Que retenir du plan stratégique de la Cnil pour 2022 - 2024 ?

L'intégration et l'implémentation de la réglementation EU va s'installer en dépit des retardataires ou des décisions comme l'invalidation du Privacy Shield. La CNIL partage sa vision à deux ans.

Le précédent plan stratégique de la CNIL portait sur la période 2019 - 2021. La commission avait naturellement défini ses objectifs en fonction de l’entrée en vigueur, le 25 mai 2018, du Règlement Général sur la Protection des Données (RGPD). Elle se donnait alors pour ambition de “permettre à chacun de s’approprier les différentes facettes de cette nouvelle réglementation sans équivalent dans le monde”, afin de “lui donner tout son potentiel”.

Près de 4 ans après l’entrée en vigueur du RGPD, la CNIL considère que le cadre réglementaire introduit par le RGPD semble avoir été intégré par les organisations privées comme publiques qui doivent l’appliquer, ainsi que par les citoyens qu’il vise à protéger. Ce qui est cependant loin d’impliquer une diminution des enjeux liés à la protection des données, bien au contraire.

La CNIL souligne en effet une “numérisation croissante de la vie économique et sociale” qui ne fait aucun doute et qui s’illustre par le biais de multiples vecteurs, de la montée en puissance de solutions de reconnaissance faciale jusqu’aux outils développés pour faire face à la pandémie de la Covid19. S’il est vrai que l’intégration et l’implémentation de la réglementation progresse aujourd’hui, ce phénomène n’épuisera jamais les problématiques liées à la protection des données personnelles, qui se renouvellent constamment au fil de l’innovation. C’est précisément dans cette dynamique que s’inscrit le nouveau plan stratégique de la CNIL pour la période 2022 - 2024.

Ce plan stratégique est défini autour de trois axes prioritaires :

1- Favoriser la maîtrise et le respect des droits des personnes sur le terrain

Ce premier axe s’attache à rendre opérationnels et réels les droits des citoyens européens mis à leur disposition par le RGPD. Le succès d’une réglementation dépasse en effet son pur respect formel et se mesure par son intégration concrète dans les usages sociaux qu’elle suscite. De ce point de vue, l’objectif de la CNIL visant à une plus grande sensibilisation des personnes en vue de favoriser l’exercice de leurs droits fait sens, et s’inscrit dans son effort d’un véritable respect du RGPD qui dépasse une implémentation superficielle.

2- Promouvoir le RGPD comme atout de confiance pour les responsables de traitement

Ce second axe vise spécifiquement les responsables de traitement des données à caractère personnel. La CNIL entend dépasser une conformité motivée uniquement par la menace de sanction, pour “que les acteurs publics et privés se saisissent du RGPD comme d’un atout pour leur image ou leur compétitivité”.

Elle entend pour cela produire des interprétations et des orientations claires et pratiques, développer des outils de certification, mais aussi faire valoir le respect du RGPD comme la meilleure protection contre les cyberattaques.

3- Prioriser des actions de régulation ciblées sur des sujets à fort enjeu pour la vie privée.

Il s’agit pour l’autorité de contrôle, au travers de ce troisième axe, de répondre au développement de pratiques technologiques qui reposent fortement sur “une collecte et un traitement intensif de données”. Sur ces thématiques précises, la CNIL indique vouloir procéder en deux temps : d’abord par une analyse théorique des différents enjeux socio-juridiques soulevés par les technologies visées, puis par l’élaboration, en collaboration avec les acteurs concernés, d’outils et de recommandations pratiques de conformité.

Dans le cadre de ce troisième axe, la CNIL a retenu trois thématiques qu’elle considère particulièrement sensibles et sur lesquelles son action sera concentrée ces prochaines années :

  • Les caméras augmentées et leurs usages.
  • Les transferts de données dans l’informatique “cloud”.
  • Les collectes de données personnelles dans les applications des smartphones.

Qu’il s’agisse de reconnaissance faciale, de cloud, ou d’applications mobiles, ces trois points d’attention constituent indéniablement des technologies cruciales en termes de protection des données à caractère personnel.

La seconde thématique (les transferts de données dans l’informatique cloud) semble cependant particulièrement préoccuper la CNIL. Rappelons en effet que l’utilisation de l’informatique en nuage fait déjà partie des thématiques prioritaires de contrôle 2022 définies par l’autorité de contrôle début février (voir notre édito). L’utilisation de solutions de cloud computing et plus particulièrement des transferts de données vers des acteurs étrangers qu’elle implique semble donc constituer un enjeu incontournable pour la CNIL à la fois pour la priorisation de ses contrôles sur l’année à suivre, mais aussi s’agissant de sa vision stratégique pour l’émergence d’une conformité durable.

Une préoccupation à la fois de court et de moyen terme qui fait écho aux débats actuels entourant le rapport entre l’utilisation de solutions cloud (impliquant des transferts de données vers des acteurs étrangers) et la promotion d’une souveraineté technologique européenne. Un débat dont la CNIL ne peut se tenir à l’écart ; et nous espérons que sa position recoupera les préconisations que la #TaskForce #DataTransfer de La villa numeris a pu émettre dans le cadre du livre blanc  “Les données au service de la souveraineté européenne” : une recherche de compromis de court terme, permettant l’émergence de réelles alternatives sociales et techniques sur le moyen et long terme.