La CNIL réalise principalement des contrôles suite à des plaintes, des signalements mais également à des sujets révélés dans l’actualité. Par ailleurs, elle choisit chaque année 3 thématiques prioritaires en lien avec les préoccupations quotidiennes des Français qui vont orienter son plan de contrôle.
Cette année, les trois grandes thématiques préoccupants la CNIL sont : la prospection commerciale, la surveillance des travailleurs en télétravail et l’utilisation de l’informatique en nuage (plus connue sous le terme de cloud).
1/ La prospection commerciale.
La CNIL souligne dans sa publication que :
« la prospection commerciale non sollicitée fait partie des irritants du quotidien des Français et est un sujet récurent de plaintes et d’appels à la permanence téléphonique de la CNIL, c’est pourquoi elle décide d’y concentrer des moyens importants afin de s’assurer de la conformité des pratiques des acteurs concernés ».
Pour mémoire, la CNIL a publié le 03 février 2022, un nouveau référentiel « gestion commerciale » pour encadrer les traitements de données personnelles réalisés par les organismes dans la gestion de leurs activités commerciales, notamment dans la réalisation d’actions de prospection commerciale.
La CNIL actualisera régulièrement ce référentiel afin de garantir sa compatibilité aux évolutions législatives et technologiques.
L’objectif affiché de la CNIL est de veiller à la conformité par les professionnels de ce nouveau référentiel dans le cadre de leur prospection, en particulier lorsqu’ils revendent des données personnelles.
2/ Les outils de surveillance dans le cadre du télétravail.
L’actualité sanitaire a accéléré le recours conséquent au télétravail ainsi que le développement d’outils spécifiques permettant aux employeurs d’assurer un suivi étroit des tâches et activités confiées aux salariés et travailleurs. Ce développement soulève de nouvelles préoccupations en termes de protection des données personnelles.
Si les règles et bonnes pratiques à respecter pour assurer un juste équilibre entre vie privée au travail et contrôle légitime de l’activité des salariés et travailleurs ont fait l’objet de larges communications pédagogiques, la CNIL entend désormais contrôler l’application de ces règles et pratiques.
3/ L’utilisation du Cloud.
Le développement des technologies du Cloud fait désormais l’objet d’une attention particulière de la CNIL qui fait observer que ces technologies sont susceptibles de comporter des risques en termes de protection des données personnelles, notamment en cas de transfert de données en dehors de l’Union européenne vers des pays qui n’assurent pas le même niveau de protection.
Depuis l’invalidation du « Privacy Shield » par la Cour de justice de l’Union européenne dans sa décision Schrems II [1], le transfert des données vers les Etats-Unis est un véritable sujet d’actualité.
Jusque-là, la CNIL n’avait pas priorisé cette thématique dans ses contrôles. Le truchement dans l’utilisation de solutions cloud basées aux Etats-Unis vers des solutions alternatives européennes a nécessité un effort d’adaptation pour beaucoup d’entreprises.
L’attention de la CNIL sera dorénavant portée sur :
Les questions de transferts de données en dehors de l’Union européenne ;
L’encadrement des relations contractuelles entre responsables de traitement et sous-traitants fournisseurs de solution cloud.
Enfin, il faut noter que la thématique prioritaire du cloud s’inscrit également dans l’action du premier cadre d’application coordonné du Comité européen de la protection des données par lequel la CNIL en lien avec ses homologues européens va investiguer sur l’utilisation, par le secteur public, de services utilisant le cloud.
