Le Conseil européen de protection des données (CEPD, EDPB en anglais) a lancé le 15 mars son action coordonnée pour la mise en application des rôles de délégués à la protection des données tel que prévu par les articles 37 à 39 du RGPD.

Cette campagne est la seconde initiative coordonnée lancée par le CEPD. Le but de ces cadres d’actions coordonnées (Coordinated Enforcement Framework, CEF, institués par le RGPD) : faire travailler les autorités européennes en charge de la protection des données main dans la main sur l’une des problématiques qu’elles gèrent au quotidien, puis émettre des recommandations et cadres qui peuvent manquer.

Dans un communiqué, la CEPD explique que les autorités nationales de protection des données mettront en place le cadre d’action coordonnée en envoyant des questionnaires aux responsables de la protection des données pour vérifier si ces derniers ont le rôle et les ressources nécessaires pour réaliser les tâches que leur prévoit le RGPD.

En cas de besoin, elles pourront lancer (ou continuer) des enquêtes plus formelles. À terme, les données ainsi récoltées seront agrégées, analysées, et les autorités nationales et le CEPD décideront d’éventuelles actions et/ou logiques de supervision supplémentaires.

La première action coordonnée de la CEPD a concerné l’utilisation du cloud dans les services publics. Après un an de travail, cette dernière a donné lieu à un rapport publié le 17 janvier dernier.

La CNIL explique qu'en 2023, elle concentrera ses contrôles thématiques au sujet de l’utilisation de caméras « augmentées » par les acteurs publics, l’utilisation du fichier des incidents de crédit aux particuliers, la sécurité des dossiers de santé et le traçage des utilisateurs par les applications mobiles.

Ces contrôles (345 en 2022) peuvent faire suite à des plaintes, des signalements de violations de données ou à des évènements dans l’actualité, ou bien répondre aux « thématiques prioritaires » choisies pour « orienter sa politique de contrôle sur des sujets à fort enjeux pour le public et pour évaluer la conformité des secteurs choisis ».

La CNIL rappelle à ce titre que la thématique des usages des caméras « augmentées », notamment par des collectivités territoriales, est l’objet de nombreuses questions qui lui sont régulièrement posées, et qu'elle constitue « un axe prioritaire de son plan stratégique 2022 - 2024 ». 

• Caméras « augmentées » : la CNIL alerte sur la tentation du « solutionnisme technologique »
• Les JO 2024 constitueront « un tournant » pour la surveillance algorithmique de l'espace public

La CNIL se penchera également sur l'utilisation que font les banques du fichier des incidents de crédit aux particuliers (FICP) de la Banque de France, dont les inscriptions « peuvent constituer un frein pour les personnes dans leurs démarches ultérieures et leurs relations avec les banques ». 

Suite à des plaintes reçues par la CNIL et dénonçant des « accès par des tiers non autorisés » à des dossiers patients informatisés (DPI) au sein d’établissements de santé, la Commission a par ailleurs décidé d’ « examiner l’ensemble des mesures mises en place pour assurer la sécurité des données » de santé, thématique qui avait déjà été retenue en 2020 et en 2021, et qui reste « une question récurrente que la CNIL rencontre dans un grand nombre de dossiers ».

Elle compte également contrôler « l'usage systématique » des identifiants mis à disposition par les fabricants de phones afin de permettre un suivi des utilisateurs pour des objectifs publicitaires, statistiques ou techniques (Apple IDFA, IDFV, Google AAID…), « équivalent "mobile" de l’utilisation massive des cookies sur les sites web [qui] s’effectue bien souvent sans l'information ou le consentement des utilisateurs ».

Au début de l'année, la CNIL a infligé une amende de 8 millions d'euros à Apple sur la question du consentement publicitaire.

• Consentement publicitaire : la CNIL inflige une amende de 8 millions d’euros à Apple