Chaque année, la CNIL annonce les thématiques prioritaires de ces contrôles pour l’année en cours.

En 2022, elle avait notamment travaillé sur la surveillance du télétravail, la prospection commerciale et le cloud. En 2023, elle avait notamment priorisé l’accès des patients à leur dossier médical et le traçage des utilisateurs d’applications mobiles.

Sur les trois dernières années, la CNIL a réalisé en moyenne 350 contrôles, qui font suite à des plaintes, des initiatives spontanées ou encore en raison de l’actualité. Environ 30% de ces contrôles sont liés aux thématiques prioritaires retenues par la CNIL.

Pour 2024, la CNIL a annoncé 4 thématiques prioritaires :

  • le droit d’accès des personnes,
  • les programmes de fidélité et la dématérialisation des tickets,
  • les données des mineurs collectées en ligne,
  • et la collecte de données dans le cadre des Jeux Olympiques de Paris.

1️⃣ Le droit d’accès

Le RGPD et la loi Informatiques & Libertés consacrent aux personnes un droit d’accès, leur permettant de connaître les données personnelles qu’un organisme détient sur elles.

Le droit d’accès comprend trois composants :

  • le droit d’avoir la confirmation du traitement ou de l’absence de traitement de ses données personnelles,
  • le droit d’accéder aux données, incluant une copie des données personnelles,
  • le droit d’être réinformé des raisons du traitement.

Dans son rapport annuel de 2022, la CNIL indiquait avoir reçu 1512 plaintes de personnes rencontrant des difficultés dans l’exercice de leur droit d’accès à leurs données traitées dans le cadre de relations commerciales et de travail. Cela représente 19% des plaintes reçues par la CNIL en 2022.

Cela motive la volonté de la CNIL de procéder à des vérifications sur les conditions de mise en œuvre du droit d’accès. Les résultats de ces contrôles ont également vocation à être partagé au niveau du CEPD qui réunit l’ensemble des CNIL européennes.

2️⃣ Les programmes de fidélité et les tickets dématérialisés

La CNIL souhaite enquêter sur le fonctionnement des programmes de fidélité mis en place par de nombreuses enseignes. Elle souhaite aussi enquêter sur la dématérialisation des tickets de paiement, à la suite de la loi AGEC.

Ces deux traitements conduisent à collecter un nombre important de données à caractère personnel. C’est notamment le cas des coordonnées personnelles (email ou numéro de téléphone pour recevoir un ticket dématérialisé, achats réalisés et listés sur le ticket dématérialisé ou enregistrés dans le cadre du programme de fidélité, etc.).

Or ces données peuvent faire l’objet d’une réutilisation marketing (ciblage publicitaire, démarchage par SMS/email, etc.) pour lesquels les personnes n’ont pas nécessairement été informées ou pour lesquels elles n’ont pas fourni leur consentement.

3️⃣ Les données des mineurs collectées en ligne

Les différentes plateformes en ligne et réseaux sociaux collectent massivement des données personnelles sur leurs utilisateurs (identité, préférences ou habitudes de vie).

Les mineurs n’échappent pas à cette collecte qui peut affecter sensiblement leur vie privée, leur bien-être ou leur avenir professionnel.

La CNIL entend donc investiguer les principales plateformes utilisées par les mineurs français afin de vérifier si leur éditeur ont bien pris en compte la protection des droits et intérêts de leur jeune public (minimisation des données, vérification de l’âge, sécurité, etc.).

4️⃣ La collecte dans le cadre des Jeux Olympiques

La CNIL annonce qu’elle s’intéressera aux dispositifs de sécurité qui seront déployés pour assurer les contrôles des spectateurs des Jeux Olympiques.

Elle contrôlera également les services commerciaux (tels que la billetterie) afin de s’assurer que les éventuels partages de données entre les partenaires sont conformes au RGPD.

*

Le cabinet SHIFT avocats accompagne et conseille les entreprises en Droit des données personnelles depuis plus de 20 ans. Contactez-nous pour toute question: contact@shift-avocats.com