La CNIL a adopté son programme annuel des contrôles pour 2018 par lequel elle envisage de réaliser environ 300 contrôles sur place, sur audition, sur pièces et en ligne.
1. Contrôle de la conformité au RGPD
La CNIL a annoncé explicitement qu’elle exercera ses contrôles :
– non seulement sur le respect des obligations nouvelles issues du Règlement Général sur la Protection des Données (RGPD) comme le droit à la portabilité, les analyses d’impact, etc.. « La CNIL tiendra compte dans un premier temps, dans l’appréciation des suites à donner à ses contrôles, de la dynamique engagée par les organismes pour se conformer pleinement aux nouvelles exigences européennes ». « Ce contrôle sera réalisé à la lumière des efforts entrepris par les sociétés pour se conformer au règlement ».
– mais aussi sur le respect des principes issue de la Loi Informatique et Liberté comme la loyauté du traitement, la pertinence des données, la durée de conservation, la sécurité, etc. On peut comprendre de cette précision que la CNIL ne tolérera pas de retard dans le respect des règles préexistantes.
La CNIL a aussi annoncé que certains contrôles pourront être réalisés « conjointement » avec ses « homologues » européennes sur des dossiers de dimension transfrontalière.
2. Les contrôles
Comme par le passé les contrôles sont le résultat de :
- réclamations et signalements adressés à la CNIL,
- vérifications effectuées à la suite de clôture, de mises en demeure ou de sanctions,
- missions réalisées en fonction des sujets d’actualité et
- du programme annuel des contrôles.
La CNIL annonce qu’elle réalisera environ 300 contrôles sur place, sur audition, sur pièces et en ligne.
3. Les thématiques du programme de contrôle pour 2018
Les traitements liés au recrutement
La CNIL s’intéresse aux procédés utilisés par les employeurs dans le cadre du recrutement. Elle mentionne « des méthodes fondées sur le big data et l’utilisation d’algorithmes d’aide au recrutement », le fait que ces méthodes ont pour objet de prédire la « performance sur un poste en fonction de critères définis », les dispositifs « permettant d’analyser le débit de parole d’un candidat ou ses expressions du visage pendant un entretien, pour évaluer notamment ses émotions et déterminer sa capacité à occuper un poste ».
Les contrôles consisteront plus particulièrement en :
- contrôle lié aux moyens déployés pour l’identification de candidats ;
- contrôle des outils utilisés par les équipes RH pour leur évaluation ;
- contrôle des critères de sélection (probablement y compris le principe de proportionnalité et de minimisation des données) ;
- vérification des conditions de traitement des données (et probablement la durée de conservation et les destinataires).
On peut imaginer que le contrôle portera aussi sur l’information donnée au candidats.
Les pièces justificatives demandées par les agences immobilières
Selon la CNIL « La difficulté d’accès au logement est une des préoccupations majeures de notre époque ». La CNIL entend vérifier, que les agences immobilières ne collectent pas plus de données que celles listées par le décret n° 2015-1437 du 5 novembre 2015. Ceci en réaction à la pratique existante de demander « de nombreuses pièces complémentaires telles que des attestations d’absence de crédit en cours ou des dossiers médicaux ». Le contrôle aura donc « vocation à constater cette pratique en portant plus précisément sur la licéité de la collecte, la proportionnalité des données collectées, les durées de conservation et la sécurisation des documents. »
Les traitements relatifs à la gestion des services de stationnements payants réalisés au moyen d’équipements connectés
Depuis janvier 2018 (selon la loi dite MAPTAM) la gestion du stationnement payant sur la voie publique relève désormais intégralement des collectivités territoriales qui peuvent confier à des prestataires le contrôle du paiement des redevances de stationnement et la notification des forfaits de post-stationnement. Les contrôles de la CNIL auront pour but de s’assurer que l’intervention de prestataires privés ne va pas porter préjudice aux citoyens. « Ils porteront en particulier sur la pertinence des données fournies et recueillies, l’information des usagers, les modalités de conservation des données ainsi que les mesures mises en œuvre pour assurer leur sécurité. ». On peut légitimement penser que le récent scandale des pratiques du prestataire de la mairie de Paris n’est pas étranger à cette thématique. Ce type de contrôle va surement s’étendre à l’avenir aux autres activités déléguées par les pouvoirs publics à des prestataires privés.
Il sera intéressant de voir quel type de sanction la CNIL pourra prendre à la suite de ce programme qui est le premier depuis la mise en œuvre du RGPD et si la CNIL fera preuve ou non d’une certaine tolérance. Les enjeux sont importants au regard des montants des sanctions dorénavant très élevés qu’elle est en droit d’infliger.