La Commission nationale de l'informatique et des libertés a présenté sa stratégie en matière de contrôle, lequel a pour objectif de vérifier le respect du Règlement général sur la protection des données personnelles (RGPD) et le cas échéant de sanctionner l'entité concernée. Ces priorités représentent en moyenne 30% des contrôles effectués. En 2023, l'autorité a conduit 340 contrôles.
Sans grande surprise, l'autorité souhaite s'intéresser plus particulièrement aux Jeux Olympiques de Paris, qui se tiendront du 26 juillet 2024 au dimanche 11 août 2024. Ainsi, des contrôles portant sur "la mise en place des QR codes pour les zones d'accès restreint", "les habilitations d'accès" et "l'utilisation des caméras augmentées" seront effectuées. Le but : vérifier que la collecte des données personnelles respecte bien la législation en vigueur.
La collecte de données via la billetterie
Autre aspect des JO : le volet "plus commercial", soit la collecte des données personnelles intervenant dans le cadre des services de billetterie. "Il apparaît nécessaire de s'assurer des conditions dans lesquelles est opérée cette collecte en vérifiant les informations communiquées, les destinataires des données ou encore les mesures de sécurité déployées", détaille la Commission. Les JO sont également un sujet prioritaire pour l'Agence nationale de la sécurité des systèmes d'information (Anssi), comme l'avait expliqué son directeur Vincent Strubel lors des Assises de Monaco en octobre dernier.
Cette année, l'autorité française va également se concentrer sur les droits d'accès des personnes concernées. Ce thème s'inscrit dans le cadre de la troisième action du Cadre d'application coordonné du Comité européen pour la protection des données (CEPD), dont l'objectif est d'harmoniser l'application effective du RGPD et la coordination entre les autorités de contrôle. Avec ses homologues européens, elle va procéder à des vérifications sur les conditions de mises en oeuvre du droit d'accès.
En effet, en vertu du RGPD, dans la plupart des cas, la personne dont les données sont traitées peut demander directement des informations à l'organisme concerné. Le responsable du traitement, désigné comme tel en vertu de la législation, doit lui communiquer une copie des informations qui la concernent et préciser leurs sources. Dans certains cas, la personne ne dispose que d'un droit d'accès indirect. Elle doit alors s'adresser à la Cnil qui se chargera de procéder aux vérifications.
La dématérialisation des tickets de caisse dans le viseur
Troisième sujet thématique : les programmes de fidélité et la dématérialisation des tickets de caisse. Comme l'explique la Cnil, la majorité des enseignes de la grande distribution proposent désormais des programmes de fidélité qui peuvent entraîner une collecte massive d'informations sur les consommateurs, telles que "les habitudes alimentaires, composition du foyer, catégories d'âge des enfants, présence d'animaux domestiques...". Ces données peuvent ensuite servir "dans le cadre de prospection commerciale ou de ciblage publicitaire".
Dans le domaine du commerce également, l'autorité va se pencher sur les tickets de caisse dématérialisés, issus de la loi relative à la lutte contre le gaspillage et à l'économie circulaire. Cette récente évolution peut provoquer "des traitements additionnels des données personnelles pour permettre, par exemple, l'envoi du ticket par SMS ou courriel". Le respect de deux obligations sera contrôlé : l'information partagée avec le consommateur et le respect du recueil du consentement avant toute réutilisation des données à des fins de ciblage publicitaire.
La collecte des données des mineurs inquiète
Le dernier thème pour 2024 porte sur les données personnelles des mineurs collectées en ligne. L'utilisation massive des services en ligne, réseaux sociaux et autres, peut conduire à "une collecte massive d'information sur leur identité, préférences ou habitudes de vie". Ce qui peut avoir "des répercussions non négligeables sur leur intimité, leur bien-être psychique ou leur avenir socioprofessionnel".
Lors de ses contrôles, l'autorité souhaite vérifier la mise en oeuvre des mécanismes de vérification d'âge "sur les applications et les sites plus prisés des enfants et adolescents", quelles mesures de sécurité sont prévues et si le principe de minimisation des données est respecté.
La protection des données des mineurs en ligne prend une place de plus en plus importante dans le débat public dans le contexte de l'adoption du Digital Services Act (DSA). Ce texte est applicable pour les très grandes plateformes en ligne et les très grands moteurs de recherche depuis le 25 août 2023. Début novembre, la Commission européenne a ainsi envoyé des demandes d'information à YouTube et TikTok sur les mesures mises en place pour protéger les mineurs utilisateurs de leurs services.
Un panel d'actions
A la suite d'un contrôle, la Cnil peut prendre une série de mesures allant de la clôture du dossier à la mise en demeure en passant par un rappel aux obligations légales. Elle peut également prononcer une sanction pouvant s'élever jusqu'à 20 millions d'euros ou dans le cas d'une entreprise jusqu'à 4% du chiffre d'affaires annuel mondial.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
