Recevez chaque jour toute l'actualité du numérique

x

Données de santé, géolocalisation, cookies… la Cnil présente sa stratégie pour 2020

La Cnil présente sa stratégie pour les contrôles qu'elle va mener en 2020 afin de vérifier la bonne application de la législation. Elle axera ses enquêtes sur les données de santé, de géolocalisation et sur les cookies et autres traceurs. Fait notable, elle ne mentionne pas les données biométriques, un sujet pourtant d'actualité avec la multiplication des expérimentations de la reconnaissance faciale.
Twitter Facebook Linkedin Flipboard Email
×

Données de santé, géolocalisation, cookies… la Cnil présente sa stratégie pour 2020
Données de santé, géolocalisation, cookies… la Cnil présente sa stratégie pour 2020 © Cnil

La Commission nationale de l'informatique et des libertés (Cnil) présente sa stratégie de contrôle pour l'année à venir dans un document publié le 12 mars 2020. En plus d'instruire des plaintes, le gendarme français de la vie privée peut mener des enquêtes pour "réagir à des sujets d'actualité", "s'assurer du respect des précédentes mesures coercitives" ou examiner certaines thématiques "jugées prioritaires". Pour 2020, il prévoit de mener plus d'une cinquantaine de contrôles sur les données de santé, de géolocalisation et sur les cookies.

La sécurité des données de santé
Assouplissement des conditions d'exercice de la télémédecine, multiplication des objets médicaux connectés, cyberattaques… l'actualité démontre l'attention qui doit être portée à "la sécurité des traitements de santé". Les données de santé sont définies très largement et sont considérées comme des "données sensibles". Raison pour laquelle elles sont soumises à un régime juridique particulier.

Cette année, la Cnil veut se concentrer sur "les mesures de sécurité" mises en œuvre par les professionnels de santé comme, par exemple, la sécurité des accès aux locaux, les antivirus, la sécurisation des mots de passe… Une volonté certainement liée au rançongiciel qui a touché le Centre hospitalier universitaire (CHU) de Rouen fin novembre 2019. Même si la vie des patients n'a pas été mise en péril, l'ensemble du système informatique a dû être arrêté, paralysant une bonne partie de l'activité administrative de l'hôpital. 


Ce n'est pas la première fois que le gendarme de la vie privée se penche sur les pratiques du secteur médical. En août 2018, il avait mis en demeure la Caisse nationale de l'assurance maladie des travailleurs salariés (CNAMTS) de renforcer la sécurité de la base de données du Système national d'information inter-régimes de l'assurance maladie (SNIIRAM) dont elle assure la gestion en tant que responsable de traitement.

Données de géolocalisation et vie privée
Deuxième thématique : les données de géolocalisation. Utilisées entre autres pour "les recommandations des modes de transports adaptés" et "l'optimisation des parcours de déplacements", elles pourraient porter atteintes à la vie privée des utilisateurs de ces outils. L'autorité désire examiner la proportionnalité des données collectées, les durées de conservation, l'information délivrée aux personnes et les mesures de sécurité.

En juillet 2018, la Cnil a mis en demeure Fidzup et Teemo car ces sociétés de prospection publicitaire géolocalisée ne respectaient pas l'obligation de recueil du consentement et appliquaient des durées de conservation disproportionnées par rapport à la finalité du traitement. En décembre 2019, Fidzup a déposé le bilan et a accusé la Cnil d'avoir été trop lente dans la procédure. "Il faut que la Cnil prenne conscience de l'impact qu'une mise en demeure publique a sur une entreprise jeune et en croissance, qui est déjà en train d'évangéliser son marché", regrettait le cofondateur de la jeune pousse Olivier Magnan-Saurin.

Les cookies toujours d'actualité
En outre, la Cnil souhaite axer son contrôle sur les cookies et "autres traceurs". Une thématique déjà au centre de ses préoccupations en 2019. L'autorité rappelle que, depuis l'entrée en vigueur du RGPD, la simple poursuite de la navigation sur un site ne peut pas traduire un consentement valide de l'utilisateur au dépôt de cookies. En juillet 2019, elle a adopté des lignes directrices pour préciser le nouvel état du droit. Elle annonce la publication d'une nouvelle recommandation au printemps 2020 suite à laquelle les organismes auront six mois pour se mettre en conformité. Les contrôles sur ces nouvelles obligations démarreront à l'automne 2020 et se poursuivront en 2021.

Grande absente : la reconnaissance faciale
A noter que la Commission ne mentionne pas les données biométriques. Elles sont pourtant au centre de nombreux faits d'actualité avec la multiplication des expérimentations de la reconnaissance faciale. La Cnil elle-même a publié une feuille de route adressée aux pouvoirs publics, mi-novembre 2019, dans laquelle elle fait preuve d'une grande prudence sur cette technologie.

Mais cette absence n'est pas si étonnante. En effet, la Cnil effectue des contrôles sur des thèmes où la législation est très claire. Son but est justement de vérifier que les obligations sont parfaitement respectées et, le cas échéant, de rappeler les bonnes pratiques. Or il n'y encore aucun cadre autour de la reconnaissance faciale. Elle estime peut être que les usages de cette technologie ressortent davantage de la compétence des tribunaux... qui sont d'ailleurs en train de s'en saisir. Preuve en est, la décision du juge marseillais d'annulé la délibération du conseil régional de Provence-Alpes-Côte d'Azur qui autorisait la mise en place d'un portique de sécurité utilisant la reconnaissance faciale à l'entrée de deux lycées du Sud de la France.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media