Tous les ans, la CNIL nous informe des thématiques prioritaires qui seront traitées par ses équipes pour l’année à venir.

En 2021, la CNIL avait jeté son dévolu sur la cybersécurité, les données de santé et les cookies et avait établi un record en rendant 18 sanctions, pour un montant de 214 106 000 euros, et 135 mises en demeure.

En 2022, la CNIL compte poursuivre son action sur de nouveaux fronts, ce qu’elle a récemment annoncé sur son site Internet :

1. Prospection commerciale

Pour son premier axe de contrôle, la CNIL choisit une thématique qui touche tout un chacun, la prospection commerciale, et qui constitue « un sujet récurrent de plaintes et d’appels à la permanence téléphonique de la CNIL ».

La réglementation encadrant la prospection commerciale est un croisement entre le RGPD et l’article L.34-5 du code des postes et des communications électroniques.

Les règles diffèrent fortement en fonction du médium utilisé (mail, automate d’appel, etc.), de la nature de la personne prospectée (professionnel, consommateur) et du type de produit ou service proposé (en lien avec l’activité, connexe à un achat précédent, etc.).

Pour aider les acteurs, la CNIL a édité un Référentiel dédié aux activités commerciales.

Ainsi, les acteurs effectuant de la prospection commerciale doivent déterminer une stratégie de prospection conforme à la réglementation en fonction de chaque cible.

A ce titre, des fiches pratiques peuvent être rédigées à l’attention des opérationnels.

Le cas échéant, une attention particulière doit être portée sur l’acquisition de leads qualifiés et leur conformité.

2. La surveillance du télétravail

Le développement exponentiel du télétravail au cours des deux dernières années a eu pour corollaire le développement des outils de surveillance des salariés.

De nombreuses entreprises ont saisi l’occasion pour développer des outils spécifiques à destination des employeurs. Or, nombre de ces outils ne sont pas conformes à la réglementation (minimisation, respect du privacy by design, information des salariés, etc.).

La CNIL a déjà communiqué sur les bonnes pratiques à suivre. En 2022, elle va s’assurer que ces bonnes pratiques, ainsi que l’ensemble de la réglementation, sont respectés.

Et ce n’est pas parce que ces outils sont développés par des tiers que les employeurs doivent se considérer comme exempts de toute responsabilité.

En effet, l’employeur est a priori responsable des traitements mis en œuvre par l’outil, l’éditeur de ce dernier étant uniquement sous-traitant. En cas de manquement, l’employeur pourrait ainsi être condamné.

3. Le cloud

Le troisième axe principal de contrôle choisi par la CNIL est le cloud (ou informatique en nuage).

Cet axe est partagé par l’ensemble des autorités de contrôle européennes, dans le cadre des de la stratégie 2021-2023 décidé entre elles.

La CNIL identifie deux risques importants dans l’utilisation du cloud :

Un premier risque tenant au transfert de données en dehors de l’UE, et sans respecter le cadre légal applicable aux transferts.

Il faut ici faire le lien avec la décision récente de la CNIL qui a mis l’éditeur d’un site Internet en demeure d’arrêter l’utilisation de Google Analytics, qui envoie ses données aux USA.

Les acteurs doivent donc s’assurer qu’ils utilisent des outils qui ne transfèrent pas leurs données hors UE sans en assurer un niveau de sécurité suffisant et, en particulier, prendre garde aux outils hébergés aux USA (ou avec une possibilité d’accès depuis ce pays).

Un second risque est matérialisé par les possibilités de violations de données. Ainsi, la cybersécurité maintient sa place (indirectement) dans les priorités de la CNIL. Et cela est bien normal, les failles de sécurité sont en augmentation chaque année et la sécurité des données fait partie des obligations des acteurs de traitement au titre de l’article 32 RGPD.

Le Pôle Contrats informatiques, Données et Conformité accompagne tous types d’acteurs (publics et privés) dans leurs projets afin d’assurer leur conformité à la réglementation RGPD et, le cas échéant, les assister lors de contrôles CNIL.

Pour toute question, n’hésitez pas à nous contacter.