340 contrôles ont été conduits en 2023 et 30 % d’entre eux sont liés aux sujets identifiés comme prioritaires par la CNIL. Comme chaque année, la Commission définit ces thématiques afin d’« orienter sa politique de contrôle sur des sujets à fort enjeux pour le public et pour évaluer la conformité des secteurs choisis », précise le communiqué publié par l’autorité de contrôle, le 8 février 2024.
Collecte de données pour les JO
Dans le viseur de la CNIL en 2024 : les Jeux Olympiques et Paralympiques. Afin de poursuivre les contrôles initiés l’année précédente, la CNIL annonce qu’elle sera particulièrement attentive à l’usage :
- des codes QR pour les zones à accès restreints ;
- des habilitations d’accès ;
- de l’utilisation de caméras augmentées.
De plus, les services de billetterie étant source d’utilisation massive de données, la CNIL compte vérifier les conditions dans lesquelles est assurée la collecte de ces données. Elle contrôlera notamment les informations communiquées, les destinataires de données ou encore les mesures de sécurité déployées.
Traitements additionnels de données et publicité ciblée
Autre sujet prioritaire : les conséquences de la récente dématérialisation des tickets de caisse. Depuis le 1er août 2023, il est interdit d’émettre une version papier d’un ticket de caisse ou de carte bancaire, de manière automatique, à moins que le client ne le demande expressément. Dès lors, les professionnels recourent à d’autres moyens numériques qui peuvent « conduire à des traitements additionnels de données personnelles », souligne la CNIL. Il peut s’agir, par exemple, de l’envoi d’un ticket par SMS ou par mail.
Les programmes de fidélité sont également pointés du doigt par la Commission car ils peuvent entraîner la collecte de nombreuses informations sur les consommateurs (habitudes alimentaires, catégories d’âge des enfants, composition du foyer, etc.).
Ainsi, lors de ses contrôles, la CNIL précise qu’elle vérifiera le respect des obligations relatives :
- à l’information partagée avec les consommateurs ; et
- au recueil du consentement avant toute réutilisation des données, notamment à des fins de ciblage publicitaire.
Mise en œuvre du droit d’accès
Dernier point d’attention : le droit d’accès. En lien avec l’une des actions coercitives du Comité européen pour la protection des données (CEPD) pour 2024, la CNIL et les autorités de protection des données des autres États membres s’engagent à vérifier les conditions de mise en œuvre du droit d’accès.
Outre cette feuille de route, la CNIL pourra réaliser d’autres contrôles qui font suite à des plaintes, à des signalements de violations de données ou à des événements en lien avec l’actualité.