Le 15 février 2022, la CNIL a publié son programme des contrôle pour l’année 2022.
Ainsi, cette année, les thématiques prioritaires seront les suivantes :
- La prospection commerciale ;
- Les outils de surveillance dans le cadre du télétravail ;
- L’utilisation de l’informatique en nuage (cloud).
Toutefois, la CNIL rappelle que les contrôles s’effectue également sur la base de plaintes reçues et de l’actualité, les contrôles sur la base des thèmes prioritaires représentant un tiers des contrôles.
Contexte
La CNIL conduit plusieurs centaines de contrôles (384 en 2021).
Ces contrôles font généralement suite à des plaintes et des signalements de violations de données (un tiers des contrôles) ou sont en lien avec l’actualité.
À ces contrôlent s’ajoute un plan de contrôle sur des sujets à forts enjeux, les thèmes prioritaires.
En 2022, trois thématiques prioritaires sont la prospection commerciale, la surveillance des travailleurs en télétravail et l’utilisation de l’informatique en nuage (cloud).
Habituellement, les contrôles effectués concernant trois thématiques prioritaires représentent environ un tiers des contrôles effectués.
La prospection commerciale
La CNIL vient de publier un nouveau référentiel « gestion commerciale », encadrant notamment la réalisation d’actions de prospection commerciale, après une longue concertation avec les acteurs concernés.
La prospection commerciale est un sujet récurent de plaintes et d’appels à la permanence téléphonique de la CNIL, c’est pourquoi elle décide d’y concentrer des moyens importants afin de s’assurer de la conformité des pratiques des acteurs concernés.
Sur la base de son référentiel, la CNIL vérifiera la conformité au RGPD des professionnels du secteur, en particulier de ceux qui procèdent à la revente de données, y compris, des nombreux intermédiaires de cet écosystème (data brokers).
Les outils de surveillance dans le cadre du télétravail
La CNIL a largement communiqué sur les règles et bonnes pratiques à respecter pour assurer un juste équilibre entre vie privée au travail et contrôle légitime de l’activité des travailleurs en télétravail durant la pandémie.
Elle considère aujourd’hui nécessaire de vérifier sur le terrain la conformité des pratiques des employeurs notamment du fait que la pratique du télétravail est appelé à durer.
Le Cloud
Le recours aux cloud est en développement constant dans le secteur privé comme dans le secteur public.
Ces nouveaux mécanismes comportent des risques pour la protection des données personnelles notamment de transferts massifs de données hors de l’Union européenne vers des pays n’assurant pas un niveau de protection adéquat ou de violation de données en cas de mauvaise configuration.
La CNIL indique qu’elle approfondira les questions relatives aux transferts de données et à l’encadrement des relations contractuelles entre responsables de traitement et sous-traitants fournisseurs de solution cloud.
Il conviendra donc de s’assurer du bon encadrement des transferts hors UE et d’un niveau de sécurité adéquat.
En ce qui concerne les transferts vers des pays comme les Etats-Unis, il conviendra, pour éviter tout risque, de s’assurer qu’aucun transfert n’a lieu ou que les données sont cryptées (voir ici, pour plus d’information).
La CNIL rappelle également que 22 autorités de contrôle vont, dans les prochains mois, lancer des investigations sur l’utilisation, par le secteur public, de services utilisant le cloud.
CONTACT
Pour toute question, n’hésitez pas à contacter Arnaud Blanc, Avocat.
Cette publication est également disponible en en_GB.
