En 2015, un objectif d’environ 550 contrôles est prévu (421 contrôles réalisés en 2014), se décomposant de la façon suivante :
- environ 350 vérifications sur place, sur audition ou sur pièces. Un quart des contrôles sur place portera sur les dispositifs de vidéoprotection / vidéosurveillance
- 200 contrôles en ligne.
Les thématiques prioritaires des contrôles 2015
Comme chaque année, la CNIL prévoit de dédier une part significative de son activité de contrôle à des thèmes choisis du fait de leur impact sur les libertés et du nombre important de personnes concernées.
Le paiement sans contact : le large développement de ces dispositifs en fait une thématique de première importance, eu égard notamment au nombre de personnes concernées. Outre les questions de sécurité, la prise en compte du droit d'opposition sera notamment vérifiée.
Le traitement de données personnelles dans le cadre de la gestion des risques psycho-sociaux (RPS) en entreprise : dans le prolongement de l’accord national interprofessionnel de 2008 relatif à l’amélioration des conditions de travail, de plus en plus d’entreprises diligentent des enquêtes sur les risques psychosociaux auprès de leur salariés afin d’évaluer et de mieux lutter contre le stress au travail. Ces enquêtes soulèvent des questions pratiques qui ont conduit de nombreux salariés à saisir la CNIL. Les contrôles s’opèreront auprès de prestataires et d’entreprises (publiques et privées) ayant mené une enquête RPS ces dernières années.
Le Fichier National des Permis de Conduire mis en œuvre par le ministère de l’Intérieur : ce fichier répertorie l’ensemble des permis de conduire enregistrés en France (environ 40 millions). Le solde des points restants sur le permis est consultable en ligne depuis le site telepoints.info. Le FNPC comporte également toutes les décisions relatives au permis de conduire, et notamment, les décisions administratives (retrait, suspension, annulation, restriction du droit d’en faire usage) et judiciaires (y compris les compositions pénales, amendes ainsi que les procès-verbaux des infractions constatées). Les vérifications porteront en particulier sur la fiabilité et la mise à jour des données, leurs modalités d’accès et leur sécurisation.
Les objets connectés « bien-être et santé » : un écosystème s’est développé autour d’une offre bien-être et santé comprenant des objets connectés et des services en ligne, permettant le suivi individuel et le partage de données relatives par exemple à l’activité physique ou l’évolution de la corpulence du détenteur. Ces dispositifs suscitent de nombreuses interrogations quant à l’information et au consentement des utilisateurs.
Les outils de mesure de fréquentation des lieux publics : ces nouveaux dispositifs déployés dans l’espace public (centres commerciaux, quartiers ou villes entières) permettent via les connexions aux bornes mobiles et wifi une mesure fine du trafic de données personnelles. Ces mesures permettent entre autres objectifs de monétiser l’espace publicitaire. Des contrôles sur ces thèmes permettront de renforcer la doctrine naissante.
Les « Binding Corporate Rules » (BCR) : à ce jour, 68 sociétés ont adopté des BCR. Ces dispositifs n’ont fait pour l’heure l’objet d’aucun contrôle ex-post. La réalisation de contrôles de quelques entreprises ayant adopté des BCR fournira un éclairage sur l’impact du dispositif au regard de la protection des données personnelles et du respect de la vie privée au sein des groupes concernés.
Enfin, l’année 2015 sera l’occasion pour la CNIL de continuer le travail de
coopération internationale entre autorités de protection des données. Cette coopération s’effectuera notamment au travers du troisième volet du « Sweep Day » coordonnée par le GPEN ("Global Privacy Enforcement Network" – réseau international d’autorités en charge de la protection de la vie privée) qui concernera le thème de « la vie privée de la jeunesse » (« Youth Privacy »).
Concrètement, l’audit conjoint qui sera réalisé en mai portera sur les services en ligne proposés aux mineurs (sites visant particulièrement les utilisateurs de moins de 12 ans et/ou les adolescents). Les autorités se concentreront notamment sur l’information, et le contrôle de l’âge.
En outre, des contrôles seront menés dans le cadre de la coopération européenne en matière de police (Europol, Schengen, etc.).
