Le plan stratégique 2022-2024 de la Cnil est arrêté. Il comprend trois axes prioritaires. Pour l’autorité de protection, la promotion des bénéfices du RGPD n’est pas encore aboutie. La Cnil prévoit aussi de prioriser ses actions de régulation, ciblant prédictif, cloud et mobile.

Bientôt 4 ans. C’est en mai 2018 qu’est entré en application le Règlement général sur la protection des données personnelles, le RGPD ou GDPR. Naturellement, le RGPD n’a pas tout résolu à lui seul en matière de privacy.

L’accélération de la numérisation et la pandémie “ont accru les risques pour la vie privée”, souligne la Cnil. Les géants du numérique continuent par ailleurs de poser des défis en termes de régulation.

Une nouvelle étape de régulation bâtie sur le RGPD

Le travail n’est pas achevé donc. Les chantiers sont multiples, mais les moyens limités.  Ainsi, “répondre à toutes les sollicitations et besoins en très forte croissance sur le terrain reste un défi quotidien”, signale la Cnil.

Afin de rester une institution “efficace, pragmatique et moderne”, l’autorité se fixe des priorités dans le cadre de son plan stratégique 2022-2024. Au total, trois axes prioritaires sont listés.

Le RGPD a instauré de nouveaux droits pour les individus en matière de maîtrise de leurs données personnelles. Elle en a renforcé d’autres. Ces droits ne sont toutefois pas toujours connus des citoyens et donc moins encore exercés.

Pour favoriser la maîtrise et le respect des droits des personnes sur le terrain, 4 objectifs sont déterminés. Il s’agit notamment de renforcer l’information et la sensibilisation des individus.

Une action répressive efficace sur les droits des individus

Mais le respect des droits passe aussi par une action répressive efficace. La CNIL souhaite, dans ce cadre, adapter ses procédures de contrôle, de mise en demeure et de sanction, mais aussi réduire les délais d’instruction.

Les actions à l’échelon européen sont également capitales, estime l’autorité. Elle prévoit par conséquent de renforcer son rôle européen et l’efficacité du collectif européen des régulateurs.

Deuxième axe prioritaire pour les 2 prochaines années : la promotion du RGPD comme “atout de confiance pour les organismes.” Cela passera par une meilleure compréhension du cadre légal.

Dans ce domaine, le gendarme des données personnelles fixe 5 objectifs, dont le développement d’outils de certification et de code de conduite, la prévention des risques cyber et le renforcement de son expertise économique. La finalité est ainsi pour la Cnil d’assumer “un rôle de régulateur ayant un impact économique.”

Cibler les sujets à fort enjeu pour la vie privée

Pour être efficace, l’autorité prévoit enfin de prioriser ses actions de régulation et de cibler “des sujets à fort enjeu pour la vie privée.” La récente action auprès des utilisateurs de Google Analytics pourrait en être une illustration – même si elle fait d’abord suite à des plaintes.

Parmi ces cibles, la Cnil identifie les caméras augmentées, c’est-à-dire couplées souvent à des algorithmes prédictifs. Les transferts de données dans le cloud sont une autre priorité de l’autorité, pour des raisons de vie privée, mais aussi de souveraineté numérique européenne.

Enfin, la Cnil ambitionne de réduire l’opacité dans le domaine des applications mobiles. Quelques années plus tôt, le gendarme des données personnelles avait ainsi pris pour cibles les applications de géolocalisation.