Contrôles 2012 : la Cnil affiche son volontarisme

Smartphones. La Cnil va effectuer des contrôles sur l’ensemble du processus d’acquisition d’un smartphone : de la collecte des données clients à la consultation du fichier Preventel, qui recense les impayés et certaines anomalies dans le secteur de la téléphonie mobile. Les opérateurs de téléphonie mobile membres du GIE Préventel [1] interrogent ce fichier chaque fois qu’une personne souhaite s’abonner. Ainsi, l’abonnement peut être refusé à toute personne fichée, ou un dépôt de garantie peut lui être demandé.

Les contrôles viseront également les traitements concernant l’utilisation du smartphone et des applications mises en œuvre par les opérateurs et les fournisseurs d’application.

En conclusion de l’étude « Smartphones et vie privée » menée en 2011, la présidente de la Cnil, Isabelle Falque-Pierrotin avait d’ailleurs annoncé l’analyse de « cet écosystème pour recommander aux constructeurs et développeurs d’applications des bonnes pratiques leur permettant d’offrir des produits et services plus respectueux de la vie privée ».

Sécurité des données de santé. La Commission reconduit les contrôles de 2011 effectués dans le secteur de la santé. Elle cible plus particulièrement la recherche médicale, les applications de santé en ligne, les traitements mis en œuvre au sein de structures hospitalières d’envergure, ainsi que les hébergeurs de données de santé et le Cloud Computing.

Sur ces deux derniers points, il est utile de rappeler que le Code de la santé publique impose aux personnes physiques ou morales hébergeant des données de santé d’être agréées par le ministre de la Santé. De plus, dans le cadre de cette procédure d’agrément, la Cnil donne un avis sur les garanties présentées par le candidat en matière de sécurité des données médicales traitées.
En début d’année, l’organisme a ainsi communiqué sur l’avertissement prononcé à l’encontre d’un hébergeur pour avoir déclaré, dans son dossier de demande d’agrément, qu’il chiffrait les données médicales, alors que le contrôle sur place des agents de la Cnil a démontré qu’elles étaient accessibles aux administrateurs informatiques de la société, et non pas exclusivement au personnel de santé habilité.

Failles de sécurité. L’ordonnance du 24 août 2011 relative aux communications électroniques, qui transpose en droit interne les directives européennes « Paquet Télécom », impose aux opérateurs de notifier les éventuelles violations de données personnelles par les opérateurs . En effet, en cas de violation de données à caractère personnel, c’est à dire toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques, l’opérateur [2] est tenu d’avertir, sans délai, la Cnil.
De plus, lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, le fournisseur de services doit prévenir également, sans délai, l’intéressé.

Cette nouvelle obligation, qui se généralisera avec le futur règlement européen sur la protection des données, a naturellement conduit la Cnil à inscrire cette question à son programme des contrôles pour 2012.

Sport et vie privée. Des contrôles seront aussi menés auprès des principales fédérations sportives françaises afin de vérifier les conditions de mise en œuvre des traitements relatifs à la lutte contre le dopage, aux licenciés et aux spectateurs (types de données collectées, transmissions éventuelles à des tiers, durées de conservation, gestion éventuelle de listes noires, etc). Ou encore, auprès des stades accueillant des compétitions sportives.

Fichiers de police. Les contrôles porteront, au niveau national et local, sur « les traitements mis en œuvre au sein de différents services de police et de gendarmerie afin d’évaluer l’utilisation quotidienne des traitements comportant des données personnelles ». De plus, une nouvelle analyse sera effectuée sur le fichier STIC (Système de traitement des infractions constatées).

Fichiers du quotidien. Des contrôles seront réalisés auprès d’entreprises importantes fournissant des services de première nécessité (eau, gaz, électricité, etc.). Ils viseront également les sociétés d’autoroutes qui mettent en place des traitements de plus en plus nombreux et innovants (péage sans contact, lutte contre la fraude, sécurité routière, etc.).

L’élément central de l’ensemble de ces contrôles en 2012 est le respect de l’obligation de sécurité des données traitées. Enfin, dans le prolongement de son activité de l’année 2011, la Cnil effectuera au moins 150 contrôles sur les dispositifs dits de « vidéoprotection ».