Les contrôles de la CNIL en 2024 : données des mineurs, Jeux Olympiques, droit d’accès et tickets de caisse dématérialisés

Chaque année, la CNIL conduit des centaines de contrôles (340 en 2023) qui font suite à des plaintes, des signalements de violations de données ou sont en lien avec l’actualité.

La CNIL définit également des thématiques prioritaires afin d’orienter sa politique de contrôle sur des sujets à fort enjeux pour le public et pour évaluer la conformité des secteurs choisis. Ces thématiques représentent en moyenne 30 % des contrôles effectués.

Les thématiques de contrôles prioritaires en 2024

Collecte de données dans le cadre des Jeux Olympiques et Paralympiques

Dans le cadre de cette manifestation internationale de grande envergure, plusieurs millions de spectateurs et des milliers d’athlètes sont attendus en France. Des dispositifs importants de sécurité seront déployés justifiant que la CNIL vérifie le strict usage qui en sera fait. Des contrôles portant sur la mise en place de codes QR pour les zones à accès restreints, les habilitations d’accès et l’utilisation de caméras augmentées seront ainsi menés.

Au-delà de cet aspect sécuritaire, la CNIL s’intéressera également au volet plus commercial des JO et notamment à la collecte de données opérée dans le cadre des services de billetterie. Au regard de la volumétrie des personnes concernées et du nombre de partenaires de l’évènement qui pourraient se voir transmettre les données, il apparaît nécessaire de s’assurer des conditions dans lesquelles est opérée cette collecte en vérifiant les informations communiquées, les destinataires des données ou encore les mesures de sécurité déployées.

Données des mineurs collectées en ligne

Les mineurs sont exposés de plus en plus jeunes aux réseaux sociaux, sites de rencontre ou plateformes de jeux en ligne.  Ce phénomène peut conduire à une collecte massive d’informations sur leur identité, préférences ou habitudes de vie et avoir par la suite des répercussions non négligeables sur leur intimité, leur bien-être psychique ou leur avenir socioprofessionnel.

Lors de ses investigations, la CNIL vérifiera notamment, sur les applications et sites les plus prisés des enfants et adolescents, si des mécanismes de contrôle de l’âge sont mis en œuvre, quelles mesures de sécurité sont prévues et si le principe de minimisation des données est respecté.

Programmes de fidélité et tickets de caisse dématérialisés

La majorité des enseignes de la grande distribution propose un programme de fidélité qui peut entraîner la collecte de nombreuses informations sur les consommateurs : habitudes alimentaires, composition du foyer, catégories d’âge des enfants, présence d’animaux domestiques, etc. Ces données peuvent ensuite être réutilisées dans le cadre de prospection commerciale ou de ciblage publicitaire.

Par ailleurs, la récente dématérialisation des tickets de caisse, issue de la loi relative à la lutte contre le gaspillage et à l’économie circulaire, peut également conduire à des traitements additionnels de données personnelles pour permettre, par exemple, l’envoi du ticket par SMS ou courriel.

Ces éléments justifient que la CNIL s’intéresse à l’information partagée avec les consommateurs et qu’elle contrôle le respect du recueil du consentement avant toute réutilisation des données à des fins de ciblage publicitaire.

Droit d’accès des personnes concernées

Dans le cadre de la troisième action du Cadre d’application coordonné (en anglais Coordinated Enforcement Framework) du Comité européen pour la protection des données (CEPD), la CNIL et ses homologues vont procéder à des vérifications sur les conditions de mise en œuvre du droit d’accès.

Cette action vise à harmoniser l’application effective du RGPD et la coordination entre les autorités de contrôle. Les résultats nationaux seront ensuite regroupés et analysés, ce qui permettra de mieux comprendre le sujet et d'assurer un suivi ciblé aux niveaux national et européen.