Chaque année, la Commission Nationale de l’Informatique et des Libertés (CNIL) sélectionne des domaines spécifiques pour ses contrôles, signalant aux entreprises concernées que le risque de faire l’objet d’une inspection s’accroît.
Pour 2024, la CNIL a identifié quatre thèmes majeurs de contrôle. Nous vous proposons une exploration approfondie de ces thèmes pour vous aider à anticiper et à vous préparer aux contrôles à venir.
1. Jeux olympiques et jeux paralympiques
À l’approche des Jeux Olympiques et Paralympiques de 2024, la France se prépare à accueillir des millions de visiteurs.
Dans ce contexte, la CNIL met l’accent sur deux thématiques en particulier.
La première concerne la sécurité et la surveillance. Forcément avec un tel afflux de visiteurs, la sécurité pose des enjeux en termes de liberté individuelle. La ville de Paris a déjà prévu la mise en place de QR codes pour filtrer les déplacements.
Les caméras de vidéosurveillance avec reconnaissance faciale vont aussi être déployées.
Ce volet concernera en priorité les services de l’Etat.
Le second volet porte sur le commercial et concerne davantage les acteurs privés. Les secteurs impliqués sont ceux du voyage et de l’évènementiel. Les actions commerciales ont été lancées depuis quelques mois et n’auront pas vocation à perdurer après les JO.
On imagine que la CNIL sera intransigeante sur ces contrôles : les profits sont élevés et c’est un évènement one shot pour lequel il n’y a pas de sens à attendre une remédiation.
Les entreprises impliquées dans la collecte de données pour les jeux olympiques doivent donc veiller à leur conformité avec le RGPD, en assurant une protection optimale des données collectées.
2. Protection des Données des Mineurs en Ligne
La protection des données des mineurs en ligne reste une priorité pour la CNIL, en particulier sur les plateformes telles que les réseaux sociaux, les sites de rencontre et les jeux en ligne.
Ce thème de contrôle est la suite logique des travaux approfondis qu’elle avait publiés sur ce sujet en juin 2021.
La CNIL se concentre sur trois aspects cruciaux : le contrôle de l’âge, les mesures de sécurité et la minimisation des données. Les entreprises opérant dans ces secteurs doivent redoubler d’efforts pour mettre en place des systèmes de vérification de l’âge fiables, renforcer la sécurité des données collectées et limiter au strict nécessaire la quantité de données recueillies sur les mineurs.
Actuellement, le marché est encore assez immature en matière de vérification de l’âge. Seuls les plateformes de réseaux sociaux ont fait des efforts ces derniers mois, mais ce n’est pas encore le cas des acteurs du e-commerce, ce qui pourrait entraîner une vague de sanctions en fonction des acteurs contrôlés.
3. Programmes de Fidélité et Tickets de Caisse Dématérialisés
Les programmes de fidélité et la dématérialisation des tickets de caisse représentent un autre domaine d’intérêt pour la CNIL.
Les programmes de fidélité, c’est la base du marketing. La première carte de fidélité en France remonte à 1954. C’est édifiant de voir tout ce qu’on peut déduire à partir de l’analyse des achats : nombre de personnes dans le foyer, catégorie socio-professionnelle, présence ou non d’enfants, animaux domestiques…
De plus, depuis l’interdiction de l’impression automatique des tickets de caisse en août 2023, les entreprises sont incitées à repenser leur approche de collecte des données clients. Certaines en on profité pour demander l’email de leurs clients pour leur envoyer le ticket – et de la pub.
Ce thème met en évidence la nécessité pour les entreprises de trouver un équilibre entre les stratégies marketing et le respect des normes de protection des données.
4. Droit d’accès des personnes concernées
Ce thème fait l’objet d’une action coordonnée à l’échelle européenne par l’EDPB, soulignant l’importance d’une transparence totale et d’une facilité d’accès pour les utilisateurs souhaitant comprendre et contrôler l’utilisation de leurs données.
Les entreprises doivent mettre en place des procédures claires et accessibles pour répondre aux demandes d’accès, sous peine de sanctions.
Le droit d’accès est souvent le cauchemar des entreprises quand un ancien salarié demande la copie des 15.004 emails de sa boite email. Alors que la CNIL a une approche très stricte sur ce point par rapport à d’autres pays.
Conclusion et recommandations
Si vos activités font partie du programme des contrôles CNIL 2024 et que vous n’avez pas encore vérifié la conformité de vos traitements, on vous recommande plus que jamais de mettre en place des actions sans tarder.
Contactez-nous pour bénéficier d’un accompagnement sur mesure, et que nous mettions en place votre plan d’action 2024.
