Nous avons identifié trois priorités en matière de contrôles en 2021 par rapport aux enjeux de protection des données : les cookies, la sécurité des données de santé et la cybersécurité.
Les cookies entrent dans le champ des lignes directrices, de la recommandation et des sanctions déjà évoquées. À compter de la publication des lignes directrices et de la recommandation en octobre 2020, nous avons donné aux entreprises un délai de six mois pour se mettre en conformité avec les nouvelles règles. Ce délai expire donc fin mars 2021. Dès lors, nous contrôlerons le respect de ces textes en matière de cookies.
Concernant la sécurité des données de santé, nous constatons le développement de systèmes d'information dans le domaine de la santé. Ils figuraient déjà dans notre programme de contrôle l'an dernier, mais ce dernier s'est décalé du fait de la crise sanitaire. Nous les avons donc à nouveau inscrits dans notre programme de contrôle. En pratique, nous menons des investigations sur les violations de données signalées à la CNIL et sur l'évaluation de la sécurité des établissements de santé et des laboratoires.
Enfin, s'agissant de la cybersécurité, nous nous attachons en particulier aux sites web, qui touchent le quotidien numérique des Français. L'objectif de nos contrôles est de monter le niveau de sécurité des sites web français les plus utilisés dans différents secteurs et relevant d'organismes de toutes tailles, publics comme privés. Nous portons une attention particulière aux formulaires de recueil de données à caractère personnel, à l'utilisation de la technologie « https » et au recours à des mots de passe suffisamment robustes.
Face à l'intelligence artificielle, nous ne sommes pas désarmés, mais cette technologie nécessite une meilleure interrégulation. En 2017, nous avons publié un rapport sur la façon de permettre à l'Homme de garder la main face aux algorithmes et à l'intelligence artificielle. Il est consultable sur le site de la CNIL. Il a fait suite à une série de débats engagés en 2017 et permet de dégager les principes applicables à l'intelligence artificielle, qui ont d'ailleurs été repris par divers forums de discussion au niveau européen et international.
Sur la reconnaissance faciale, la CNIL avait publié un rapport fin 2019, car cette technologie peut faire appel à l'intelligence artificielle.
L'une des spécificités de la CNIL est de posséder une expertise technique très pointue, qui lui permet de comprendre comment fonctionnent ces systèmes, afin d'être en mesure de les réguler correctement en appliquant, avec l'aide de ses juristes, des principes technologiquement neutres inscrits dans le RGPD.