En 2018, comme les années précédentes, la CNIL réalisera environ 300 contrôles sur place, sur audition, sur pièces et en ligne. Sa stratégie de contrôles sera naturellement marquée par les suites de l’entrée en application du RGPD et de la loi du 20 juin 2018.
L’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai dernier, ainsi que de la loi du 20 juin 2018 relative à la protection des données personnelles, conduira en effet à des ajustements dans le dispositif de contrôle de la CNIL.
La CNIL adaptera naturellement le périmètre de l’ensemble de ses investigations pour intégrer le nouveau cadre juridique européen. Elle contrôlera ainsi le respect des principes fondamentaux de la protection des données, qui sont pour l’essentiel inchangés par rapport à la loi du 6 janvier 1978 « informatique et libertés » (loyauté du traitement, pertinence des données, durée de conservation, sécurité, etc.). Elle vérifiera également le respect des obligations nouvelles issues du RGPD (droit à la portabilité, analyses d’impact, etc.). Comme elle l’a déjà annoncé, la CNIL tiendra compte dans un premier temps, dans l’appréciation des suites à donner à ses contrôles, de la dynamique engagée par les organismes pour se conformer pleinement aux nouvelles exigences européennes.
Le RGPD conduira également la CNIL, pour la première fois, à participer à des opérations de contrôle conjointes avec ses homologues européennes sur certains dossiers de dimension transfrontalière.
Pour le reste, les grandes lignes de la stratégie de contrôle de la CNIL restent inchangées. La Commission réalisera, comme en 2017, environ 300 contrôles. Par ailleurs, comme les années précédentes, ces investigations auront pour origines, de manière équilibrée :
- Les réclamations et les signalements adressés à la CNIL ;
- Les vérifications effectuées à la suite de clôture, de mises en demeure ou de sanctions ;
- Les missions réalisées en fonction des sujets d’actualité ;
- le programme annuel des contrôles, c’est-à-dire un certain nombre de thématiques spécifiques, décidées à l’avance chaque année sur quelques grands enjeux.
Concernant cette dernière composante de son activité de contrôle (environ un quart des investigations) qu’est le programme annuel des contrôles, la CNIL portera plus particulièrement son attention, pour 2018, sur trois grandes thématiques, qui ont été choisies en raison du grand nombre de personnes concernées par les traitements mis en œuvre ainsi et de leur impact sur la vie quotidienne.
Les traitements liés au recrutement
Les acteurs du recrutement traitent de nombreuses données relatives aux candidats et sont amenés à recourir, de plus en plus, à des méthodes fondées sur le « big data » et l’utilisation d’algorithmes d’aide au recrutement. Ces méthodes permettent notamment de mieux connaître les candidats et de prédire leur performance sur un poste en fonction de critères définis. Certaines entreprises recourent par exemple à des dispositifs leur permettant d’analyser le débit de parole d’un candidat ou ses expressions du visage pendant un entretien, pour évaluer notamment ses émotions et déterminer sa capacité à occuper un poste. Des contrôles permettront notamment de vérifier les moyens déployés pour l’identification de candidats, les outils utilisés par les équipes RH pour leur évaluation, les critères de sélection et les conditions de traitement des données.
Les pièces justificatives demandées par les agences immobilières
La difficulté d’accès au logement est une des préoccupations majeures de notre époque. Le décret n° 2015-1437 du 5 novembre 2015 a entendu renforcer les droits des locataires en fixant la liste limitative des pièces pouvant être demandées aux candidats à la location ainsi qu’à leur caution. Pour autant, plus de deux ans après l’adoption de ce texte, il apparaît que ce cadre n’est pas respecté et que de nombreuses pièces complémentaires telles que des attestations d’absence de crédit en cours ou des dossiers médicaux sont exigés par les agences immobilières. Cette pratique aurait même augmenté. Les vérifications opérées auront ainsi vocation à constater cette pratique en portant plus précisément sur la licéité de la collecte, la proportionnalité des données collectées, les durées de conservation et la sécurisation des documents.
Les traitements relatifs à la gestion des services de stationnements payants réalisés au moyen d’équipements connectés
La loi de modernisation de l’action publique territoriale et d’affirmation des métropoles, dite loi « MAPTAM », a modifié à compter de janvier 2018 les règles de gestion du stationnement payant sur la voie publique. Ce dernier relève désormais intégralement des collectivités territoriales qui peuvent confier à des prestataires le contrôle du paiement des redevances de stationnement et la notification des forfaits de post-stationnement. Les contrôles prévus auront pour but de s’assurer que le transfert de gestion des mairies vers des prestataires privés ne conduit pas à l’abaissement des garanties prévues par la loi du 6 janvier 1978 modifiée. Ils porteront en particulier sur la pertinence des données fournies et recueillies, l’information des usagers, les modalités de conservation des données ainsi que les mesures mises en œuvre pour assurer leur sécurité.
ARTICLE PROVENANT DU SITE WEB DE LA CNIL: https://www.cnil.fr/fr/quelles-thematiques-prioritaires-et-quelle-strategie-de-controle-pour-2018
