de la CNIL en la matière (Sanction Amazon cookies et Sanction Google cookies). Le ton est donné !
Dans ce contexte, la CNIL a lancé le 8 mars 2021, un programme d’évaluation (volontaire, sur dossier) des solutions de mesure d’audience du marché afin de déterminer celles qui sont effectivement exemptées de recueil du consentement préalable de l’utilisateur (Programme évaluation cookies exemptés). Même si cette évaluation n’a rien d’obligatoire, elle représente pour les éditeurs de solution de mesure d’audience souhaitant offrir des outils dispensés de consentement un avantage concurrentiel puisqu’ils seront « adoubés » par la CNIL. Il est donc probable qu’ils se ruent sur ce dispositif … et que la CNIL soit victime de son succès et ne parvienne pas à les évaluer avant la date couperet du 31 mars 2021. Par prudence, les éditeurs de sites et d’application les moins « gourmands » en données de suivi devraient se tourner vers les outils de traçage les moins intrusifs et garder trace de leurs vérifications du respect par les prestataires les fournissant des préconisations de la CNIL.
Pour les autres, la messe est dite depuis longtemps : qui ne dit mot ne consent plus !
Télécharger la Newsletter ICI
