Le plan stratégique 2022-2024 de la CNIL

La numérisation croissante de la vie économique et sociale ainsi que la survenance de la pandémie ont accru les risques pour la vie privée.Par ailleurs, l’omniprésence des grands services du numérique suscite de nouveaux enjeux de régulation.Dans ce contexte, la donnée personnelle est, plus que jamais, le fil rouge de notre quotidien numérique.

Face à ces constats, il est indispensable que le RGPD, au travers de la coopération européenne entre autorités, joue pleinement son rôle de levier offensif de conformité et permette un respect effectif des droits des personnes et une égalité concurrentielle entre les acteurs économiques. C’est dans cette dynamique que s’inscrivent les nouvelles orientations stratégiques de la CNIL pour la période de 2022 à 2024.

Ce plan décline les orientations stratégiques de la CNIL en 3 axes, eux-mêmes décomposés en objectifs.

Axe 1, il consiste à favoriser la maîtrise et le droit des personnes sur le terrain au travers de 4 objectifs :

 

Renforcer l’information et la sensibilisation des personnes pour favoriser l’exercice de leurs droits :

La CNIL compte ici améliorer sa communication et mettre à disposition des outils destinés à faciliter l’exercice des droits, ce qui implique potentiellement à terme une augmentation des demandes d’exercice de droit et donc un risque accru pour les entreprises qui ne seraient pas en conformité.

Accroître l’efficacité de l’action répressive

Qui se traduira par l’adaptation de ses procédures de contrôle, de mise en demeure et de sanction. L’instruction des plaintes est une priorité tout comme la réduction des délais d’instruction. Cette volonté s’est traduite récemment par le lancement d’un appel d’offre visant à l’externalisation de la gestion des saisines pour les dossiers les plus « simples » (qui ne soulèvent pas de nouvelles problématiques juridiques et hors organisme de l’Etat).

Renforcer le rôle européen de la CNIL et l’efficacité du collectif européen :

Il s’agit d’accroitre l’efficacité du guichet unique et des relations entre autorités de contrôle. Cela concerne les traitements transfrontaliers (art 4.23 RGPD), les entreprises établies en UE, au travers d’un interlocuteur unique (autorité chef de file) pour les responsables de traitement ou sous-traitants établis sur plusieurs pays européens. Cet ’interlocuteur unique est défini au regard de la localisation de l’établissement principal de l’entreprise, selon l’art 4.16 du RGPD.
Prioriser les actions pour protéger les usages du quotidien en sensibilisant les citoyens aux outils du numérique, aux enjeux en termes de liberté et de vie privée ainsi qu’aux risques associés, tout en leur fournissant des outils concrets.

Une part importante de ces mises en demeure a porté sur la thématique prioritaire des cookies : 89 décisions comportent un manquement en lien avec l’utilisation des traceurs (dont 84 sont pleinement consacrées à cette question).

L’axe 2 fait la promotion du RGPD comme atout de confiance pour les responsables de traitement (RT) au travers 5 objectifs :

Renforcer la sécurité juridique des RT par des orientations pratiques et claires

Ce qui implique une clarification de la législation (doctrine) adaptée aux enjeux des entreprises pour une meilleure appropriation de la protection des données.

Développer les outils de certification et de codes de conduite :

Permettant aux RT de piloter eux-mêmes leur conformité de manière adaptée à leur métier. Il est question ici de simplification des outils et de renforcement des relations avec les partenaires de la conformité (porteurs de code de conduite et organismes certificateurs).

Faire de la conformité RGPD la meilleure prévention contre les risques cyber :

La CNIL renforce son rôle dans la réponse des pouvoirs publics aux risques cyber, son rôle de prévention et de conseil, à la fois réglementaire et technique.

Renforcer et faire évoluer la stratégie d’accompagnement :

pour répondre aux besoins des RT en termes d’outils transparents, accessibles et adaptés à leurs enjeux pour une meilleure appropriation de la protection des données.

Assumer un rôle de régulateur ayant un impact économique

En prenant en compte les modèles d’affaire des entreprises et l’impact économique des actions de la CNIL.

 

L’axe 3 met en avant les priorités de la CNIL face à l’intensification des usages des données personnelles et qui concernent :

Les caméras augmentées (couplés à l’usage d’algorithmes prédictifs) et leurs usages :

Dans ce contexte, se pose des problématiques en terme de surveillance à grande échelle des personnes. Des actions sont prévues et concerneront les services de l’Etat et les activités commerciales, avec des phases d’accompagnement dans la mise en place de tels dispositifs pour en prévenir le caractère excessif et disproportionné.

Les transferts de données dans l’informatique en nuage (« cloud ») :

Le déploiement continu des solutions Cloud crée des risques en termes de sécurité et de conformité, notamment avec les grands acteurs du numérique. L’objectif visé est la sécurisation des transferts de données personnelles vers des pays hors UE sur le fondement de l’arrêt « Schrems II ».

Les collectes de données personnelles dans les applications des smartphones :

Au regard d’une opacité et une hétérogénéité des pratiques observées en la matière, la CNIL veut améliorer la visibilité des flux de données et renforcer la conformité des applications mobiles.

Comprendre les décisions d’adéquation : clé pour des transferts de données fluides

Une décision d’adéquation est une détermination cruciale prise par la Commission Européenne. Elle évalue si un pays non membre de l’UE offre un niveau de protection des données personnelles suffisant, s’alignant étroitement sur les normes de l’UE.

L’Importance des décisions d’adéquation

Lorsqu’un pays reçoit cette évaluation positive, cela indique que le pays dispose d’un cadre solide de protection des données. Cela inclut :

• Législation Nationale : le pays doit avoir des lois sur la vie privée solides qui protègent les informations personnelles des individus.
• Autorités Indépendantes de Protection des Données : un organisme de surveillance efficace doit exister pour faire respecter les lois sur la protection des données et traiter les violations.
• Engagements Internationaux : le pays doit montrer une volonté de respecter la protection des données par le biais d’accords et de partenariats internationaux.

Implications pour le transfert de données

Une décision d’adéquation simplifie le processus de transfert de données personnelles de l’UE vers le pays tiers désigné. Voici comment :

1. Pas de Garanties Supplémentaires : les entreprises et organisations peuvent transférer des données sans avoir besoin d’autorisations spéciales ou de mettre en œuvre des mesures de sécurité supplémentaires.
2. Opérations Rationalisées : les entreprises bénéficient de moins d’obstacles juridiques, permettant des transactions transfrontalières et des flux de données plus fluides.

En essence, une décision d’adéquation construit un pont de confiance, favorisant la coopération internationale tout en protégeant les droits des individus en matière de données. Cette décision permet aux propriétaires et aux processeurs de données personnelles de s’engager sur les marchés mondiaux en toute confiance.

Comment le consentement explicite permet le transfert de données en dehors de l’UE ?

Lorsqu’il s’agit de transferts de données au-delà de l’Union européenne, le consentement explicite de la personne concernée est un facteur crucial qui peut simplifier ce processus.

Qu’est-ce que le consentement explicite ?

Le consentement explicite implique un accord clair et volontaire de l’individu, où il reconnaît et accepte les risques potentiels associés au transfert de ses données personnelles vers d’autres juridictions.

Le rôle du consentement éclairé

Avant d’obtenir le consentement, il est essentiel que l’individu comprenne pleinement à quoi il consent. Il doit être informé de tous les risques potentiels liés au transfert de ses données en dehors de l’UE, comme les différences de normes de protection des données.

Faciliter le transfert

1. Accord éclairé: En s’assurant que les individus sont bien informés, les organisations peuvent procéder de manière éthique et légale aux transferts de données.
2. Conformité réglementaire: Obtenir un consentement explicite démontre la conformité aux exigences du RGPD, permettant ainsi d’éviter des problèmes juridiques potentiels.
3. Renforcement de la confiance: Une communication transparente concernant le traitement des données aide à renforcer la confiance entre l’organisation et la personne concernée.

En résumé, le consentement explicite n’est pas qu’une simple formalité—c’est une voie légale et éthique qui facilite le transfert légitime de données personnelles en dehors de l’Union européenne, assurant que les deux parties sont informées et protégées.

Quelles mesures supplémentaires devraient être prises s’il existe un risque ?

Si l’on craint que les garanties de protection des données ne soient pas suffisantes, l’exportateur de données doit mettre en œuvre des mesures supplémentaires pour renforcer la protection. Voici ce qu’il faut prendre en compte :

1. Renforcer le chiffrement des données : Assurez-vous que les données sont chiffrées lors de leur transit et lorsqu’elles sont stockées, en utilisant des protocoles de chiffrement robustes pour empêcher tout accès non autorisé.
2. Audits de sécurité réguliers : Effectuez des audits de sécurité fréquents pour identifier et traiter les vulnérabilités dans le processus de gestion des données.
3. Contrôles d’accès : Mettez en place des contrôles d’accès stricts pour limiter l’accès aux données uniquement à ceux qui en ont besoin, en veillant à ce que le personnel non autorisé ne puisse pas accéder à des informations sensibles.
4. Minimisation des données : Adoptez une politique de minimisation des données, en ne collectant que les données essentielles nécessaires aux activités de traitement.
5. Formation des employés : Organisez régulièrement des sessions de formation pour les employés sur les pratiques de protection des données et l’importance de maintenir ces garanties.
6. Contrats juridiques : Mettez à jour les contrats avec les tiers pour inclure des clauses strictes de protection des données, garantissant que toutes les parties sont responsables du maintien des normes de sécurité des données.
7. Évaluations d’impact sur le transfert de données : Réalisez des évaluations approfondies pour évaluer les risques associés aux transferts de données et ajustez les stratégies si nécessaire.
8. Surveillance en temps réel : Établissez des systèmes de surveillance en temps réel pour détecter et répondre rapidement à d’éventuelles violations de données.

En intégrant ces mesures, les exportateurs de données peuvent renforcer l’efficacité des garanties de protection des données et protéger plus efficacement les informations sensibles.