Le 15 mars 2023, la Commission nationale de l’informatique et des libertés (ci-après la « CNIL ») a rendu publiques ses thématiques prioritaires de contrôle en 2023.
Elle identifie ainsi 4 axes prioritaires, à savoir :
- les caméras « augmentées »
- les applications mobiles ;
- les fichiers bancaires, et ;
- les dossiers patients.
A propos des caméras « augmentées »
Les caméras « augmentées » ou « intelligentes » sont des dispositifs qui permettent, en plus de simplement filmer, une analyse automatique des images captées.
A usage multiple, son déploiement est un enjeu majeur pour la CNIL, notamment dans le contexte de grandes manifestations sportives telles que la Coupe du monde de rugby en 2023 et les Jeux olympiques en 2024.
En juillet 2022, la CNIL avait déjà publié sa position quant à l’utilisation de ces caméras. Elle avait alors reconnu l’usage du dispositif aux fins de création de statistiques et de données d’analyses (le nombre d’utilisateurs quotidien d’une piste cyclable, la fréquentation d’un transport en commun pour en déterminer la fréquence etc.).
Cependant, elle a rappelé que la loi ne permettait pas leur utilisation aux fins d’analyser, de détecter ou de poursuivre des infractions. Une autorisation légale spécifique serait nécessaire.
En effet, cette utilisation permettrait à l’algorithme de prévenir en temps réel les autorités compétentes en cas de détection d’un comportement suspect ou du départ d’un mouvement de foule par exemple.
Une proposition de loi a été examinée par le Sénat en ce début d’année 2023. Elle permettrait notamment l’expérimentation de ces caméras « augmentées » jusqu’au 30 juin 2025.
Ces dispositifs seraient alors mis en place de manière spécifique, aux abords des enceintes sportives ou des transports desservant ces lieux par exemple mais aussi de tous les lieux particulièrement exposés à des risques d’attentat ou d’atteinte aux personnes.
La CNIL a ainsi fait le choix de prioriser ce sujet afin d’en vérifier le cadre légal et de s’assurer que la multiplication de ces caméras « augmentées » ne modifie pas notre rapport à l’espace public.
Sur les applications mobiles
Le traçage des utilisateurs par les applications mobiles correspond, selon la CNIL, à une thématique majeure de l’année 2023.
Elle souhaite donc porter son attention appuyée aux applications qui, souvent sans le consentement de l’utilisateur, ont accès aux données liées aux systèmes d’exploitation mobiles (types Apple IDFA, IDFV, Google AAID etc.).
Ces systèmes d’exploitation comprennent une quantité importante d’informations nominatives et personnelles. Ils sont également composés de nos données de localisation, de certaines données bancaires ou encore de nos contacts.
Le traçage numérique a pris une place importante dans le cadre de la lutte contre le virus du Covid-19, notamment avec des applications nécessitant cet outil afin de prévenir l’utilisateur en cas de contact ou proximité avec une personne ayant contracté le virus.
Néanmoins, certaines applications accèdent aujourd’hui aux systèmes d’exploitation sans le consentement libre et éclairé de l’utilisateur.
La CNIL a déjà entamé un travail important de recommandation sur l’utilisation des cookies et conduit des travaux sur les bonnes pratiques à adopter en matière de développement d’application.
Elle a effectué des vérifications pour des applications accédant aux identifiants des utilisateurs au sein des systèmes et souhaite poursuivre ces dernières au cours de l’année 2023.
Les fichiers bancaires
La CNIL porte une attention particulière au fichier des incidents de remboursement de crédit par les particuliers.
La Banque de France est responsable de ce fichier recensant les informations de tous les incidents de paiement lors du remboursement d’un crédit. Cet incident pouvant être lié au remboursement d’un crédit non-professionnel, à des situations de surendettement ou encore à des découverts.
Toute inscription au fichier comprend les informations d’état civil de la personne, la nature et le nombre d’incidents de paiement, le nom et le nombre d’établissements bancaires déclarant un incident pour cette même personne, les dates de déclaration et, dans le cas d’un surendettement, les informations relatives à cette situation.
Cette inscription peut être effectuée par tout établissement bancaire ou commission de surendettement dès la survenance de l’incident. Elle peut également être radiée dès lors que toutes les sommes dues ont été réglées.
Cependant, dans l’hypothèse d’une régularisation des paiements, cette radiation n’est pas automatique et les informations peuvent alors être conservées jusqu’à cinq années au sein du fichier.
L’inscription à ce fichier a une importance primordiale pour les particuliers en ce que chaque établissement bancaire est dans l’obligation de consulter le fichier des incidents de remboursement avant tout octroi de prêt, reconduction annuelle d’un contrat renouvelable ou octroi d’une autorisation de découvert.
Ainsi, la CNIL souhaite réaliser des contrôles sur les conditions d’accès à ce fichier par les banques, l’extraction d’information par les établissements bancaires ainsi que la mise à jour de celui-ci à la suite de la régularisation des paiements.
Concernant les dossiers patients
Enfin, la CNIL souhaite porter une attention particulière aux dossiers informatisés des patients au sein des établissements de santé.
Ce sujet a d’ores et déjà fait l’objet d’une thématique annuelle de la Commission Nationale au cours des années 2020 et 2021 et est à nouveau mis en avant à la suite de nombreuses plaintes concernant l’accès par du personnel non-autorisé à des dossiers patients.
En effet, le dossier informatisé du patient, mis en place par la loi du 1er juillet 1998, correspond à un recueil d’informations et de données médicales nominatives concernant les diagnostiques, le suivi et les échanges entre professionnels de santé.
Il est précisé que ce dossier est électronique et accessible individuellement par de nombreux moyens. En conséquence, le fichier regroupe des informations médicales, qu’elles proviennent d’un établissement hospitalier ou d’un cabinet médical.
Ce dossier permet, en principe, un accès à toutes les données médicales nécessaires pour effectuer les soins en connaissance de cause par tout professionnel de santé.
Cependant, il peut également constituer un risque lorsqu’il devient accessible à des tiers, les données contenues dans ce dossier étant particulièrement sensibles.
Un tel sujet a fait l’objet de nombreuses concertations entre la CNIL et le Ministère de la santé ces dernières années, la question de la sécurité des données de santé faisant l’objet d’un grand nombre de demandes d’avis et conseils.
C’est dans ce contexte que la CNIL souhaite effectuer diverses vérifications afin de s’assurer des mesures mises en œuvre par les établissements de santé, d’une part lors du contrôle de l’accès à un dossier et, d’autre part, concernant la sécurité des données.
Conclusion
il est essentiel de sensibiliser les organismes publics concernés par de tels contrôles au même titre que les particuliers dont les données font l’objet d’un traitement par de lesdits établissements.
En effet, pour rappel, en application de l’article 15 du Règlement Général de Protection des Données, toute personne concernée peut accéder à ses données.
Ainsi, pour le traitement d’informations sensibles comme par exemple des données de santé, il est indispensable de pouvoir garantir un traitement sécurisé.
Chez PLR Avocats, nous nous efforçons de tenir une veille juridique régulière pour nos clients concernant l'évolution et le respect des règles en matière de protection des données personnelles.
Nous accompagnons les entreprises dans leur mise en conformité avec le RGPD afin que celle-ci soit pleinement efficace et opposable à la CNIL.
PLR Avocats prend également en charge les missions du DPO.
Pour nous contacter, c'est ICI !