Cybersécurité, données de santé et cookies : les priorités de la Cnil en 2021

Tout au long de l’année, la Cnil reçoit une multitude de plaintes et effectue des milliers de contrôles auprès des acteurs mettant en œuvre des traitements de données personnelles. Grâce à leurs analyses, et dans un contexte de crise sanitaire, le régulateur des données personnelles a déterminé trois axes prioritaires autour desquels il orientera ses investigations en 2021 : la cybersécurité du Web français, la sécurité des données de santé et le respect des règles applicables aux cookies.

Traitement domestique et transfrontalier de données

Des failles de sécurité dans les sites web sont très souvent constatées et peuvent entraîner la violation des données à caractère personnel des internautes (2 825 notifications reçues à ce titre en 2020, 24 % de plus qu’en 2019). Les organismes traitant ce type d’informations numériques sont pourtant soumis à une obligation générale de sécurité, détaillée par les articles 32, 33 et 34 du RGPD. La Cnil sera cette année particulièrement vigilante aux formulaires de collecte de données personnelles, à l’utilisation du protocole HTTPS (permettant de vérifier l'identité et la fiabilité d’un site web) ainsi qu’à la conformité des professionnels et des collectivités à ses recommandations concernant l’authentification par mot de passe. Elle souhaite contrôler le niveau de sécurité offert par les sites français les plus utilisés et appréciera notamment leurs stratégies face à la menace des ransomwares.

En 2020, la Commission avait déjà orienté sa stratégie de surveillance vers la sécurité des données sensibles des patients. Un an de pandémie plus tard, les enjeux y étant liés n’ont fait que s’aiguiser compte tenu de la numérisation massive du secteur médical (gestion des dossiers informatisés, prise rendez-vous en ligne, consultation à distance…). Raison pour laquelle, au-delà des examens de conformité, elle veut encore renforcer le degré de sécurité concernant les informations de santé des personnes concernées.

L’utilisation des cookies et autres traceurs était également suivie de près par la Cnil l’année dernière. À ce sujet, les vérifications du respect des obligations en matière de ciblage publicitaire et de profilage des internautes seront étendues aux règles de recueil du consentement à partir d’avril 2021. Les réclamations abondantes des utilisateurs témoignent par ailleurs de la sensibilisation générale du public à ces problématiques.

En ce qui concerne les traitements transfrontaliers de données, la coopération entre États membres de l’Union européenne va se poursuivre. Comme prévu par le RGDP, la Cnil sollicitera l’assistance mutuelle entre autorités de protection des données, réalisera des opérations conjointes permettant des contrôles dans toute l’Union européenne et des décisions harmonisées dans le cadre de la procédure du guichet unique.

Léna Fernandes