En ce début février 2024, la CNIL a fait part des thématiques[1] qu’elle considère comme devant faire l’objet de contrôles prioritaires pour cette année.
Il s’agit de :
- La collecte de données dans le cadre des Jeux Olympiques et Paralympiques,
- Les données des mineurs collectées en ligne,
- Les programmes de fidélité et tickets de caisse dématérialisés,
- Le droit d’accès des personnes concernées.
L’autorité de protection des données affirme que près d’un tiers des contrôles qu’elle réalise par an concerne les thématiques prioritaires soulevées sur une année, ce qui a pour conséquence de faire de celles-ci un point d’alerte particulier.
Intéressons-nous dès lors aux problématiques pratiques issues de ces sujets :
1) La collecte de données dans le cadre des Jeux Olympiques et Paralympiques
Sans surprise, la CNIL fait figurer dans ses priorités la collecte de données dans le cadre des Jeux Olympiques et Paralympiques devant se dérouler dans la capitale.
L’autorité nationale indique qu’elle sera particulièrement vigilante sur les conditions de la collecte et souhaite procéder à de nombreuses vérifications pour s’assurer du respect du RGPD notamment dans le cadre des services de billetterie.
De plus, la forte affluence prévue pour mi-juillet, rend les données susceptibles d’être collectées beaucoup plus importantes que pour tout autre évènement. Au surplus les personnes concernées par les données seront non seulement françaises mais d’origines géographiques diverses et variées.
La réflexion actuelle sur les dispositifs à mettre en place pour assurer la sécurité des manifestations sportives entraine de nombreux questionnements autour de la protection des données à caractère personnel pour ce qui est par exemple de l’utilisation de caméras augmentées, l’accès à certains espaces par le biais d’attestations ou de QR codes.
Ces mesures susceptibles d’être attentatoires, plus que d’autres, à la vie privée et requérant plusieurs données personnelles attirent l’attention de l’autorité.
En effet, l’utilisation de caméras augmentées est par exemple d’autant plus contrôlée que la CNIL indiquait déjà en 2023[2] qu’il s’agissait d’une priorité lorsque celles-ci étaient utilisées par des acteurs publics.
Si la CNIL indique souhaiter prioriser le contrôle de la collecte des données à l’occasion de cet évènement, cela ne veut pas dire pour autant qu’elle ne sera pas amenée à contrôler ensuite les transferts de données issues de cette collecte.
De même, le fait de préciser prioriser les services de billetterie et les mesures de sécurité n’aboutit pas à dire que tout autre prestation sera à l’abri de son contrôle.
La question du juste équilibre entre les moyens techniques mis en place pour assurer la sécurité des spectateurs et le besoin que ces mesures ne dépassent pas un certain seuil sera sans doute central dans l'appréciation que fera la CNIL lors du contrôle.
2) Les données des mineurs collectées en ligne
Toujours dans le souci d’agir face à une collecte massive de données, la CNIL a indiqué prioriser la question de la protection des données personnelles de mineurs lors de leur navigation en ligne.
L’Autorité précise vouloir vérifier les dispositifs mis en place sur les sites et les applications les « plus prisés des enfants et adolescents », sans pour autant donner plus de précision pour savoir à partir de quand on peut considérer qu’un site ou une application est « prisée ».
Ce thème prioritaire entre dans la lignée des communications que réalise la CNIL ces dernières années dans le but de protéger les données personnelles de mineurs telles que les précisions apportées sur le contrôle parental[3], la protection des droits numériques[4], une charte éthique sur la diffusion de l’image des mineurs[5]…
Elle précise vouloir vérifier particulièrement les mesures de sécurité et de contrôle de l’âge mis en place, ainsi que le principe de minimisation des données.
3) Les programmes de fidélité et tickets de caisse dématérialisés
Pour rappel, depuis le 1er août 2023, l’impression automatique de tickets de caisse est devenue interdite en vertu de l’application de la Loi n°2020-105 du 10 février 2020.
Cette récente obligation implique que les commerçants laissent le choix à leur client d’avoir ou ne pas avoir de ticket, et leur permettent si certaines conditions sont respectées de recevoir un ticket dématérialisé.
Ce choix laissé au consommateur a pour conséquence la collecte de ses données personnelles lorsque celui-ci choisit par exemple de recevoir un ticket dématérialisé, telles que la collecte de son numéro de téléphone, de son adresse mail et de toute donnée permettant de l’identifier.
Au-delà de cette obligation de ne plus donner automatiquement au consommateur le ticket de caisse, les programmes de fidélité mis en place par les commerçants sont susceptibles de donner lieu à des contrôles de la CNIL en ce que les données collectées par le biais de ce programme se doivent également de respecter les principes du RGPD, dont celui de la minimisation.
4) Le droit d’accès des personnes concernées
Enfin, dans la continuité des différents plans stratégiques adoptés par la CNIL, tel que le plan stratégique pour 2022-2024[6], la CNIL a établi parmi les thématiques prioritaires pour 2024 un contrôle accentué sur les demandes de droits d’accès aux données à caractère personnel.
Bien que n’ayant pas encore été intégré dans les thématiques prioritaires de la CNIL avant 2024, il faut rappeler que le respect de la réglementation applicable en matière de droit des personnes est crucial puisque nombre de contrôles de la CNIL se fondent sur des plaintes déposées par les utilisateurs pour violation de leurs droits.
Le droit d’accès se définit comme la possibilité pour une personne de demander à se voir communiquer les données à caractère personnel la concernant, traitées par une entité, sous un format qu’elle puisse être amenée à comprendre[7].
Une personne peut ainsi, selon l’article 15 du RGPD, demander à l’entité détenant ses données personnelles de lui communiquer une copie de celles-ci sous un délai d’un mois.
Or, le délai d’un mois est à ce jour encore loin d’être respecté par tous et implique une organisation interne permettant de répondre efficacement aux demandes formulées.
La question de l’accès aux données personnelles n’est pas toujours comprise, en ce qu’il est nécessaire de savoir quelles sont les données pouvant être concernées par une demande de droit d’accès mais aussi les limites pouvant être opposées à la personne qui requière cette communication.
Il s’avère pourtant que les demandes de droit d’accès se multiplient de plus en plus, et ce notamment dans le secteur social, où des anciens employés essaient au nom du droit d’accès d’obtenir des informations pour alimenter d’éventuelles poursuites à l’encontre de l’employeur lui-même ou de collègues.
Ainsi, la compréhension de ces thématiques prioritaires de 2024 est d’autant plus cruciale qu’elle fera l’objet de vérifications.
A bon entendeur…
Vicky BOUCHER (Avocate collaboratrice)
[1] https://www.cnil.fr/fr/les-controles-de-la-cnil-en-2024-donnees-des-mineurs-jeux-olympiques-droit-dacces-et-tickets-de
[2] https://www.cnil.fr/fr/thematiques-prioritaires-de-controle-2023-cameras-augmentees-applications-mobiles-fichiers-bancaires
[5] https://www.cnil.fr/fr/la-cnil-associee-la-signature-dune-charte-encadrant-la-diffusion-de-limage-des-mineurs
[6] En effet, la CNIL a indiqué dans son plan stratégique 2022-2024, en tant qu’Axe n°1, vouloir favoriser la maîtrise et le respect des droits des personnes sur le terrain.
[7] La CNIL a pu faire paraitre une fiche dédiée à expliquer en détails le droit d’accès https://www.cnil.fr/fr/comprendre-mes-droits/le-droit-dacces-connaitre-les-donnees-quun-organisme-detient-sur-vous
