Comme chaque année, la Commission nationale de l’informatique et des libertés (Cnil) a publié sa stratégie annuelle de contrôle, portant à la connaissance du publique et des entités les grandes thématiques de contrôle pour l’année 2020.
Cette année, la Cnil a retenu trois thématiques prioritaires pour l’orientation de son action de contrôle : la sécurité des données de santé, les nouveaux usages des données de géolocalisation et le respect des dispositions applicables aux cookies et autres traceurs. Ces thématiques donneront lieu à des vérifications en complément des contrôles faisant suite à des plaintes, à des sujets révélés dans l’actualité ou à des mesures correctrices.
La sécurité des données de santé
Au regard de l’actualité récente en matière de santé, la Cnil a annoncé qu’une partie de ses contrôles porteront sur les enjeux en matière de sécurité des données santé, comme par exemple les prestations de télémédecine, les objets de santé connectés ou encore les mesures de sécurité adoptées par les établissements publics. Notamment, elle s’assurera de la mise en œuvre des mesures de sécurité particulières incombant aux professionnels de santé ou aux sous-traitants agissant pour leur compte.
Rappelons que les données de santé appartiennent aux catégories particulières de données à caractère personnel régies par l’article 9 du RGPD et sont, à ce titre, soumises à un régime juridique strict encadré par le RGPD, la loi informatique et libertés ainsi que le code de la santé publique.
L’article 32 du RGPD impose à tout responsable de traitement et à tout sous-traitant d’assurer la sécurité des données à caractère personnel en mettant en œuvre des mesures appropriées afin de garantir un niveau de sécurité adapté aux risques. L’article 28 du RGPD impose également au responsable de traitement de ne faire appel qu’à des sous-traitants qui présentent des garanties suffisantes en s’assurant, en amont, que le sous-traitant est en mesure de mettre en œuvre un certain nombre des mesures organisationnelles et techniques.
De surcroît, la fourniture d’un service d’hébergement de données à caractère personnel de santé est soumise à un régime particulier d’agrément ou de certification, prévus aux articles L.1111-8 et suivants du Code de la santé publique. Pour rappel, le recours à un hébergeur non agréé est sanctionné pénalement au titre de l’article L.1115-1 du Code de la santé publique. De tels services nécessitent l’établissement d’un contrat entre l’hébergeur et son client contenant une série de stipulations énumérées à l’article R. 1111-11 du Code de la santé publique. Ces stipulations portent notamment sur l’activité d’hébergement, son encadrement, les garanties présentées par l’hébergeur en termes de niveaux de service, etc. Si l’hébergeur a lui-même recours à un prestataire pour tout ou partie de l’activité d’hébergement des données de santé, il devra reprendre ces stipulations à l’identique dans le contrat qui le lie à son sous-traitant.
Les nouveaux usages des données de géolocalisation
La Cnil a également annoncé son intention de contrôler la conformité des solutions qui collectent des données de géolocalisation dans le cadre de services fournis aux utilisateurs (recommandations de modes de transports, l’optimisation des parcours de déplacement, etc.). Il s’agira notamment pour l’autorité de contrôler la proportionnalité et la définition des durées de conservation des données collectées, les mesures de sécurité mises en oeuvre ainsi que l’information délivrée aux personnes.
Pour rappel, tout traitement de données à caractère personnel est soumis aux principes énoncés par l’article 5 du RGPD, et notamment les principes de minimisation et de limitation de la conservation des données.
Dans un premier temps, il conviendra donc de s’assurer que la définition des traitements réalisés et les pratiques pour la gestion du cycle de vie des données sont bien conformes aux principes de protection des données.
Ensuite, il conviendra également de s’assurer que les mentions d’information sont portées à la connaissance des personnes concernées, conformément aux article 12 à 14 du RGPD.
Le respect des dispositions applicables aux cookies et autres traceurs
La Cnil avait annoncé un plan d’action à l’été 2019, suite à la publication de ses lignes directrices, visant le contrôle de la conformité des professionnels à leurs obligations en matière de suivi des internautes en faisant, notamment, usage de cookies ou autres traceurs.
Néanmoins, la crise sanitaire ayant perturbé le calendrier de ses publications, la Cnil a précisé le 25 mars dernier que l’adoption de sa recommandation, faisant suite à la consultation publique organisée début 2020 et prévue pour début avril, était reportée à une date ultérieure. En revanche, la Cnil n’a pas précisé l’impact de ce report sur son calendrier de contrôle en la matière.
Mathias Avocats se tient à votre disposition pour vous informer et vous conseiller sur votre conformité.