Comme tous les ans, la CNIL définit ses thématiques prioritaires annuelles de contrôle qui engageront particulièrement son attention sur une année entière.
Si la prospection commerciale, la surveillance du télétravail ainsi que l’utilisation des services cloud étaient les vedettes de l’année 2022 ; en 2023, la CNIL se positionne sur les thématiques de contrôle suivantes :
1 – Accès au dossier patient informatisé au sein des établissements de santé (DPI)
Contexte : plusieurs plaintes reçues par la CNIL dénonçant des accès par des tiers non autorisés à des DPI au sein d’établissements de santé. Des vérifications ont déjà été engagées par la CNIL sur l’accès au DPI en 2022, et se poursuivront en 2023.
La sécurité des données de santé avait déjà été retenue comme thématique annuelle des contrôles de la CNIL en 2020 ET en 2021. Au regard de la nature extrêmement sensible de ces données à caractère personnel, il n’est donc pas surprenant de retrouver à nouveau cette thématique essentielle, notamment à travers l’utilisation des DPI par les établissements de santé ayant vocation à stocker l’ensemble des documents liés au parcours de soins du patient au sein de l’établissement.
2 – Utilisation de caméras « augmentées » par les acteurs publics
Contexte : déjà, la CNIL avait fait de la thématique des usages des caméras augmentées un axe prioritaire de son plan stratégique 2022-2024 publié sur son site le 17 février 2022.
La CNIL précise que « le développement accéléré sur le terrain des caméras dites « augmentées », souvent couplées à des algorithmes prédictifs, pose la question du caractère nécessaire et proportionné de ces dispositifs et fait courir le risque d’une surveillance à grande échelle des personnes ».
La CNIL mettra en œuvre un plan d’action qui concernera autant les usages régaliens (police/justice) que commerciaux et qui comportera une phase d’accompagnement des acteurs.
3 – Utilisation du fichier des incidents de remboursement de crédit aux particuliers
Enjeu particulièrement fort, puisque le fichier des incidents de crédit aux particuliers (FICP) de la Banque de France recense les informations sur les incidents de paiement caractérisés liés aux découverts et aux crédits accordés pour des besoins non professionnels, ainsi que les informations relatives aux situations de surendettement.
Avant tout octroi de crédit, la consultation du FICP par les banques est obligatoire, ce qui peut bien sûr constituer un frein pour les personnes dans leurs démarches.
Le sujet particulièrement sensible revient au respect du principe d’exactitude des données qui figurent sur ce fichier – des données obsolètes pouvant générer d’importantes conséquences pour les particuliers.
4 – Traçage des utilisateurs par les applications mobiles
À la suite de la modification de la recommandation sur l’utilisation de cookies et autres traceurs, plusieurs contrôles ont déjà été réalisés sur des applications qui accèdent aux identifiants générés par les systèmes d’exploitation mobiles en l’absence de consentement des utilisateurs.
La CNIL poursuivra ses vérifications en 2023.