Comme chaque année, la Commission nationale de l’informatique et des libertés (CNIL) publie sa stratégie annuelle de contrôle, rendant ainsi publiques les grandes thématiques de contrôle pour l’année 2021.

La CNIL rappelle d’abord son bilan pour l’année 2020 :  6 500 actes d’investigation dont, en particulier, 247 procédures formelles de contrôle.

Pour l’année 2021, la CNIL consacrera de nombreux contrôles à 3 thématiques prioritaires. Ces contrôles interviendront en complément de ceux qui font suite à des plaintes, ou à des sujets révélés dans l’actualité.

 

1/ La cybersécurité du web français

Face à l’effervescence des cyberattaques dont sont de plus en plus victimes les entreprises françaises, l’objectif de la CNIL en 2021 sera de contrôler le niveau de sécurité des sites web français dans différents secteurs.

En effet, la CNIL nous indique que les défauts de sécurité des sites web figurent parmi les manquements les plus souvent constatés lors des contrôles et peuvent notamment conduire à des violations de données. Pour mémoire :  2 825 notifications de failles de sécurité ont été reçues en 2020, soit 24 % de plus qu’en 2019.

L’attention sera portée plus particulièrement sur :

  • les formulaires de recueils de données personnelles,
  • l’utilisation du protocole HTTPS,
  • la conformité des acteurs à la recommandation de la CNIL sur les mots de passe,
  • les stratégies mises en place pour se prémunir contre les rançongiciels.

2/ La sécurité des données de santé

Rappelons que :

  • les données de santé appartiennent aux catégories particulières de données à caractère personnel régies par l’article 9 du RGPD et sont, à ce titre, soumises à un régime juridique strict encadré par le RGPD, la loi informatique et libertés ainsi que le code de la santé publique.
  • L’article 32 du RGPD impose à tout responsable de traitement et à tout sous-traitant d’assurer la sécurité des données à caractère personnel en mettant en œuvre des mesures appropriées afin de garantir un niveau de sécurité adapté aux risques. L’article 28 du RGPD impose également au responsable de traitement de ne faire appel qu’à des sous-traitants qui présentent des garanties suffisantes en s’assurant, en amont, que le sous-traitant est en mesure de mettre en œuvre un certain nombre des mesures organisationnelles et techniques.

De tels services nécessitent l’établissement d’un contrat entre l’hébergeur et son client contenant une série de stipulations énumérées à l’article R. 1111-11 du Code de la santé publique. Ces stipulations portent notamment sur l’activité d’hébergement, son encadrement, les garanties présentées par l’hébergeur en termes de niveaux de service, etc. Si l’hébergeur a lui-même recours à un prestataire pour tout ou partie de l’activité d’hébergement des données de santé, il devra reprendre ces stipulations à l’identique dans le contrat qui le lie à son sous-traitant

Dans le contexte sanitaire actuel et compte tenu des enjeux toujours croissants liés à la numérisation du secteur de santé (gestion des accès au dossier patient informatisé au sein des établissements de santé, plateformes de prise de rendez-vous médicaux en ligne, etc.), la CNIL souhaite poursuivre les contrôles initiés en 2020.

 3/ Le respect des règles applicables aux cookies et autres traceurs

Pour mémoire, le 31 mars 2021 marquera la fin du délai de clémence accordé par la CNIL aux entreprises pour se mettre en conformité avec les lignes directrices modificatives en matière de cookies et autres traceurs en date du 17 septembre 2020.

En conséquence, la CNIL indique qu’à partir du mois d’avril, les vérifications porteront également sur la mise en œuvre des règles relatives au recueil du consentement telles qu’éclairées par les lignes directrices et recommandation récemment adoptées.

 

Claudia Weber, Avocat fondateur et Céline Dogan, Avocat, ITLAW Avocats

 

Et vous ? où en êtes-vous ?

Besoin d’aide pour évaluer votre niveau de conformité ? Pour votre mise en conformité ?

Vous avez des questions concernant la mise en conformité de vos projets informatiques avec le RGPD ou la directive ePrivacy ? Vous souhaitez mettre à jour votre politique de confidentialité cookies ou contractualiser avec une agence marketing, une régie publicitaire ou avoir recours aux services d’un réseau social ?

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies et de protection des données personnelles est à votre disposition pour répondre à vos questions. Nous trouvons les solutions adaptées à votre contexte et vos besoins.

ITLAW Avocats mobilise ses talents et son expertise en matière de protection des données personnelles ,  de projets informatiques complexes  de contrats, d’innovation et de propriété intellectuelle   ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes, tels que les projets e-marketing.

Nous contacter

Nous contacter