La CNIL a publié les trois thématiques prioritaires autour desquelles elle orientera ses actions de contrôle pour l’année 2021, en complément des contrôles faisant suite à des plaintes ou en lien avec l’actualité. Ces trois thématiques sont : la cybersécurité des sites web, l’utilisation des cookies et la sécurité des données de santé.
1. La cybersécurité
Cette thématique est la nouveauté de l’année 2021, ce qui n’est pas surprenant au regard du contexte actuel. Nous assistons à une augmentation exponentielle de la cybermenace :
-
- l’impact financier pour les entreprises ciblées a été presque multiplié par six entre 2018 et 2019, pour s’établir à un coût médian de 50 000 euros en 2019 selon une étude menée par la société Hiscox sur la gestion des cyber-risques ;
- à périmètre constant, le nombre de cyberattaques par rançongiciels traitées par l’ANSSI a pratiquement été multiplié par quatre entre 2019 et 2020 ;
- 91% des organisations françaises ont subi au moins une cyberattaque majeure au cours des douze derniers mois (chiffre basé sur une étude réalisée auprès de 150 RSSI français d’entreprises de plus de 200 employés).
Les cyberattaques sont une source de violations de données et peuvent constituer un risque pour les droits et libertés des personnes concernées (voir notre article sur les réflexes à ne pas négliger en matière de sécurité des données à caractère personnel). Le niveau de sécurité des sites web français se place donc logiquement dans les préoccupations prioritaires de la CNIL.
La commission précise ses objectifs sur ce point : elle portera une attention particulière aux formulaires de recueils de données à caractère personnel, à l’utilisation du protocole HTTPS et à la conformité des acteurs au regard de sa recommandation sur les mots de passe. Elle prévoit également un focus sur les mesures mises en place par les organismes pour se prémunir contre les rançongiciels (voir notre article : La collaboration entre l’ANSSI et le ministère de la justice vis-à-vis des attaques par rançongiciel).
Voir notamment nos récents articles à ce sujet :
Qu’est-ce que le credential stuffing et comment s’en prémunir ?
ou encore
2. Le respect des règles applicables aux cookies et autres traceurs
Cette thématique, comme celle relative aux données de santé, avait été initiée en 2020. Les contrôles se poursuivront sur ce point, avec des exigences renforcées. En effet, la conformité sera cette année évaluée à la lumière des lignes directrices et de la recommandation de la CNIL adoptées en septembre dernier (voir notre article à ce sujet), qui posent notamment de nouvelles conditions plus strictes pour recueillir valablement le consentement des personnes concernées.
3. La sécurité des données de santé
Multiplication des cyberattaques visant les structures de santé (voir notre article à ce sujet), numérisation croissante du secteur médical et crise sanitaire mondiale : autant d’éléments qui font que la question de la protection des données de santé est plus que jamais au cœur des préoccupations de la CNIL.
Par conséquent, la sécurité de cette catégorie de données à caractère personnel, qui avait déjà été désignée comme thématique prioritaire par la CNIL en 2020, continuera de faire l’objet d’une attention spécifique en 2021. La CNIL précise que ses contrôles autour de cette thématique auront non seulement comme objectif de vérifier la conformité des différents acteurs impliqués, mais également de permettre de continuer à élever le niveau de sécurité de ces données.
Le Pôle « IT, Cybercriminalité & data protection » d’AGIL’IT se tient à votre disposition pour vous accompagner dans vos démarches de prévention du risque cyber, de mise en conformité (cybersécurité, données de santé, cookies et autres traceurs) au regard de la règlementation applicable en matière de protection des données à caractère personnel et des recommandations en matière de prévention de la cybermalveillance ainsi que pour la gestion de vos crises cyber.
Par AGIL’IT – Pôle IT, Télécoms & Data protection
Sylvie JONAS, Avocate associée
Morgane BOURMAULT, Avocate