Thématiques prioritaires de contrôle 2022 : prospection commerciale, cloud et surveillance du télétravail

Chaque année, la CNIL conduit plusieurs centaines de contrôles (384 en 2021). Ces contrôles font suite à des plaintes et des signalements de violations de données (un tiers des contrôles) ou sont en lien avec l’actualité. À cela s’ajoute la définition d’un plan de contrôle sur des sujets à forts enjeux et sur lesquels la CNIL souhaite avoir un positionnement stratégique. En 2022, trois thématiques prioritaires ont été choisies par le Collège de la  CNIL : la prospection commerciale, la surveillance des travailleurs en télétravail et l’utilisation de l’informatique en nuage (plus connue sous le terme de cloud).

Habituellement, les trois thématiques retenues comme prioritaires pour l’année en cours représentent environ un tiers des contrôles effectués.

La prospection commerciale

Après une longue phase de concertation avec les différents acteurs concernés, la CNIL a publié, en février 2022, un nouveau référentiel « gestion commerciale », encadrant notamment la réalisation d’actions de prospection commerciale et qui était accompagné de nombreuses ressources pour guider les acteurs dans leur mise en conformité.

La prospection commerciale non sollicitée fait partie des irritants du quotidien des français et est un sujet récurent de plaintes et d’appels à la permanence téléphonique de la CNIL, c’est pourquoi elle décide d’y concentrer des moyens importants afin de s’assurer de la conformité des pratiques des acteurs concernés.

En s’appuyant sur le référentiel récemment publié, la CNIL vérifiera la conformité au RGPD des professionnels du secteur, en particulier de ceux qui procèdent à la revente de données, y compris, des nombreux intermédiaires de cet écosystème (aussi appelés data brokers).

Les outils de surveillance dans le cadre du télétravail

Le recours au télétravail a été rendu obligatoire par les différentes vagues épidémiques liées à la COVID-19. De nombreux salariés, agents et employeurs estiment qu’il va se généraliser et perdurer, tant dans les entreprises que dans les administrations, même lorsque la situation sanitaire sera redevenue normale.

Le recours au télétravail massif a entraîné le développement d’outils spécifiques, parmi lesquels figurent des outils permettant aux employeurs d’assurer un suivi plus étroit des tâches et activités quotidiennes des salariés.

Dans une volonté constante d’accompagnement, la CNIL a largement communiqué sur les règles et bonnes pratiques à respecter pour assurer un juste équilibre entre vie privée au travail et contrôle légitime de l’activité des travailleurs. Elle considère aujourd'hui nécessaire de vérifier sur le terrain la conformité des pratiques des employeurs.

L’utilisation de l'informatique en nuage (cloud)

Le recours aux technologies de l’informatique en nuage (plus connues sous le nom de « cloud ») est en développement constant dans le secteur privé comme dans le secteur public. Ces nouveaux mécanismes sont susceptibles de comporter des risques pour la protection des données personnelles notamment de transferts massifs de données hors de l’Union européenne vers des pays n’assurant pas un niveau de protection adéquat ou de violation de données en cas de mauvaise configuration.

Au regard de ces enjeux, la CNIL considère nécessaire que ces technologies, devenues incontournables, fassent l’objet d’une attention particulière. Elle approfondira, tout au long de l’année, les questions relatives aux transferts de données et à l’encadrement des relations contractuelles entre responsables de traitement et sous-traitants fournisseurs de solution cloud.