La Cnil va contrôler le niveau de sécurité du Web français

Trois thématiques principales vont orienter les contrôles de la Cnil en 2021. Deux mêmes thématiques qu'en 2020 et une nouvelle sur la cybersécurité.
Comme chaque année vers cette période, la Commission nationale de l'informatique et des libertés (Cnil) dévoile sa stratégie de contrôle et les grandes thématiques jugées prioritaires pour l'orientation de ses actions de contrôles.
Pour 2021, deux thématiques que sont la sécurité des données de santé et l'utilisation des cookies - avec en filigrane le ciblage publicitaire et le profilage des utilisateurs - s'inscrivent dans la continuité du travail et des orientations prises en 2020.
Cybersécurité, données de santé, cookies : les thématiques prioritaires de #contrôle en 2021 ?? https://t.co/nEZ0EehQnV
— CNIL (@CNIL) March 2, 2021
La Cnil souligne notamment la gestion des accès au dossier patient informatisé, les plateformes de prise de rendez-vous médicaux en ligne, la gestion des violations de données personnelles dans les établissements de soins. Un dernier point qui mérite manifestement un intérêt particulier comme le montre l'actualité récente.
Pour les cookies, le gendarme des données personnelles va par exemple vérifier le respect des règles en rapport avec le recueil du consentement dit éclairé de l'utilisateur. Sur l'usage des cookies et traceurs, la Cnil a adopté en octobre dernier des lignes directrices et une recommandation.
La cybersécurité du Web français
Une troisième thématique prioritaire en 2021 pour les actions de contrôles de la Cnil est la cybersécurité, avec le niveau de sécurité des sites web français parmi les plus utilisés dans divers secteurs.
L'accent sera mis sur l'exploitation du protocole HTTPS pour la sécurisation de la session de navigation, avec une importance cruciale quand il s'agit de recueillir des données personnelles via des formulaires. La Cnil vérifiera également la conformité à sa recommandation sur les mots de passe.
L'autorité compte par ailleurs interroger les organismes afin de jauger les stratégies mises en place en matière de protection contre les rançongiciels.
-
L'amende d'un montant total de 100 millions d'euros infligée par la Cnil à Google fin 2020 est confirmée par le Conseil d'État. Elle concernait le dépôt de cookies publicitaires sans consentement préalable et information suffisante.
-
Pour un dispositif comme le pass sanitaire, la Cnil veut des preuves d'efficacité du gouvernement qui lui font défaut. Une demande a priori entendue.
Vos commentaires
La CNIL fait le travail pour tous ! Il faut s'en féliciter.
Pas vraiment le rôle de l'ANSSI en fait, car la protection des données personnelles a toujours été le domaine de la CNIL.
Dans les déclarations CNIL, l'accent a toujours été mis sur les mesures de protection des données, aussi bien en terme de stockage ou de protection logicielle qu'au niveau physique (comme la sécurité des accès aux salles serveurs).
L'ANSSI conseille sur les mesures techniques à mettre en place et les alertes d'attaque. Ils proposent des outils d'analyse ou de monitoring pour ceux qui en ont besoin mais n'ont pas de pouvoir de contrôle à ma connaissance.
En gros, la CNIL contrôle si des mesures conformes à la loi et au RGPD sont mises en place. La sécurité du système entourant la mesure n'est pas leur domaine.
Pour contrôler le HTTPS et la politique de mot de passe, pas besoin d'être ingénieur système.
Firefox rulez !
Et en plus avec seulement 250 collaborateurs !