1. Gestion
  2. Politique de confidentialité - RGPD
  3. Contrôle de la CNIL : quelles sont les thématiques prioritaires en 2022 sur les sites internets ?

Contrôle de la CNIL : quelles sont les thématiques prioritaires en 2022 sur les sites internets ?

Consulter Me Znaty
Consulter Me Znaty
Me Benjamin Znaty
Écrit par Me Benjamin Znaty
Droit du numérique
Droit commercial
Maître Benjamin Znaty (Cabinet Taylor Wessing) : Je conseille depuis plusieurs années une clientèle française et internationale de start-ups, PME et groupes internationaux dans leurs relations commerciales avec clients, partenaires commerciaux et fournisseurs. Je possède par ailleurs une expertise en droit des nouvelles technologies comprenant notamment la rédaction et négociation des contrats informatiques et la gestion des problématiques de propriété intellectuelle, protection des données personnelles et cyber-sécurité.
Vous avez encore des questions ? 🤔
Image des coach CaptainContrat
Posez-les gratuitement à l’un de nos coachs entrepreneuriaux.
Parler à un coach

La crise sanitaire de la COVID-19 a contribué à accroître encore l’utilisation des services en ligne et ainsi les échanges de données personnelles. En conséquence, les risques en découlant ont également été accentués.

C’est dans ce contexte de menace accrue que la Commission Nationale de l’Informatique et des Libertés (CNIL) a annoncé ses thématiques de contrôle pour 2021. Cybersécurité des sites internet, sécurité des données personnelles de santé, attention particulière portée aux cookies et autres traceurs… Parmi ces priorités, la sécurité des sites web représente notamment aujourd’hui un défi majeur pour la CNIL.

Que faire pour s’assurer que votre site est bien conforme aux règles en vigueur ? Comment veiller à ce qu’il soit suffisamment sécurisé ?

Maître Benjamin Znaty, avocat spécialisé en droit des nouvelles technologies, décrypte pour vous ce sujet complexe.

 

 

1/ La CNIL : qu’est-ce que c’est ?


La CNIL est une autorité administrative indépendante française, créée en 1978 par la loi Informatique et Libertés.

Elle veille à la protection des données personnelles et s’assure du fait que l’informatique ne porte pas atteinte à l’identité humaine, aux droits de l’homme ou à la vie privée. Composée de 18 membres, ses missions sont au nombre de quatre : 

  • informer, protéger les droits en répondant notamment aux demandes des particuliers et des professionnels ;
  • accompagner la conformité et conseiller ;
  • anticiper et innover ;
  • contrôler et sanctionner.

 

Ainsi, la CNIL possède des fonctions d’alerte, d’information et de conseil mais dispose également de pouvoirs importants de contrôle et de sanction. En mai 2018, avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), ses pouvoirs et attributions ont été considérablement renforcés.

Dans le cadre des sites internet, la CNIL peut notamment réaliser des contrôles en ligne, sans aucune obligation d’en avertir l’éditeur du site internet concerné. En cas de manquement constaté, l’action de la CNIL peut consister en un simple rappel à l’appel à l’ordre, une injonction de se mettre en conformité, ou une sanction pécuniaire. 

 

2/ Les grandes priorités de la CNIL pour 2021

 

En 2021, la CNIL a annoncé qu’elle allait se focaliser sur trois grandes thématiques de contrôle : la cybersécurité des sites web, la sécurité des données de santé et enfin l’utilisation des cookies.

Il ne s’agit pas là d'enjeux nouveaux, puisque la CNIL avait déjà amorcé des contrôles en 2020, notamment en ce qui concerne l’utilisation des cookies sur internet. Cependant, la digitalisation croissante de la société ainsi que la crise sanitaire actuelle ont accentué les risques en matière de données personnelles. Les plaintes, de plus en plus nombreuses, que reçoit la CNIL au sujet de ces trois thématiques témoignent de leur importance et de la nécessité de réagir rapidement.

 

La cybersécurité des sites web

Parmi les priorités de contrôle de la CNIL figure, pour 2021, la sécurité des sites internet. Une large partie des manquements constatés par le régulateur découlent en effet de défauts de sécurité en ligne, pouvant mener à des violations de données au préjudice des utilisateurs. L’article 32 du RGPD impose en effet une obligation de sécurité des données. Pourtant, en 2020, le nombre de notifications reçues par la CNIL en la matière a augmenté de 24% par rapport à l’année précédente.

Concrètement, la CNIL considère qu’un site n’est pas sécurisé lorsque certaines vulnérabilités ou failles de sécurité sont identifiées. Parmi les problèmes détectés, certains apparaissent de manière récurrente :

  • l’utilisation, pour s’authentifier, d’un mot de passe considéré comme trop peu robuste ;
  • l’absence de règles d’authentification aux comptes privés, permettant ainsi de se connecter en étant seulement en possession de l’URL du site ;
  • l’absence de chiffrement des données, rendant leur accès possible en cas de perte ou de faille de sécurité. En effet, le chiffrement permet de protéger les données en les convertissant en un format codé, afin de rendre leur compréhension impossible ;
  • l’indexation des données dans un moteur de recherche, c’est-à-dire le fait que des documents confidentiels ou des données personnelles soient parfois consultables sur un moteur de recherche.

 

Au vu de ces éléments, le contrôle de la CNIL se concentrera sur quatre points principaux :

  • La conformité des acteurs à la recommandation de la CNIL sur les mots de passe. En 2017, la CNIL a en effet publié une recommandation destinée à garantir un niveau minimal de sécurité en la matière. 
  • Les formulaires de recueil de données personnelles. Ces formulaires servent à informer les individus au sujet du traitement de leurs données (identité et coordonnées du responsable de traitement, destinataire des données, durée de conservation…).
  • L’utilisation du protocole HTTPS. Ce protocole de communication Internet protège l’intégrité et la confidentialité des données lors du transfert d’informations entre l’ordinateur d’une personne et un site web.
  • Les rançongiciels (ou ransomwares). Il s’agit de programmes malveillants menaçant la victime de diffuser ses informations personnelles ou d’en bloquer l’accès si elle ne paye pas une « rançon ». On constate actuellement une augmentation inquiétante de ce type d’attaques, visant notamment des collectivités locales et des entreprises mais aussi, dans ce contexte de crise sanitaire, des établissements de santé.

 

Pour limiter ces attaques, il est essentiel d’assurer la sécurité de son site internet. Ces failles sont souvent la conséquence d’une accumulation de plusieurs défauts de sécurité. Parmi les « bonnes pratiques » visant à se protéger contre les rançongiciels, il faut par exemple veiller à conserver des sauvegardes « hors ligne » de données, sensibiliser le personnel aux risques liés à la sécurité, ou encore la mise en place de protocoles de sécurité séparant les serveurs de l’organisme concerné de l’ordinateur de tout utilisateur afin de limiter la diffusion de l’attaque.

Pour en savoir plus sur les failles et violation de données personnelles, consultez mon article : “Comment réagir face à une violation de données personnelles en entreprise ?.”

En janvier 2021, la CNIL a notamment sanctionné d’une amende de 150 000 € le prestataire d’un site internet sur lequel "des millions de clients effectuent régulièrement des achats" pour ne pas avoir mis en place des mesures de sécurité appropriées pour lutter contre des attaques web de type "credential stuffing". La CNIL a notamment estimé que le site aurait dû mettre en œuvre des mesures consistant à limiter le nombre de requêtes IP autorisées et à mettre en place un processus d'authentification CAPTCHA des utilisateurs pour accéder à leurs comptes web. Le responsable du traitement des données du site a également été condamné à une amende de 75 000 €. 

La sécurité des données de santé

Dans la continuité des contrôles réalisés en 2020, la CNIL a annoncé qu’elle souhaitait porter une attention particulière à la sécurité des données de santé. Le RGPD définit ces données comme l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale, passé, présent ou futur de la personne concernée.

La crise sanitaire actuelle a en effet accentué la digitalisation du secteur de la santé. De plus en plus de personnes se tournent aujourd’hui vers des services de santé numériques, créant ainsi des enjeux considérables en matière de sécurité des données. Dans ce contexte, la CNIL a annoncé vouloir s’assurer de la conformité du traitement des données de santé des personnes mais aussi renforcer leur sécurité.

Concrètement, la mise en conformité relative aux données de santé requiert, par exemple, la réalisation d’analyses d’impact préalables ou encore une information renforcée des personnes concernées par le traitement de leurs données de santé. 

À titre d’exemple, le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné deux médecins libéraux (respectivement à hauteur de 3000€ et 6000€) pour manquement à l’obligation de sécurité des données de santé de leurs patients.

 

L’utilisation des cookies

La CNIL va poursuivre cette année ses contrôles relatifs au ciblage publicitaire et au profilage des utilisateurs réalisés via des cookies et autres traceurs. En 2021, le consentement fera également partie des vérifications, en conformité avec les lignes directrices et la recommandation adoptées à ce sujet par la CNIL le 1er octobre 2020.

En effet, la CNIL en a profité pour rappeler deux règles à l’importance capitale : la nécessité d’informer de manière claire et concise l’utilisateur du but pour lequel ont été mis en place les traceurs et la possibilité de refuser facilement les cookies. Désormais, le consentement implicite ou « subi » est révolu. Concrètement, depuis le 1er avril 2021, la mise en conformité exige la mise en place de bannières de cookies claires et lisibles, permettant un opt-out aussi facile d’accès que l’opt-in. 

Pour en savoir plus consultez mon article : Cookies et traceurs, comment avoir un site web conforme ? 

Les décisions de la CNIL en matière de cookies sont nombreuses. Pour un exemple récent, on peut citer l’amende de 35 millions d’euros imposée à Amazon Europe Core le 7 décembre 2020. Au même titre, de lourdes sanctions pécuniaires ont visé les sociétés Google LLC et Google Ireland Limited, qui ont respectivement écopé de 60 millions et 40 millions d’euros d’amende, toujours en décembre 2020. 

 

3/ Les contrôles de la CNIL étape par étape

 

Un contrôle de la CNIL peut être initié de différentes manières. Elle peut en effet être saisie d’une plainte ou d’un signalement par des utilisateurs ou encore par d’autres régulateurs européens. La CNIL peut également s’autosaisir, notamment concernant des cas particuliers en lien avec ses thématiques prioritaires de contrôle.

Lors d’un contrôle, la CNIL possède de nombreux pouvoirs. Ces contrôles peuvent se réaliser sur place, puisque la CNIL dispose d’un pouvoir d’accès aux traitements de données. Il peut également se faire en ligne dans le cas où des manquements sont visibles à distance (c’est notamment le cas pour le contrôle sur la réglementation des cookies sur les sites internet). Enfin, la CNIL peut convoquer puis auditionner les personnes concernées, ainsi que poser des questions écrites ou demander des documents.

À la fin d’un contrôle, deux options sont envisageables :

  • soit la commission n’a pas ou peu d’observations à faire, auquel cas le contrôle prend fin ;
  • soit elle note l’existence de manquements sérieux, et peut alors mettre en demeure ou même sanctionner directement l’organisme.

 

Les pouvoirs de contrôle et de sanction dont dispose la CNIL sont très dissuasifs. En effet, elle peut réaliser un grand nombre d’actes d’investigation et dispose d’un large éventail de sanctions, parmi lesquelles des injonctions sous astreinte ou encore l’imposition d’amendes administratives pouvant aller jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros.

En outre, la CNIL accompagne de plus en plus fréquemment ses sanctions de leur publication sur son site mettant ainsi en jeu la crédibilité et l’image de l’entreprise. 

Pour éviter de s’exposer à un contrôle de la CNIL et éventuellement à une sanction, il est important de se faire accompagner. En effet, le caractère technique de la mise en conformité et la sécurisation d’un site internet peut souvent rendre les choses complexes. 

Ainsi, il est important de se faire accompagner par un expert qui saura répondre à vos questions et vous conseiller.

 

Besoin d’aide ?

Tatiana - photo rappel sales (blog)
Nos coachs entrepreneuriaux sont à votre écoute
Besoin de conseils sur votre projet ? De poser toutes vos questions de vive-voix ? Contactez-nous 🙂
Prendre un rendez-vous

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

5 min
Lancer son application mobile : les documents juridiques indispensables

Le lancement d'une application mobile ne s'improvise pas et est soumis au respect d’un cadre technique et juridique complexe. CGV, CGU, traceurs, cookies... doivent faire l'objet d'une documentation encadrée. Me Znaty vous accompagne.

5 min
Quelles sont les conditions de validité et clauses indispensables d'un contrat commercial ?

La rédaction d'un contrat commercial ne s'improvise pas. Des conditions doivent être remplies pour assurer la validité du contrat et éviter tout litige futur avec les fournisseurs, prestataires ou clients. Me Znaty vous accompagne

5 min
Editeur SaaS : Comment respecter le RGPD et l’arrêt Schrems II pour les transferts de données hors UE ?

Des décisions récentes sont venues bousculer le transfert de données hors de l'UE et notamment vers les USA. Clauses contractuelles types, garanties...quelles sont les précautions que doivent mettre en oeuvre les éditeurs SaaS basés en France ?

5 min
Cookies : votre site est-il conforme aux dernières directives de la CNIL ? - Webinar

La CNIL a diffusé de nouvelles recommandations quant à la réglementation des cookies. Les entreprises avaient jusqu'au 31 mars 2021 pour mettre leur site en conformité.

5 min
Violation de données personnelles en entreprise : comment réagir ?

Votre entreprise fait face à une violation de données personnelles ? Une faille ? Comment faire ? Me Benjamin Znaty vous livre les étapes à respecter pour identifier, corriger et notifier ces failles.

5 min
Cookies et traceurs : comment avoir un site web conforme ? - Les recommandations de la CNIL

Les cookies et traceurs sont devenus indispensables dans l'expérience de navigation des utilisateurs d'un site web. Mais leur utilisation n'est pas libre. Me Benjamin Znaty vous explique comment conformer votre site aux règles communiquées par la CNIL.

5 min
Plateformes en ligne et rubriques spécifiques de transparence : une convergence Française et Européenne

La réglementation des plateformes en ligne ne cesse de durcir : RGPD, cookies, politiques de confidentialité... Aujourd'hui, une politique de transparence s'impose, c'est-à-dire l’obligation pour la plateforme de délivrer une information claire, loyale et transparente. Le point avec Me Benjamin Znaty.

5 min
Marketplace : quelles sont vos obligations P2C (platform to consumers) vis-à-vis des consommateurs  ?

Les marketplaces mettant en relation des professionnels et des consommateurs sont tenues au respect d'un certain nombre d'obligations autour de 3 piliers : clarté, loyauté et transparence. Le point avec Me Benjamin Znaty;

5 min
Marketplace : quelles sont vos obligations en p2b vis à vis des professionnels ?

Un règlement européen est venu encadrer les pratiques des marketplaces vis-à-vis des professionnels : transparence, accès au données, règlement des litiges... Me Znaty décrypte le sujet et vous accompagne dans votre mise en conformité

5 min
Plateformes de mise en relation et marketplace : quels enjeux juridiques ? - Droit e-commerce

Vous envisagez de créer une marketplace ? La qualité des utilisateurs va déterminer le schéma contractuel et les règles à respecter. Attention si vous vous adressez à des consommateurs, à des professionnels ou les deux. Me Znaty vous livre ses conseils.

5 min
Prestataire et éditeur SaaS : quelle documentation établir pour répondre à un appel d’offres ? 

Vous êtes éditeur, prestataire Saas et vous souhaitez commercialiser auprès des entreprises votre solution « Software-as-a-Service » (SaaS) ? Me Znaty vous guide sur la documentation que vous devrez établir.

5 min
L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Quel est l'impact du RGPD sur l'éditeur Saas ? Quel est le statut de l'éditeur Saas face au RGPD : responsable de traitement ou sous-traitant ? Me Znaty répond à toutes ces questions.

5 min
SLA informatique et PCA : documents incontournables des contrats informatiques et offres SaaS. Par Me Znaty

Qu'est-ce qu'un SLA (service level agreement) ? Comment le négocier dans un contrat SaaS ? Pourquoi mettre en place un PCA (Plan de continuité d'activité) ? Me Znaty répond.

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier