En 2022, trois thématiques prioritaires de contrôle ont été retenues par la Cnil : la prospection commerciale, le cloud (utilisation de l’informatique en nuage) et la surveillance du télétravail.
Chaque année, pour être stratégique, le collège de la Cnil choisit certains sujets à traiter en priorité. Les thèmes choisis sont des sujets à forts enjeux pour lesquels une attention particulière est nécessaire. Autrement dit, cela signifie que la Cnil réalisera environ un contrôle sur trois sur ces thèmes.
À titre de comparaison, la cybersécurité des sites web, la sécurité des données de santé et l’utilisation des cookies étaient les thématiques prioritaires en 2021.
La prospection commerciale
Premièrement, la prospection commerciale (mail, SMS, téléphone, adresse postale, etc.) non sollicitée est un phénomène récurent qui agace beaucoup de ses destinataires.
La Cnil souhaite contrôler la conformité des acteurs du secteur en s’appuyant sur son nouveau référentiel « gestion commerciale ». Celui-ci s’adresse aux organismes privés comme publics (1).
Elle compte vérifier que les professionnels de certains secteurs se conforment donc bien à la loi ainsi qu’au RGPD. Elle précise porter une attention particulière à la revente de données par les nombreux intermédiaires de cet écosystème (data brokers). En effet, dans tout plan de prospection il est inhérent d’élaborer une base de données.
Dès lors, les données personnelles des utilisateurs sont traitées et utilisées au détriment de leur volonté. La majorité d’entre eux n’est même pas avertie des moyens d’y échapper (2).
Comme tous les référentiels adoptés par la Cnil, le référentiel « gestion commerciale » a vocation à remplacer les autorisations uniques, les normes simplifiées ainsi que les packs de conformité. Il n’a, par définition, aucun caractère contraignant. Au contraire, il sert de guide pour les commerçants qui doivent fidéliser et échanger avec leur clientèle tout en respectant un certain nombre de règles.
Par exemple, la Cnil a précisé les conditions dans lesquelles la prospection commerciale par courriel est possible. Ainsi, d’une part, il faut que les personnes reçoivent une information. D’autre part, les particuliers doivent y consentir préalablement et les professionnels doivent pouvoir s’y opposer.
Dans ce contexte, le nouveau référentiel vise à encadrer les opérations de transmission de données à des tiers à de fins de prospection commerciale en identifiant les bases légales possibles. De plus, il apporte des précisions sur les durées de conservation des données collectées et sur le traitement des données sensibles.
Le Cloud
Deuxièmement, le Cnil se concentre sur l’un des grands avantages du Cloud : l’accès à des points de stockage de données centralisés et accessibles partout, tout le temps. Néanmoins, cela comporte un risque pour la protection des données personnelles dès lors que ces données semblent circuler sans frontière.
À cet égard, la Cnil désire surveiller de plus près les transferts de données hors Union européenne vers des pays qui n’assurent pas un niveau de protection suffisant. Elle va aussi prêter attention à la violation de données en cas de mauvaise configuration des droits. On se rappelle que le « Privacy shield » (3) a été invalidé car la loi américaine ne fournissait pas un niveau de protection essentielle équivalent à celui de l’Union européenne.
Courant 2021, la Cnil avait déjà approuvé un premier code de conduite européen qui s’adresse aux fournisseurs de services d’infrastructure Cloud. Cet outil permet non seulement de construire un socle commun de bonnes pratiques mais surtout d’aider ses adhérents. En effet, leurs clients pourront s’assurer qu’ils répondent bien aux exigences imposées par le RGPD.
La surveillance du télétravail
Enfin la dernière des thématiques prioritaires est le contrôle du télétravail. Le recours au télétravail -initialement imposé par la pandémie de la COVID-19- semble s’installer durablement. Or il a entraîné le développement d’outils spécifiques permettant de surveiller et contrôler les salariés. Beaucoup se montrent d’ailleurs favorables à ce que la possibilité de télétravailler soit toujours possible.
Sur le plan législatif, le télétravail est encadré, dans le secteur privé, par un accord national interprofessionnel du 24 novembre 2020, et étendu par un arrêté ministériel du 2 avril 2021, et par le Code du travail. S’agissant du secteur public, il est encadré par la loi dite « Sauvadet » accompagnée de différents décrets (4).
Comme à son habitude, la Cnil a suivi le mouvement et a déjà communiqué un rappel des règles et bonnes pratiques à suivre, tant par l’employeur que par le salarié. Pour accompagner au mieux les télétravailleurs, la Cnil répond à leurs nombreuses interrogations en matière de sécurité des systèmes d’information.
En conclusion, l’année 2022 offre un programme chargé à la Cnil. Elle doit répondre aux questions soulevées par les plaintes qu’elle reçoit avec une actualité numérique en perpétuel mouvement. Grâce aux nombreux outils qu’elle met en place, il ne fait aucun doute qu’elle parviendra efficacement à tenir ses promesses.
Virginie Bensoussan Brulé
Marion Catier
Tess Sedbon (élève avocate)
Lexing Contentieux numérique
Notes
(1) En l’état actuel du droit, l’article 38 de la loi n°78-17 du 6 janvier 1978 reconnaît à chacun le droit de s’opposer à l’utilisation ou la cession des données nominatives le concernant.
(2) « Prospection commerciale (utilisation des données personnelles) », économie.gouv.fr, Post du 17-01-2022.
(3) Arrêt de la CJUE du 16 juillet 2020, Data Protection Commissioner c/ Maximillian Schrems et Facebook Ireland, C-311/18.
(4) Par exemple le Décret n°2021-1725 du 21-12-2021 modifiant les conditions de mise en œuvre du télétravail dans la fonction publique et la magistrature.