Le plan stratégique 2022-2024 de la CNIL

La numérisation croissante de la vie économique et sociale ainsi que la survenance de la pandémie ont accru les risques pour la vie privée.Par ailleurs, l’omniprésence des grands services du numérique suscite de nouveaux enjeux de régulation.Dans ce contexte, la donnée personnelle est, plus que jamais, le fil rouge de notre quotidien numérique.

Face à ces constats, il est indispensable que le RGPD, au travers de la coopération européenne entre autorités, joue pleinement son rôle de levier offensif de conformité et permette un respect effectif des droits des personnes et une égalité concurrentielle entre les acteurs économiques. C’est dans cette dynamique que s’inscrivent les nouvelles orientations stratégiques de la CNIL pour la période de 2022 à 2024.

Ce plan décline les orientations stratégiques de la CNIL en 3 axes, eux-mêmes décomposés en objectifs.

Axe 1, il consiste à favoriser la maîtrise et le droit des personnes sur le terrain au travers de 4 objectifs :

 

Renforcer l’information et la sensibilisation des personnes pour favoriser l’exercice de leurs droits :

La CNIL compte ici améliorer sa communication et mettre à disposition des outils destinés à faciliter l’exercice des droits, ce qui implique potentiellement à terme une augmentation des demandes d’exercice de droit et donc un risque accru pour les entreprises qui ne seraient pas en conformité.

Accroître l’efficacité de l’action répressive

Qui se traduira par l’adaptation de ses procédures de contrôle, de mise en demeure et de sanction. L’instruction des plaintes est une priorité tout comme la réduction des délais d’instruction. Cette volonté s’est traduite récemment par le lancement d’un appel d’offre visant à l’externalisation de la gestion des saisines pour les dossiers les plus « simples » (qui ne soulèvent pas de nouvelles problématiques juridiques et hors organisme de l’Etat).

Renforcer le rôle européen de la CNIL et l’efficacité du collectif européen :

Il s’agit d’accroitre l’efficacité du guichet unique et des relations entre autorités de contrôle. Cela concerne les traitements transfrontaliers (art 4.23 RGPD), les entreprises établies en UE, au travers d’un interlocuteur unique (autorité chef de file) pour les responsables de traitement ou sous-traitants établis sur plusieurs pays européens. Cet ’interlocuteur unique est défini au regard de la localisation de l’établissement principal de l’entreprise, selon l’art 4.16 du RGPD.
Prioriser les actions pour protéger les usages du quotidien en sensibilisant les citoyens aux outils du numérique, aux enjeux en termes de liberté et de vie privée ainsi qu’aux risques associés, tout en leur fournissant des outils concrets.

Une part importante de ces mises en demeure a porté sur la thématique prioritaire des cookies : 89 décisions comportent un manquement en lien avec l’utilisation des traceurs (dont 84 sont pleinement consacrées à cette question).

L’axe 2 fait la promotion du RGPD comme atout de confiance pour les responsables de traitement (RT) au travers 5 objectifs :

Renforcer la sécurité juridique des RT par des orientations pratiques et claires

Ce qui implique une clarification de la législation (doctrine) adaptée aux enjeux des entreprises pour une meilleure appropriation de la protection des données.

Développer les outils de certification et de codes de conduite :

Permettant aux RT de piloter eux-mêmes leur conformité de manière adaptée à leur métier. Il est question ici de simplification des outils et de renforcement des relations avec les partenaires de la conformité (porteurs de code de conduite et organismes certificateurs).

Faire de la conformité RGPD la meilleure prévention contre les risques cyber : 

La CNIL renforce son rôle dans la réponse des pouvoirs publics aux risques cyber, son rôle de prévention et de conseil, à la fois réglementaire et technique.

Renforcer et faire évoluer la stratégie d’accompagnement :

pour répondre aux besoins des RT en termes d’outils transparents, accessibles et adaptés à leurs enjeux pour une meilleure appropriation de la protection des données.

Assumer un rôle de régulateur ayant un impact économique

En prenant en compte les modèles d’affaire des entreprises et l’impact économique des actions de la CNIL.

 

L’axe 3 met en avant les priorités de la CNIL face à l’intensification des usages des données personnelles et qui concernent :

Les caméras augmentées (couplés à l’usage d’algorithmes prédictifs) et leurs usages : 

Dans ce contexte, se pose des problématiques en terme de surveillance à grande échelle des personnes. Des actions sont prévues et concerneront les services de l’Etat et les activités commerciales, avec des phases d’accompagnement dans la mise en place de tels dispositifs pour en prévenir le caractère excessif et disproportionné.

Les transferts de données dans l’informatique en nuage (« cloud ») :

Le déploiement continu des solutions Cloud crée des risques en termes de sécurité et de conformité, notamment avec les grands acteurs du numérique. L’objectif visé est la sécurisation des transferts de données personnelles vers des pays hors UE sur le fondement de l’arrêt « Schrems II ».

Les collectes de données personnelles dans les applications des smartphones : 

Au regard d’une opacité et une hétérogénéité des pratiques observées en la matière, la CNIL veut améliorer la visibilité des flux de données et renforcer la conformité des applications mobiles.

fr_FR