Thématiques prioritaires de contrôle de la CNIL pour 2021 : cybersécurité, cookies et données de santé

La CNIL a publié les trois thématiques prioritaires autour desquelles elle orientera ses actions de contrôle pour l’année 2021, en complément des contrôles faisant suite à des plaintes ou en lien avec l’actualité. Ces trois thématiques sont : la cybersécurité des sites web, l’utilisation des cookies et la sécurité des données de santé.

 

 

1. La cybersécurité

 

Cette thématique est la nouveauté de l’année 2021, ce qui n’est pas surprenant au regard du contexte actuel. Nous assistons à une augmentation exponentielle de la cybermenace :

 

Les cyberattaques sont une source de violations de données et peuvent constituer un risque pour les droits et libertés des personnes concernées (voir notre article sur les réflexes à ne pas négliger en matière de sécurité des données à caractère personnel). Le niveau de sécurité des sites web français se place donc logiquement dans les préoccupations prioritaires de la CNIL.

 

La commission précise ses objectifs sur ce point : elle portera une attention particulière aux formulaires de recueils de données à caractère personnel, à l’utilisation du protocole HTTPS et à la conformité des acteurs au regard de sa recommandation sur les mots de passe. Elle prévoit également un focus sur les mesures mises en place par les organismes pour se prémunir contre les rançongiciels (voir notre article : La collaboration entre l’ANSSI et le ministère de la justice vis-à-vis des attaques par rançongiciel).

 

Voir notamment nos récents articles à ce sujet :

Qu’est-ce que le credential stuffing et comment s’en prémunir ?

ou encore

Credential stuffing : condamnations par la formation restreinte de la Cnil d’un responsable de traitement et de son sous-traitant pour manquement à l’obligation de sécurité des données !

 

2. Le respect des règles applicables aux cookies et autres traceurs

 

Cette thématique, comme celle relative aux données de santé, avait été initiée en 2020. Les contrôles se poursuivront sur ce point, avec des exigences renforcées. En effet, la conformité sera cette année évaluée à la lumière des lignes directrices et de la recommandation de la CNIL adoptées en septembre dernier (voir notre article à ce sujet), qui posent notamment de nouvelles conditions plus strictes pour recueillir valablement le consentement des personnes concernées.

 

 

3. La sécurité des données de santé

 

Multiplication des cyberattaques visant les structures de santé (voir notre article à ce sujet), numérisation croissante du secteur médical et crise sanitaire mondiale : autant d’éléments qui font que la question de la protection des données de santé est plus que jamais au cœur des préoccupations de la CNIL.

 

Par conséquent, la sécurité de cette catégorie de données à caractère personnel, qui avait déjà été désignée comme thématique prioritaire par la CNIL en 2020, continuera de faire l’objet d’une attention spécifique en 2021. La CNIL précise que ses contrôles autour de cette thématique auront non seulement comme objectif de vérifier la conformité des différents acteurs impliqués, mais également de permettre de continuer à élever le niveau de sécurité de ces données.

 

 

 

Le Pôle « IT, Cybercriminalité & data protection » d’AGIL’IT se tient à votre disposition pour vous accompagner dans vos démarches de prévention du risque cyber, de mise en conformité (cybersécurité, données de santé, cookies et autres traceurs) au regard de la règlementation applicable en matière de protection des données à caractère personnel et des recommandations en matière de prévention de la cybermalveillance ainsi que pour la gestion de vos crises cyber.

 

Par AGIL’IT – Pôle ITTélécoms & Data protection

Sylvie JONAS, Avocate associée

Morgane BOURMAULT, Avocate