Le démarchage, la surveillance du télétravail et le cloud dans le viseur de la Cnil
Comme chaque année, la Cnil a dévoilé, en février, les trois thématiques prioritaires sur lesquelles vont porter une partie de ses contrôles au cours des mois à venir. En 2022, il s’agira de la prospection commerciale, des services de cloud et des outils de surveillance du télétravail.
Aux côtés des contrôles qu’elle effectue sur la base des plaintes et signalements de violations des données qu’elle reçoit et de ceux qu’elle conduit en lien avec l’actualité, la Commission nationale Informatique et Libertés (Cnil) intervient également sur un certain nombre de sujets qu’elle juge prioritaires.
La prospection commerciale
En 2022, la Cnil va tout d’abord axer ses contrôles sur la conformité des pratiques de prospection commerciale. Les actions de démarche non sollicitées sont en effet à l’origine de nombreux appels et plaintes auprès de ses services. Pour vérifier si les pratiques des professionnels sont conformes au RGPD, Règlement sur la protection des données personnelles, la Commission va se reporter au référentiel qu’elle a récemment publié sur son site (Commerce et publicité – la prospection commerciale) et qui explicite les règles encadrant les différents types d’actions commerciales : par courrier postal et appel téléphonique, par courrier électronique, par SMS-MMS*... Sont particulièrement visés les professionnels qui font de la revente de données, ainsi que les intermédiaires, appelés les data brokers.
Les outils de surveillance dans le cadre du télétravail
Le deuxième axe de contrôles retenu par la Cnil cette année vise les outils permettant aux employeurs d’assurer un suivi des tâches et activités quotidiennes de leurs salariés en télétravail. Après son essor rapide et massif du fait de la pandémie, le travail à distance est amené à s’inscrire durablement dans les pratiques, des entreprises comme des administrations. Pour accompagner cette évolution des modes traditionnels d’organisation du travail, la Commission entend vérifier la conformité des pratiques des employeurs à certains principes essentiels communs au droit du travail et au RGPD. Ces derniers figurent dans le référentiel publié sur son site (Télétravail : les règles et les bonnes pratiques à suivre). Objectif : assurer un équilibre entre le contrôle légitime de l’activité des employés et la vie privée au travail.
L’utilisation de l'informatique en nuage
Enfin, le troisième sujet prioritaire à l’agenda 2022 de la Cnil est le recours aux technologies de l’informatique en nuage (ou cloud), qui se généralise, alors qu’il peut présenter des risques en matière de protection des données personnelles. Lors de ses contrôles, la Commission va notamment vérifier que les services de cloud, proposés aux particuliers comme aux professionnels, offrent un niveau de protection suffisant contre les risques de violations de données et qu’ils n’opèrent pas de transferts massifs vers des pays hors UE qui n’assurent pas le niveau de protection requis. Les questions relatives au cloud constituent également un sujet de travail prioritaire pour le Comité européen de la protection des données, qui réunit l’ensemble des Cnil européennes. Mi-février, ces dernières ont décidé de lancer une série d’actions coordonnées visant le recours aux services de cloud par le secteur public.
En règle générale, les contrôles effectués par la Cnil sur les trois thématiques retenues représentent environ un tiers de ceux réalisés, chaque année.
Contrôles et sanctions : 2021, une année record pour la Cnil
Fin janvier, à l’occasion de la journée de la protection des données, la Cnil a publié un bilan de son action l’année passée. Pour l’autorité de contrôle, 2021 a été une année record, aussi bien en termes de nombre de mesures prononcées – 18 sanctions et 135 mises en demeure – que de montant des amendes, qui a atteint plus de 214 millions d’euros (+ 55% par rapport à 2020).
En ce qui concernent les 18 sanctions prononcées, 12 ont été rendues publiques. Les manquements les plus fréquents étaient le défaut d’information des personnes, et des durées de conservation des données excessives. Et la moitié des sanctions visaient, en partie, une mauvaise sécurité des données personnelles. Enfin, quatre sanctions concernent une mauvaise gestion des cookies et autres traceurs.
Les mises en demeure sont des décisions imposant à un organisme de se mettre en conformité dans un délai maximum de six mois. Leur nombre a atteint un nombre record en 2021, avec 135 décisions prononcées (contre 49, en 2020), dont deux ont été rendues publiques. Quatre-vingt- neuf de ces mises en demeure comportaient un manquement en lien avec l’utilisation des traceurs (les cookies était l’une des trois thématiques prioritaires de l’organisme en 2021).
* Voir notre article « La monétisation des données à l’épreuve du RGPD », Virginie PERDRIEUX, DSI 7/02/ 22