La Cnil effectue très souvent des contrôles à partir des plaintes reçues et de l’actualité. Elle se fixe également des thèmes de contrôle annuels. En 2023, la Cnil annonce qu’elle se concentrera sur les usages des caméras augmentées par les acteurs publics, l’utilisation du fichier des incidents de crédit aux particuliers, la gestion des dossiers de santé et les applications mobiles.
Des contrôles des caméras augmentées utilisées lors des événements sportifs
La Cnil a fait des caméras augmentées un axe prioritaire de son plan stratégique 2022-2024. Il y aura un accompagnement des acteurs privés et publics, mais aussi des contrôles. Le recours aux caméras augmentées ou intelligentes est prévu lors de la Coupe du monde de rugby en 2023 et les Jeux Olympiques de 2024. La Cnil veut vérifier le respect du cadre légal par les acteurs publics.
En ce qui concerne le fichier des incidents de crédit aux particuliers (FICP) de la Banque de France, les contrôles porteront sur les conditions dans lesquelles les banques accèdent au fichier, en extraient des informations et le tiennent à jour après régularisation des incidents de paiement. Ce fichier recense les incidents de paiement liés aux découverts et aux crédits accordés pour des besoins non professionnels, ainsi que les informations relatives aux situations de surendettement. Sa consultation par les banques est obligatoire, notamment avant tout octroi de crédit.
Des accès par des tiers non autorisés à des dossiers patients informatisé
Autre cas, le dossier patient informatisé des établissements de santé fera l’objet de contrôles menés pour examiner l’ensemble des mesures mises en place pour assurer la sécurité des données et les accès. Des vérifications ont déjà été engagées par la Cnil sur l’accès au dossier patient informatisé (DPI) en 2022 et se poursuivront en 2023. La Cnil a déjà reçu des plaintes qui dénoncent des accès par des tiers non autorisés à des DPI au sein d’établissements de santé.
Enfin, la Cnil va poursuivre ses vérifications sur les nouveaux modes de traçage des utilisateurs par les applications mobiles. Elle pointe que les fabricants de téléphones mettent à disposition des éditeurs d’application des identifiants permettant un suivi des utilisateurs pour des objectifs publicitaires, statistiques ou techniques. Il s’agit des identifiants Apple IDFA (IDentifier For Advertisers), IDFV (IDentifier For Vendors), Google AAID (Android Advertising ID), etc.
Absence d’information des utilisateurs sur les identifiants mobiles
Pour la Cnil, l’usage systématique de ces identifiants, équivalent « mobile » de l’utilisation massive des cookies sur les sites web, s’effectue bien souvent sans l’information ou le consentement des utilisateurs. La Cnil a réalisé plusieurs contrôles sur des applications qui accèdent aux identifiants générés par les systèmes d’exploitation mobiles en l’absence de consentement des utilisateurs. Elle poursuivra ses contrôles en 2023.
Contrôles de la Cnil à venir : caméras intelligentes, apps mobiles, fichiers bancaires et dossiers patients
Marie-Laure Denis, présidente Cnil