Blog Données personnelles
La CNIL annonce ses thématiques prioritaires de contrôle pour l’année 2022 : prospection commerciale, surveillance du télétravail et services Cloud
Lors de son exercice 2021, la CNIL avait placé la cyber sécurité, la gestion des données de santé ainsi que le respect de la règlementation relative au cookies au cœur de son activité de contrôle [1]. Les trois thématiques prioritaires dégagées par la Commission sont désormais connues. En 2022, la CNIL orientera davantage ses investigations et procédures formelles de contrôle vers la prospection commerciale, les outils de surveillance du télétravail ainsi que les services d’informatique en nuage (« Cloud ») [2]. La Commission se réservera, comme chaque année, la possibilité de diriger l’activité de ses services vers les thématiques soulevées par l’actualité ou par les plaintes déposées par les particuliers.
Après la publication du nouveau référentiel d’accompagnement consacré à aux traitements de données personnelles aux fins de gestion commerciale, la CNIL cherchera à s’assurer de la conformité des pratiques mises en œuvre dans le cadre des activités de prospection commerciale. En effet, la Commission indique que les sollicitations commerciales non-souhaitées restent une problématique sur laquelle ses services sont fréquemment interpellés. A cet égard, rappelons que les signalements pour prospection non sollicitée peuvent inciter la Commission à diligenter un contrôle de portée plus large, comme la sanction infligée à l’opérateur Free Mobile le 28 décembre 2021 le souligne [3] . Fait intéressant, la CNIL souhaite en particulier se pencher sur la conformité des activités des courtiers en données (« Data Brokers »). Ces professionnels de la vente ou location de fichiers de contacts, bien que jouant un rôle d’intermédiaire entre l’annonceur et ses prospects, doivent notamment collecter le consentement de ces derniers [4] mais également agir à leur égard en toute transparence [5].
Considérant qu’elle a suffisamment communiqué sur le cadre règlementaire applicable aux outils dédiés à la mise en place du télétravail, la CNIL souhaite désormais s’assurer que les pratiques en place respectent l’équilibre entre la vie privée des salariés et l’intérêt légitime des employeurs à opérer un contrôle à distance de leur activité. L’essor impressionnant du télétravail pendant les périodes successives de confinement avait en effet poussé la CNIL à publier de nombreux guides pratiques à destinations des salariés comme des employeurs [6]. Ces recommandations ont pu porter sur les risques associés à l’utilisation d’équipements personnels [7], sur l’encadrement de la visioconférence [8] ou sur les moyens d’assurer la sécurité des systèmes d’information lors du travail à distance.
Partie prenante au cadre d’application coordonnée du CEPD, devant uniformiser grâce à la coopération entre 22 autorités européenne le cadre applicable à l’utilisation de services de cloud par le secteur public, la CNIL souhaite faire de l’informatique en nuage son principal axe de communication pour l’année à venir. Elle appuie en particulier, sur la possibilité que l’utilisation de ces services se révèle contraire au RGPD en raison de « transferts massifs de données hors de l’Union européenne » mais également sur le fait qu’ils peuvent conduire à d’importantes fuites de données en cas de « mauvaise configuration ».
[1] https://www.cnil.fr/fr/cybersecurite-donnees-de-sante-cookies-les-thematiques-prioritaires-de-controle-en-2021
[2] https://www.cnil.fr/fr/thematiques-prioritaires-de-controle-2022-prospection-commerciale-cloud-et-surveillance-du
[3] Délibération SAN-2021-021 du 28 décembre 2021
[4] Article L. 34-5 CPCE et 6 du RGPD
[5] Articles 11, 12, 13 et 14 du RGPD
[6] CNIL, fiches pratiques, « salariés en télétravail : quelles sont les bonnes pratiques à suivre ? » et « Les conseils de la CNIL pour mettre en place le télétravail », 12 mai 2020
[7] CNIL, « BOYD : Quelles bonnes pratiques », 24 mars 2019
[8] CNIL, « COVID-19 : les conseils de la CNIL pour utiliser les outils de visioconférence », 9 avril 2020