La CNIL dévoile ses thèmes prioritaires de contrôle pour 2023
Communication de la CNIL sur son site internet
Chaque année, la CNIL décide de concentrer une partie de ses contrôles sur des thématiques précises, en parallèle des contrôles faisant suite à des plaintes de personnes concernées ou à l’actualité. L’autorité vient de dévoiler les quatre thématiques qui l’occuperont en 2023 : les caméras « augmentées », les applications mobiles, les fichiers bancaires et les dossiers patients.
Caméras augmentées
L’expression caméras « augmentées » désigne les dispositifs associant des logiciels de traitement automatisé d’images à des caméras. Le développement rapide des logiciels de traitement, souvent associés à un système d’intelligence artificielle, a permis aux caméras augmentées d’accroitre de manière très importante leurs performances et de multiplier leurs cas d’usage : suivi et détection d’évènements ou d’objets, reconnaissance automatisée de caractéristiques biométriques – menant à l’identification des personnes, etc.
Constatant cette tendance, la CNIL a publié en juillet 2022 une « position » portant sur les conditions de déploiement de ces technologies.
Quelques mois après, la CNIL a donc décidé d’en faire l’un de ses thèmes prioritaires de contrôle. A noter toutefois que, pour cette année, l’autorité se limitera à l’utilisation des caméras augmentées par les personnes publiques. Les enseignements tirés des contrôles à venir devraient toutefois être également précieux pour les entreprises privées souhaitant développer ce type de technologie.
Traçage via les applications mobiles
Jusqu’à récemment, la CNIL s’était essentiellement concentrée sur le traçage des internautes via l’utilisation de techniques issues du web classique, telles que les cookies. Depuis le début de l’année 2023, l’autorité de protection française a toutefois commencé à rendre des décisions portant sur les identifiants mobiles (notamment à l’encontre d’Apple et de l’éditeur de jeu mobile Voodoo).
Ce thème fera donc partie de ses sujets prioritaires de contrôle pour 2023, si bien que d’autres décisions devraient être rendues publiques au cours de l’année. L’écosystème mobile présente des caractéristiques spécifiques qui nécessitent la mise en œuvre de solutions sensiblement différentes de celles utilisées dans l’univers du web classique, et donc une analyse adaptée par la CNIL.
Fichiers bancaires
L’action de la CNIL dans ce cadre portera sur le « Fichier des Incidents de Crédit aux Particuliers » ou « FIPC ». Ce fichier contient des informations très sensibles sur les incidents de paiement caractérisés et est obligatoirement consulté par les banques dans un certain nombre de cas – tels que l’octroi d’un crédit. La bonne utilisation de ce fichier, et en particulier l’exactitude des données y figurant, est donc particulièrement importante au regard des conséquences que l’inscription en son sein emportent pour les particuliers.
La CNIL annonce que ses contrôles porteront principalement sur les conditions dans lesquelles les banques accèdent au fichier, en extraient les informations et le tiennent à jour.
Accès au dossier patient informatisé (« DPI »)
En 2023, la CNIL poursuivra son action sur ce thème après plusieurs vérifications déjà opérées l’année précédente. L’autorité fait en particulier état de plusieurs plaintes dénonçant des accès par des tiers non autorisés aux DPI au sein des établissements de santé.
Les mesures de sécurité mises en œuvre par les établissements de santé autour du DPI devraient donc être un point d’attention crucial pour la CNIL, qui rappelle que la sécurité des données de santé est un thème très récurrent (et donc important).