Chaque année, la CNIL décide de concentrer une partie de ses contrôles sur trois thématiques précises, en parallèle des contrôles faisant suite à des plaintes de personnes concernées ou à l’actualité. L’autorité vient de dévoiler les nouvelles thématiques qui l’occuperont cette année : la prospection commerciale, la surveillance dans le cadre du télétravail et l’utilisation du cloud. 

Prospection commerciale

La prospection commerciale, qu’elle soit réalisée par voie électronique, par téléphone ou par voie postale, est un sujet qui impacte au quotidien un très grand nombre de personnes. Les règles en la matière diffèrent selon le moyen utilisé : consentement préalable pour la prospection par voie électronique (e-mail, SMS, notifications push, etc.), droit d’opposition pour la prospection par téléphone ou par voie postale. En France, s’agissant de la prospection par voie téléphonique, les personnes ont également la possibilité de s’y opposer globalement par avance en s’inscrivant sur le service gouvernemental Bloctel.

La CNIL annonce qu’elle consacrera des moyens importants à cette thématique, en s’appuyant en partie sur son référentiel « gestion commerciale » dont la version définitive a été publiée récemment. L’autorité précise par ailleurs que ses actions se porteront en particulier sur la conformité des data brokers spécialisés dans la revente de données. 

Outils de surveillance dans le cadre du télétravail

La pandémie mondiale liée à la COVID-19 a conduit les entreprises à accélérer leur transition numérique et à s’équiper pour permettre le travail à distance. Dans ce contexte, de nombreux nouveaux outils ont été développés ou en tout cas adoptés à grande échelle : logiciels de communication (vidéoconférence, chat), logiciels de travail collaboratif, etc. 

La CNIL estime qu’une partie de ces outils permet aux employeurs de contrôler plus étroitement les tâches et activités quotidiennes de leurs employés. C’est pourquoi elle considère important de vérifier les conditions dans lesquels ces outils ont été déployés et sont utilisés en pratique.

Utilisation du cloud

Les services cloud n’ont, pour l’instant, donné lieu qu’à relativement peu de décisions et prises de positions de la part de la CNIL. Cette situation devrait donc évoluer en 2022 ; l’autorité estimant que ces technologies doivent faire l’objet d’une attention particulière.

La CNIL identifie d’ores et déjà un sujet particulièrement sensible dans le cadre de l’utilisation du cloud computing : les transferts massifs de données hors de l’EEE que l’utilisation de ces services peut impliquer. La CNIL devrait donc étudier attentivement les mesures mises en place par les exportateurs et importateurs de données afin de garantir la conformité des transferts au RGPD et aux principes dégagés par l’arrêt « Schrems II » de la CJUE. L’autorité analysera aussi la conformité des contrats conclus entre les responsables de traitements et les sous-traitants fournisseurs de cloud.

La CNIL précise que cette thématique doit s’inscrit également dans le cadre de l’action lancée le 15 février 2022 par le Comité européen de la protection des données (CEPD). En effet, le CEPD vient d’annoncer une action coordonnée de vingt-deux autorités de contrôle européennes concernant l’utilisation des services de cloud dans le secteur public. Cette action, qui se déroulera pendant une grande partie de l’année 2022, devrait viser plus de soixante-quinze organismes publics en Europe. En France, la CNIL annonce que ses propres contrôles viseront cinq ministères.

L’actualité 2022 concernant la protection des données devrait donc être marquée par diverses actions de la CNIL sur chacune de ces thématiques, qui pourront le cas échéant aboutir à de simples mises en demeure ou à des procédures formelles de sanction. Les responsables de traitements et sous-traitant engagés dans des activités de traitements correspondant à ces thématiques peuvent d’ores et déjà faire le point sur leurs pratiques et engager les éventuelles actions correctrices nécessaires.