TGS

Programme de contrôle de la CNIL 2022

Le 22.02.2022 0 commentaires

La CNIL a annoncé son programme de contrôle 2022 et les trois thématiques retenues comme prioritaires sont :

> La prospection commerciale
> Les outils de surveillance dans le cadre du télétravail
> L’utilisation de l'informatique en nuage (cloud)

Rappelons que la CNIL dispose d’une méthodologie précise concernant les contrôles qu’elle mène. Ces contrôles qui peuvent se dérouler sur place, sur audition, sur pièces ou bien encore en ligne, résultent des origines suivantes :

> Le programme annuel des contrôles, qui fait l’objet de la présente communication ;
> Les réclamations et signalements ;
> Les initiatives (issues de l’actualité) ;
> Le suivi des procédures de contrôle clôturées, les mises en demeure et les précédentes sanctions.

Les contrôles sont donc effectués sur les bases précitées de manière équilibrée, les trois thématiques prioritaires devront donc être étudiées avec intérêt, puisqu’en pratique un tiers des contrôles porteront sur ces dernières.

Prospection commerciale 

La CNIL vient de publier un nouveau référentiel « gestion commerciale », encadrant notamment la réalisation d’actions de prospection commerciale et qui était accompagné de nombreuses ressources pour guider les acteurs dans leur mise en conformité. Elle a notamment republié des fiches pratiques sur la prospection selon le mode de communication.

« La prospection commerciale non sollicitée fait partie des irritants du quotidien des Français et est un sujet récurent de plaintes et d’appels à la permanence téléphonique de la CNIL. »

C’est en s’appuyant sur son référentiel récemment publié que la CNIL vérifiera la conformité au RGPD des professionnels du secteur. Sont visés de manière plus spécifique les professionnels spécialisés dans la revente de données, ainsi que les courtiers en données, aussi appelés « data brokers ».

Comment anticiper ?

               > Une attention particulière doit être portée sur les politiques de confidentialité des sites web ou encore les mentions d’informations requises dans chaque point de collecte de données informatisées ou papier.

               > Vérifier les mentions sur l’ensemble des supports de collecte, notamment les cases d’opt-in liées aux jeux sur les sites internet ou les cases d’opt-out en cas de prospection électronique sur des produits similaires ou analogues, ou encore le partage des données à  des partenaires, etc.

               > Vérifier les relations avec les partenaires (data brokers) qui peuvent vendre des fichiers de données : contenu des contrats, garanties sur la légalité de la collecte de la donnée et de l’obtention d’un consentement valide.

Il convient de rappeler que la notion de consentement doit être appréciée au regard de l’article 4(11) du RGPD, c’est-à-dire qu’il doit émaner d’un acte positif et clair (exit les cases pré-cochées). Le consentement doit aussi être libre et spécifique.

               > Vérifier la fiabilité de la prise en compte des demandes d’exercice des droits (procédures mises en place, désabonnements et demandes de suppression des listes de prospections effectives).

Les outils de surveillance dans le cadre du télétravail

La CNIL a pris acte des changements massifs dans la manière de travailler des Français en conséquence des différentes vagues épidémiques liées à la COVID-19.

La CNIL définit le télétravail comme étant « une forme d’organisation du travail, qui s’effectue à distance des locaux de l’employeur, par opposition au travail effectué « sur site », au moyen des technologies de l’information et de la communication »

Le télétravail est désormais ancré dans les pratiques de travailleurs à la recherche d’un meilleur équilibre entre leur vie professionnelle et leur vie personnelle, et la Commission a fait le constat que cette pratique va se généraliser et perdurer, tant dans les entreprises que dans les administrations, et ce même lorsque l’épidémie se tarira.

Si l’employeur peut être tenté de surveiller à distance ses employés, il devra veiller à ce que les dispositifs mis en œuvre soient strictement proportionnés à l’objectif poursuivi ; c’est-à-dire qu’ils ne doivent pas porter atteinte au respect des droits et libertés des salariés, en particulier le droit au respect de leur vie privée.

Le recours au télétravail massif a entraîné le développement d’outils spécifiques, parmi lesquels figurent des outils permettant aux employeurs d’assurer un suivi plus étroit des tâches et activités quotidiennes des salariés, et la CNIL a en conséquence largement communiqué sur les règles et bonnes pratiques à respecter pour assurer un juste équilibre entre vie privée au travail et contrôle légitime de l’activité des travailleurs. Elle considère aujourd'hui nécessaire de vérifier sur le terrain la conformité des pratiques des employeurs.

À titre d’exemple, la CNIL considère comme incompatible avec le RGPD, car disproportionnés et largement attentatoires à la vie privée des employés des outils de surveillance permanente des employés, comme l’utilisation constante d’une webcam ou d’un micro, le partage permanent de l’écran ou encore l’utilisation de logiciels permettant d’enregistrer l’ensemble des frappes au clavier effectuées par une personne sur un ordinateur communément appelés « keyloggers ».

S’agissant de l’utilisation d’outils de visioconférence, l’employeur doit permettre à ses employés d’user de dispositifs de floutage dans un souci de respect de leur vie privée, à défaut, il ne peut leur imposer d’activer leur webcam sauf cas exceptionnels tels qu’un entretien « RH » ou une rencontre avec des clients extérieurs.

Dans tous les cas, en application des règles issues du Code du travail, l’employeur devra informer les salariés, des dispositifs de contrôle qu’il souhaite déployer, et ce, préalablement à leur mise en œuvre, par le biais des instances représentatives du personnel, s’il échet.

Comment anticiper ? 

> Vérifier que les dispositifs mis en place soient proportionnés et non attentatoires à la vie privée des employés, le cas échéant.
> Informer les employés de toute mesure mise en place permettant de surveiller leur activité.
> Organiser la gouvernance des outils de visio-conférences, notamment l’usage de la caméra ou l’enregistrement des réunions.
> Encadrer l’usage des BYOD (l'usage d'équipements informatiques personnels dans un contexte professionnel)

L’utilisation de l'informatique en nuage (cloud)

Le recours aux technologies de l’informatique en nuage (plus connues sous le nom de « cloud ») est en développement constant dans le secteur privé comme dans le secteur public. Les préoccupations de la Commission concernant l’utilisation de l’informatique en nuage sont liées plus largement aux risques pour la protection des données personnelles liés aux transferts massifs de données hors de l’Union européenne vers des pays n’assurant pas un niveau de protection adéquat (en particulier les États-Unis qui concentrent l’immense majorité des leaders du secteur comme Amazon ou Microsoft) ou de violation de données en cas de mauvaise configuration.

Au regard de ces enjeux, la CNIL considère nécessaire que ces technologies, devenues incontournables, fassent l’objet d’une attention particulière. Elle approfondira, tout au long de l’année, les questions relatives aux transferts de données et à l’encadrement des relations contractuelles entre responsables de traitement et sous-traitants fournisseurs de solution cloud.

Preuve du caractère fondamental pour la CNIL des questions liées au transfert de données dans l’informatique en nuage, cette thématique fait également partie des trois thématiques prioritaires retenues dans le plan stratégique 2022-2024 dévoilé par la Commission le 17 février. Le CEPD a également annoncé le lancement d’un cadre d’application coordonné ayant pour but d’uniformiser l’utilisation de l’informatique en nuage dans le secteur public entre les Etats membres de l’UE.

Comment anticiper ?

> Identifier les outils principaux en cloud et les garanties proposées.
> Privilégier les services de cloud européens

En conclusion, de manière générale, les trois thématiques choisies par la CNIL lui offrent un champ d’action extrêmement large, difficile pour les acteurs économiques d’aujourd’hui de se passer des services de cloud, ou d’un télétravail vu désormais comme un acquis des travailleurs français. Comme indiqué dans les développements précédents, la CNIL a publié de très nombreux guides portant sur les thématiques retenues qu’il conviendra d’analyser de manière attentive. Enfin, la CNIL exercera certainement une partie de ses nouveaux pouvoirs simplifiés pour exécuter son programme de contrôle, avec à la clé des sanctions pouvant s’élever jusqu’à 20.000 € et ce dès publication du décret d’application.

Article rédigé avec la contribution d'Ivan Juszezak

Articles similaires

sanctions-CNIL
Le 03.02.2022
par  Caroline BELOTTI  - Avocat(e)

Les nouveaux pouvoirs de la CNIL augurent-ils une multitude de sanctions ?

La CNIL va bénéficier d’un nouveau pouvoir de sanction dit « simplifié. Ce nouveau dispositif apportera plus de souplesse et d’agilité à la CNIL qui pourra contrôler (et éventuellement sanctionner) de manière accrue les plus petites entités publiques ou privées. Dès lors, il est primordial pour les TPE de veiller à leur...
rgpd-donnees-rh
Le 21.12.2018
par  Caroline BELOTTI  - Avocat(e)

RGPD et données RH : quelles sont les analyses d’impact à mener ?

Dans son article 35, le RGPD contraint les entreprises à mener des « analyses d’impact relatives à la protection des données » (AIPD), dès lors qu’un traitement peut engendrer « un risque élevé pour les droits et libertés des personnes physiques ». La CNIL a récemment publié la liste des analyses...
RPGD et conformité des TPE
Le 19.10.2021
par  Caroline BELOTTI  - Avocat(e)

RPGD et conformité des TPE : pourquoi la CNIL a-t-elle condamné la SNAF ?

La CNIL a sanctionné récemment une microentreprise, pour non-conformité au Règlement Général sur la Protection des Données (RGPD). Cette sanction symbolique rappelle que toutes les entreprises, quelle que soit leur taille, doivent respecter le RGPD.
Contactez-nous