La CNIL utilisera son nouveau pouvoir de contrôle en ligne et contrôlera des fichiers ou des pratiques qui concernent un grand nombre de français : FICP, impôt sur le revenu, paiement en ligne, vidéoprotection, réseaux sociaux de rencontre, etc.
Bilan des contrôles 2013
En 2013, la CNIL a réalisé 414 contrôles. 280 contrôles ont concerné des traitements relevant directement de la loi “informatique et libertés”.
75% de ces contrôles ont porté sur le secteur privé et 25% sur le secteur public. Les courriers adressés à la suite de ces contrôles ont conduit, dans l’immense majorité des cas, à ce que les organismes se mettent en conformité. En l’absence de mise en conformité spontanée, les contrôles réalisés ont conduit à l’adoption d’une vingtaine de mises en demeure par la Présidente de la CNIL et de deux sanctions par la formation restreinte. 134 contrôles ont concerné les dispositifs de vidéoprotection/vidéosurveillance.
Environ un tiers de ces contrôles a porté sur le secteur public, deux tiers sur le secteur privé. Les contrôles effectués en 2013 ont permis de mettre en relief des irrégularités récurrentes concernant l’utilisation des dispositifs vidéo, notamment : l’absence de formalités (autorisation préfectorale ou déclaration auprès de la CNIL), une information incomplète des personnes, des mesures de sécurité à améliorer et des dispositifs parfois trop intrusifs (caméras dont le zoom permet de filmer l’intérieur des habitations).
Ces contrôles ont donné lieu à l’adoption d’une dizaine de mises en demeure et d’une dénonciation au parquet.
Le programme 2014
En 2014, un objectif d’environ 550 contrôles est fixé. Les vérifications à mener se décomposeront en environ 350 vérifications sur place dans les locaux des organismes, dont un quart portera sur les dispositifs de vidéoprotection/ vidéosurveillance, et en 200 contrôles en ligne. Les thématiques prioritaires des contrôles 2014
– Le fonctionnement du Fichier des Incidents de remboursement de Crédits aux Particuliers (FICP) : Les inscriptions au FICP constituent le premier motif des plaintes relatives au secteur bancaire. Une campagne de contrôles auprès des établissements bancaires et de crédits sur ce thème devrait permettre d’améliorer les pratiques sur un sujet sensible pour les personnes concernées.
Les modalités de gestion des violations de données personnelles par les opérateurs de communications électroniques : depuis 2011, les fournisseurs de services de communications électroniques (FAI, opérateurs de téléphonie mobile et fixe) ont l’obligation de notifier les failles de sécurité en lien avec des données personnelles à la CNIL, et dans certains cas, aux personnes concernées. L’organisation de contrôles dans le cadre du programme annuel permettra d’avoir une vision terrain de cette nouvelle problématique.
Les réseaux sociaux de rencontre en ligne : les acteurs de ce secteur collectent de nombreuses données, y compris des données sensibles (orientations sexuelles, origines ethniques, religion…). En outre, diverses applications d’organismes tiers figurent sur les sites de ces réseaux sociaux sans que l’on sache exactement quels sont les traitements effectués. Une campagne de contrôles permettra d’identifier les acteurs et les pratiques du secteur.
Les traitements mis en œuvre au titre du paiement et du recouvrement de l’impôt sur le revenu : les traitements visés concernent une grande partie de la population et ont fortement évolué depuis l’introduction des procédures en ligne. En outre, certains fichiers sont relativement sensibles car en lien avec la lutte contre la fraude, ce qui justifie de vérifier les modalités concrètes de leur mise en œuvre.
Le paiement en ligne au travers de la lutte contre la fraude et la conservation des données bancaires : la CNIL reçoit de manière récurrente des plaintes sur ce thème, qui signalent des problèmes de confidentialité et de sécurité des données, ainsi que de durées de conservation. La réalisation d’un nombre important de contrôles devrait notamment permettre une sensibilisation globale des acteurs du secteur et de vérifier l’application de la recommandation de la CNIL de novembre 2013 sur le stockage des numéros de cartes bancaires.
Le fichier judiciaire national automatisé des auteurs d’infractions sexuelles ou violentes (FIJAISV) : ce fichier a été créé en 2004, et a pour objectif premier de favoriser la prévention de la récidive des auteurs d’infractions sexuelles déjà condamnés, leur identification et leur localisation. Il est consultable par les autorités judiciaires et certaines administrations. Le contrôle de ce fichier national sensible, notamment sous l’angle de la sécurité, apparaît nécessaire.
Enfin, la CNIL poursuivra le travail initié en 2013 en matière de coopération internationale entre autorités de protection des données. Cette coopération s’effectuera notamment au travers du second volet du Sweep Day , opération au cours de laquelle une vingtaine d’autorités de protection des données dont la CNIL avait vérifié en mai 2013 les mentions d’information de plus de 2000 sites internet (dont les 250 sites français les plus importants). Cette année le thème sera celui de « la vie privée sur les terminaux mobiles » (Mobile Privacy ). La CNIL participera également à une campagne de contrôles internationale organisée par le G29 concernant les cookies dans le but de dresser un panorama européen des pratiques et d’harmoniser les positions des différentes autorités.
Leave a Comment