Comme chaque année, la Commission nationale de l’informatique et des libertés (Cnil) a publié sa stratégie annuelle de contrôle pour l’année 2021.
Cette année, la Cnil a retenu trois thématiques prioritaires pour l’orientation de son action : la cybersécurité des sites web, la sécurité des données de santé et l’utilisation des cookies. Ces deux dernières thématiques s’inscrivant dans la continuité de la stratégie de contrôle de 2020.
La cybersécurité des sites web
La Cnil a un rôle important en matière de cybersécurité, tant concernant la sensibilisation du public et l’accompagnement des professionnels que dans le cadre des contrôles des violations de données personnelles à la suite d’une notification. Dans ce domaine, la Cnil coopère également avec l’ANSSI.
Dans le cadre de sa stratégie, la Cnil souhaite renforcer le contrôle de la sécurité des sites web, notamment sur l’utilisation du protocole HTTPS, ainsi que sur la conformité des acteurs à ses recommandations en matière de robustesse des mots de passe.
A la lumière de l’actualité et face à l’augmentation du nombre de notifications de violations de données de plus de 24% par rapport à l’année 2019, la Cnil prévoit également d’interroger des organismes sur la mise en place de mesures de prévention des cyberattaques. A titre d’exemple, il pourra leur être demandé leur plan de reprise d’activité (PRA) et/ou leur plan de continuité d’activité (PCA) en matière de cybercrise. Le but recherché est d’encourager les entités à limiter les risques d’attaques et à mettre en œuvre un plan de conformité.
La sécurité des données de santé
Lors de la diffusion de sa stratégie de contrôle de l’année 2020, la Cnil avait déjà annoncé l’importance de la protection des données de santé. Cette année, la Commission souhaite poursuivre et renforcer ses contrôles en la matière.
En effet, la crise sanitaire mondiale a accéléré la numérisation des services de santé (gestion des accès au dossier patient, prises de rendez-vous, gestion des violations de données personnelles, etc.).
Parallèlement, le nombre de violations n’a cessé de croitre au sein des établissements de santé, passant de 12 violations en 2019 à 36 en 2020. De ce fait, les responsables de traitement et les sous-traitants doivent être davantage vigilants quant à l’application de l’article 32 du RGPD en matière de sécurité des données.
Subséquemment aux contrôles, la Cnil souhaite que cette démarche renforce et augmente le niveau de sécurité des données de santé des personnes. Il est opportun de rappeler que, par principe, le traitement des données de santé est prohibé. Toutefois, l’article 9§2 du RGPD énumère exhaustivement les situations dans lesquelles le traitement de telles catégories particulières de données est possible (consentement de la personne concernée, sauvegarde des intérêts vitaux, motif d’intérêt public, etc.). C’est pourquoi les données de santé font l’objet d’une protection accrue et sont soumises à un régime juridique strict.
Le contrôle du respect des règles applicables aux cookies et autres traceurs
Toujours dans le sillon de la stratégie de l’année 2019, la Cnil souhaite intensifier ses contrôles en matière de conformité des professionnels à leurs obligations en matière de suivi des internautes, s’agissant notamment de l’utilisation de cookies ou autres traceurs.
L’objectif s’est renforcé en 2021. En effet, plusieurs mises en demeure ont déjà été adressées par la Présidente de la Cnil à des organismes ne permettant pas aux internautes de refuser les cookies aussi facilement que de les accepter et ce, contrairement à sa recommandation en la matière.
Mathias Avocats se tient à votre disposition pour vous informer et vous conseiller sur votre conformité.