Propriété intellectuelle

Axes prioritaires de contrôle de la CNIL en 2024 : à quoi faut-il s’attendre ?

Par Laetitia RAFFIN, avocate au sein du Cabinet AKLEA.

Comme chaque année, la CNIL détermine des axes prioritaires de contrôle en guise de bonnes résolutions pour assurer la conformité des entreprises et des organisations face aux sujets d’importances pour les personnes concernées.

Souvent déterminés à la suite des plaintes qu’elle a reçues pour l’année précédente ou des évènements majeurs à venir, ces axes de contrôle représentent près de 30% des contrôles réalisés par l’autorité administrative.

Sur les 340 contrôles réalisés en 2023, c’est donc pas moins de 102 entreprises et organisations qui ont fait l’objet d’une attention particulière sur ces thématiques.

Après le contrôle prioritaire de l’utilisation de caméra augmentée, l’utilisation de fichier des incidents de crédits aux particuliers, la gestion des dossiers de santé et la protection des applications mobiles en 2023, la CNIL met désormais l’accent sur quatre nouvelles thématiques importantes et d’actualité au regard des évènements récents ou à fort enjeux en France pour l’année 2024.

1. La collecte de données dans le cadre des Jeux Olympiques et Paralympiques

Les Jeux Olympiques et Paralympiques sont sans conteste l’événement majeur de la France pour cette nouvelle année.

Pour cette occasion, la France n’a pas lésiné sur les moyens et les innovations en matière de  technologies, qui impliqueront, de facto, d’importants challenges en matière de protection des  données personnelles.

Mais comme on le sait « un grand pouvoir [sur les données] implique de grandes responsabilités ».

C’est donc sans grande surprise que la CNIL se penchera sur la manière dont ces données, collectées à grande échelle dans le cadre de cet événement qui attirent des millions de spectateurs et d’athlètes du monde entier, seront traitées et utilisées par les nombreux acteurs privés et publics, partenaires de l’événement.

À ce titre, la CNIL indique que les billetteries en ligne, les dispositifs de sécurité, l’utilisation des caméras augmentées ou même les contrôles par QR code permettant l’accès à certaines zones ou espaces feront notamment l’objet d’une attention particulière dans le cadre de cette thématique.

Ces sujets ne seront pour autant pas exhaustifs et tout traitement de données personnelles à des fins publicitaires ou marketing, voire tout transfert de données réalisés ultérieurement à la collecte réalisée dans le cadre des Jeux Olympiques pourra également faire l’objet d’une attention vigilante de la CNIL.

2. Les données des mineurs collectées en ligne

Avec l’évolution des technologies, des réseaux sociaux et des jeux-vidéo, les mineurs sont de plus en plus exposés aux risques liés à la collecte de données en ligne et ne font pas exception à la règle face aux entreprises. Ceux-ci ne sont toutefois pas nécessairement pleinement conscients des enjeux et risques derrière la communication de leurs données et les collectes réalisées par les différents acteurs peuvent avoir des conséquences non négligeables sur différents aspects de leur vie et de leur avenir.

En réponse à cette préoccupation croissante, la CNIL se lance cette année dans un examen minutieux des mécanismes de contrôle d’âge, des mesures de sécurité, de recueil du consentement parental et de respect des principes essentiels du RGPD pour les services en ligne destinés aux mineurs.

En effet, les entreprises doivent être conscientes de leurs obligations légales en matière de protection des mineurs, et délivrer une information adaptée à un public d’enfants qui doit notamment être facilement accessible et rédigée en des termes clairs et simples.

De nombreux secteurs d’activités risquent d’être concernés par cet axe de contrôle, à l’instar des jeux-vidéo, des applications mobiles ou des plateformes de réseaux sociaux par exemple.

3. Les programmes de fidélité et tickets de caisse dématérialisés

Depuis le 1er août 2023 et l’entrée en vigueur de la loi du 10 février 2020 relative à la lutte contre le gaspillage et à l’économie circulaire (LOI n° 2020-105 du 10 février 2020 relative à la lutte contre le gaspillage et à l’économie circulaire), l’impression systématique des tickets de caisse est désormais interdite.

Si le principe d’impression des tickets de caisse ne posait jusqu’alors aucune difficulté en matière de protection des données personnelles, cette nouvelle réforme pose désormais des défis en la matière puisque l’envoi des tickets de caisse dématérialisés implique un traitement de données supplémentaire avec, a minima, la collecte d’une adresse email ou les coordonnées du consommateur.

La collecte de cette nouvelle donnée interroge sur les utilisations ultérieures qui pourraient être réalisées par l’entreprise notamment à des fins marketing ou de publicité ciblée en fonction des achats réalisés. Il est donc essentiel pour les entreprises qui souhaitent rester conformes au RGPD de ne pas abuser de ce nouveau traitement, d’obtenir le consentement préalable, exprès et écrit du consommateur pour toute autre utilisation ou le cas échéant, de ne pas conserver les données collectées au-delà du temps nécessaire à l’envoi du ticket de caisse.

Mais la CNIL ne s’arrête pas là.

Dans le même esprit, les programmes de fidélités mis en place par de nombreuses enseignes collectant souvent une quantité importante d’informations personnelles sur les consommateurs – parfois injustifiées par le principe de minimisation – seront également sous le feu des projecteurs.

À ce titre, la CNIL s’intéressera notamment au recueil du consentement qui n’est pas toujours explicitement donné par les consommateurs pour des traitements ultérieurs réalisés à des fins marketing et qui voient, malgré tout, leurs données utilisées par certaines enseignes pour diverses finalités.

La CNIL entend donc être vigilante à ces pratiques dans le cadre de ses contrôles pour 2024.

4. L’exercice du droit d’accès des personnes concernées

Le dernier axe prioritaire de contrôle, et non des moindre, concerne le respect du droit d’accès.

Utilisé de plus en plus fréquemment par les consommateurs, et surtout par les salariés face à leurs anciens employeurs, la CNIL sera, cette année, attentive aux modalités d’exercice du droit d’accès prévu par l’article 15 du RGPD.

Ce dernier axe de priorité entre dans le cadre d’une action coordonnée avec d’autres autorités européennes de protection des données destinée à vérifier la mise en oeuvre du droit d’accès des personnes conformément au RGPD. Cette action, qui vise à garantir une application cohérente du RGPD à l’échelle nationale et européenne, devrait notamment se concentrer sur les points suivants, encore trop souvent peu pris en compte par les entreprises :

  • Le délai de réponse, qui doit rester un délai raisonnable.
  • La forme de la réponse, qui doit permettre aux personnes d’obtenir des informations claires et complètes sur leurs données personnelles.
  • Le coût de la réponse, qui doit rester raisonnable.
  • La teneur des motifs utilisés par l’entreprise pour refuser la communication de données.

Depuis plusieurs années, les plaintes auprès de la CNIL se multiplient en matière de droit d’accès. Nul doute que celles-ci ont été décisives dans la prise en compte de cet axe comme priorité de contrôle des différentes autorités européennes.

En conclusion, il est sans conteste que ces nouveaux axes prioritaires de contrôle permettront à de nombreux acteurs d’y voir plus clair sur les attentes de la CNIL concernant leurs obligations en matière de traitements des données personnelles et renforceront, une fois de plus, la protection des personnes concernées dans cette ère digitalisée.

Axes prioritaires de contrôle de la CNIL en 2024 : à quoi faut-il s’attendre ? Par Laetitia RAFFIN, avocate au sein du Cabinet AKLEA.

Author Image
TeamBLIP!

Previous Post

Next Post

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles liés

Intelligence Artificielle et Brevets aux US

Intelligence Artificielle et Brevets aux US

Premier fournisseur de services d’IA générative condamné par les juges chinois pour violation de droits d’auteur : l’affaire Ultraman

Premier fournisseur de services d’IA générative condamné par les juges chinois pour violation de droits d’auteur : l’affaire Ultraman

Du bon usage des disclaimers : bien décrire ce qui est exclu

Du bon usage des disclaimers : bien décrire ce qui est exclu

L’affaire Veuve Clicquot : de la difficile reconnaissance du caractère distinctif acquis par l’usage des marques de couleur

L’affaire Veuve Clicquot : de la difficile reconnaissance du caractère distinctif acquis par l’usage des marques de couleur