Quels contrôles fera la CNIL ces prochains mois ?
Publié le 18/07/2018 par Etienne Wery
La CNIL a rendu public son programme annuel des contrôles. Ce bel effort de transparence poursuit un autre objectif : en communiquant sur ses axes stratégiques, la CNIL fait de la prévention très active. On met en général plus d’énergie à corriger un problème si l’on sait qu’on a de grandes chances d’être contrôlés. Bien joué !
Le RGPD, mais pas seulement
La CNIL vérifiera évidemment le respect des obligations nouvelles issues du RGPD (droit à la portabilité, analyses d’impact, etc.).
Mais elle prévient : elle contrôlera aussi le respect des principes fondamentaux de la protection des données, qui sont pour l’essentiel inchangés par rapport à la loi du 6 janvier 1978 « informatique et libertés » (loyauté du traitement, pertinence des données, durée de conservation, sécurité, etc.).
C’est clairement dans la tendance actuelle : la mise en conformité RGPD a souvent montré que les entreprises étaient insuffisamment conscientes du cadre général qui existe depuis des décennies. On a trop souvent vu des chefs d’entreprise rester bouche bée quand on leur parle de base de licéité ou encore de durée de conservation. Il a donc fallu d’abord mettre à niveau avant d’ajouter la nouvelle couche issue du RGPD.
Les sanctions
Comme elle l’a déjà annoncé, « la CNIL tiendra compte dans un premier temps, dans l’appréciation des suites à donner à ses contrôles, de la dynamique engagée par les organismes pour se conformer pleinement aux nouvelles exigences européennes. »
Coopération européenne
Le RGPD conduira également la CNIL, pour la première fois, à participer à des opérations de contrôle conjointes avec ses homologues européennes sur certains dossiers de dimension transfrontalière.
Pour le reste, les grandes lignes de la stratégie de contrôle de la CNIL restent inchangées. La Commission réalisera, comme en 2017, environ 300 contrôles. Par ailleurs, comme les années précédentes, ces investigations auront pour origines, de manière équilibrée :
- Les réclamations et les signalements adressés à la CNIL ;
- Les vérifications effectuées à la suite de clôture, de mises en demeure ou de sanctions ;
- Les missions réalisées en fonction des sujets d’actualité ;
Trois thématiques spécifiques
Outre les trois tirets ci-dessus, la CNIL établit chaque année un programme annuel des contrôles, « c’est-à-dire un certain nombre de thématiques spécifiques, décidées à l’avance chaque année sur quelques grands enjeux. »
En l’occurrence, sont au menu :
a) Les traitements liés au recrutement
Les acteurs du recrutement traitent de nombreuses données relatives aux candidats et sont amenés à recourir, de plus en plus, à des méthodes fondées sur le « big data » et l’utilisation d’algorithmes d’aide au recrutement. Ces méthodes permettent notamment de mieux connaître les candidats et de prédire leur performance sur un poste en fonction de critères définis. Certaines entreprises recourent par exemple à des dispositifs leur permettant d’analyser le débit de parole d’un candidat ou ses expressions du visage pendant un entretien, pour évaluer notamment ses émotions et déterminer sa capacité à occuper un poste. Des contrôles permettront notamment de vérifier les moyens déployés pour l’identification de candidats, les outils utilisés par les équipes RH pour leur évaluation, les critères de sélection et les conditions de traitement des données.
b) Les pièces justificatives demandées par les agences immobilières
La difficulté d’accès au logement est une des préoccupations majeures de notre époque. Le décret n° 2015-1437 du 5 novembre 2015 a entendu renforcer les droits des locataires en fixant la liste limitative des pièces pouvant être demandées aux candidats à la location ainsi qu’à leur caution. Pour autant, plus de deux ans après l’adoption de ce texte, il apparaît que ce cadre n’est pas respecté et que de nombreuses pièces complémentaires telles que des attestations d’absence de crédit en cours ou des dossiers médicaux sont exigés par les agences immobilières. Cette pratique aurait même augmenté. Les vérifications opérées auront ainsi vocation à constater cette pratique en portant plus précisément sur la licéité de la collecte, la proportionnalité des données collectées, les durées de conservation et la sécurisation des documents.
c) Les traitements relatifs à la gestion des services de stationnements payants réalisés au moyen d’équipements connectés
La loi de modernisation de l’action publique territoriale et d’affirmation des métropoles, dite loi « MAPTAM », a modifié à compter de janvier 2018 les règles de gestion du stationnement payant sur la voie publique. Ce dernier relève désormais intégralement des collectivités territoriales qui peuvent confier à des prestataires le contrôle du paiement des redevances de stationnement et la notification des forfaits de post-stationnement. Les contrôles prévus auront pour but de s’assurer que le transfert de gestion des mairies vers des prestataires privés ne conduit pas à l’abaissement des garanties prévues par la loi du 6 janvier 1978 modifiée. Ils porteront en particulier sur la pertinence des données fournies et recueillies, l’information des usagers, les modalités de conservation des données ainsi que les mesures mises en œuvre pour assurer leur sécurité.
(Source : communiqué de la CNIL)