Thématiques prioritaires de contrôle 2022 : prospection commerciale, cloud et surveillance du télétravail
La CNIL effectue des contrôles sur la base de plaintes reçues, de l’actualité, mais également de thématiques prioritaires qu’elle choisit de sa propre initiative. Cette année les trois thèmes retenus sont : la prospection commerciale, les outils de surveillance dans le cadre du télétravail et les services de cloud.
Chaque année, la CNIL conduit plusieurs centaines de contrôles (384 en 2021). Ces contrôles font suite à des plaintes et des signalements de violations de données (un tiers des contrôles) ou sont en lien avec l’actualité. À cela s’ajoute la définition d’un plan de contrôle sur des sujets à forts enjeux et sur lesquels la CNIL souhaite avoir un positionnement stratégique. En 2022, trois thématiques prioritaires ont été choisies par le Collège de la CNIL : la prospection commerciale, la surveillance des travailleurs en télétravail et l’utilisation de l’informatique en nuage (plus connue sous le terme de cloud).
Habituellement, les trois thématiques retenues comme prioritaires pour l’année en cours représentent environ un tiers des contrôles effectués.
La prospection commerciale
Après une longue phase de concertation avec les différents acteurs concernés, la CNIL a publié, en février 2022, un nouveau référentiel « gestion commerciale », encadrant notamment la réalisation d’actions de prospection commerciale et qui était accompagné de nombreuses ressources pour guider les acteurs dans leur mise en conformité.
La prospection commerciale non sollicitée fait partie des irritants du quotidien des français et est un sujet récurent de plaintes et d’appels à la permanence téléphonique de la CNIL, c’est pourquoi elle décide d’y concentrer des moyens importants afin de s’assurer de la conformité des pratiques des acteurs concernés.
En s’appuyant sur le référentiel récemment publié, la CNIL vérifiera la conformité au RGPD des professionnels du secteur, en particulier de ceux qui procèdent à la revente de données, y compris, des nombreux intermédiaires de cet écosystème (aussi appelés data brokers).
Les outils de surveillance dans le cadre du télétravail
Le recours au télétravail a été rendu obligatoire par les différentes vagues épidémiques liées à la COVID-19. De nombreux salariés, agents et employeurs estiment qu’il va se généraliser et perdurer, tant dans les entreprises que dans les administrations, même lorsque la situation sanitaire sera redevenue normale.
Le recours au télétravail massif a entraîné le développement d’outils spécifiques, parmi lesquels figurent des outils permettant aux employeurs d’assurer un suivi plus étroit des tâches et activités quotidiennes des salariés.
Dans une volonté constante d’accompagnement, la CNIL a largement communiqué sur les règles et bonnes pratiques à respecter pour assurer un juste équilibre entre vie privée au travail et contrôle légitime de l’activité des travailleurs. Elle considère aujourd'hui nécessaire de vérifier sur le terrain la conformité des pratiques des employeurs.
L’utilisation de l'informatique en nuage (cloud)
Le recours aux technologies de l’informatique en nuage (plus connues sous le nom de « cloud ») est en développement constant dans le secteur privé comme dans le secteur public. Ces nouveaux mécanismes sont susceptibles de comporter des risques pour la protection des données personnelles notamment de transferts massifs de données hors de l’Union européenne vers des pays n’assurant pas un niveau de protection adéquat ou de violation de données en cas de mauvaise configuration.
Au regard de ces enjeux, la CNIL considère nécessaire que ces technologies, devenues incontournables, fassent l’objet d’une attention particulière. Elle approfondira, tout au long de l’année, les questions relatives aux transferts de données et à l’encadrement des relations contractuelles entre responsables de traitement et sous-traitants fournisseurs de solution cloud.
Cloud : l’action de la CNIL au sein d’un groupe de travail européen
La thématique prioritaire du cloud s’inscrit également dans l’action du premier cadre d’application coordonné (coordinated enforcement framework en anglais) du Comité européen de la protection des données (CEPD). 22 autorités de contrôle vont, dans les prochains mois, lancer des investigations sur l’utilisation, par le secteur public, de services utilisant le cloud.
Il s’agit d’une action clé de la stratégie du CEPD pour les années 2021-2023 qui vise à harmoniser l’application effective du RGPD et la coordination entre les autorités de contrôle.
Au niveau national, la CNIL assurera sa participation à ce groupe de travail européen au travers de procédures de contrôles visant cinq ministères.
Pour approfondir
- Comment se passe un contrôle de la CNIL ?
- Le contrôle de la CNIL
- Gestion commerciale et prospection
- Télétravail : les règles et bonnes pratiques à suivre
- La violation du trimestre : les défauts de configuration des espaces de stockage dans le cloud public
- [EN] Priority topics for investigations in 2022: commercial prospecting, cloud and telework monitoring