Prospection commerciale, surveillance télétravail et cloud : les axes prioritaires de contrôle de la CNIL en 2022
Dans un communiqué publié le 15 février 2022, la Commission Nationale de l’Informatique et des Libertés (CNIL) annonce trois thématiques prioritaires de contrôle : la prospection commerciale, la surveillance des travailleurs en télétravail et l’utilisation de l’informatique en cloud.
CNIL et prospection commerciale
La CNIL a reçu de nombreuses plaintes relatives à la prospection commerciale non sollicitée par les personnes concernées. Pour cette raison, l’autorité a souhaité en faire un sujet de contrôle prioritaire.
A cet égard, la CNIL entend se référer au référentiel « gestion commerciale » publié en février 2022 afin de contrôler la conformité des pratiques opérées par les acteurs concernés.
Dans ce contexte, il est particulièrement recommandé aux organismes traitant de données personnelles dans le cadre de la gestion des programmes de fidélité, du suivi de la relation client pour la réalisation d’enquêtes de satisfaction, de la gestion des réclamations et du service après-vente, ainsi que la réalisation d’actions de prospection commerciale, de vérifier la conformité de leurs pratiques au regard du référentiel susvisé.
Malgré l’absence de caractère contraignant des référentiels publiés par la CNIL, ces derniers ont vocation à référencer et faciliter la lecture des dispositions impératives en matière de protection des données personnelles.
Bien que les règles soient similaires sur le fond, la CNIL propose d’identifier les bonnes pratiques applicables selon le mode de prospection sélectionné par l’organisme traitant :
Enfin, l’organisme de contrôle sera particulièrement attentif au respect du cadre juridique applicable par les data brokers dans leur opérations de transmission de données à leurs partenaires (notamment le respect du droit à l’information, ainsi que le recueil préalable du consentement des personnes concernées).
CNIL et surveillance des salariés en télétravail
La généralisation du télétravail depuis la pandémie de COVID-19 a également entraîné un essor considérable des outils de contrôle mis à la disposition des employeurs permettant d’apprécier l’effectivité des tâches réalisés par les salariés.
Considérant que le phénomène à vocation à perdurer à l’issue de la crise sanitaire, la CNIL a souhaité s’assurer qu’un juste équilibre entre la vie privée des salariés au travail et le contrôle légitime de leur activité par les employeurs soit respecté.
A cette fin, l’organisme de contrôle rappelle avoir communiqué à de nombreuses reprises sur les bonnes pratiques à respecter en la matière.
A cette occasion, nous vous rappelons que l’existence d’un système de contrôle du temps de travail des salariés doit être proportionné et adéquat à l’objectif préalablement déterminé pour réaliser un telle opération. Surtout, aucune surveillance permanente de l’activité ne saurait être tolérée, hormis dans certaines circonstances exceptionnelles.
CNIL et utilisation des services de cloud
Dans un communiqué du 15 février 2022, le Comité Européen à la protection des données (CEPD) a annoncé le lancement de la première action coordonnée entre les 22 autorités de contrôle qui la composent.
L’initiative porte sur la réalisation d’enquêtes – jusqu’en 2023 – sur l’utilisation des services basés sur la technologie du cloud, considérant que l’adoption de tels services par les entreprises situées au sein de l’UE a doublé au cours des six dernières années selon l’organisme EuroStat.
Surtout, de nombreuses entités publiques y ont recours dans des sphères multisectorielles (finance, santé, éducation), si bien qu’il est impératif de prendre connaissance des difficultés rencontrées par ces dernières dans le cadre de leur mise en conformité au RGPD.
C’est dans ce contexte que la CNIL a souhaité ériger cette thématique en sujet prioritaire pour l’année 2022. L’enjeu majeur identifié est celui du transfert de données au sein des pays tiers.
En effet, le RGPD encadre les transferts de données personnelles vers des pays tiers à l’UE et l’Espace Economique Européen (EEE). Les transferts les plus aisés sont ceux fondés sur une décision d’adéquation émise par la Commission Européenne dans la mesure où il sont libres de tout formalisme et sont considérés comme bénéficiant d’un niveau de protection adéquat.
En revanche, pour les pays ne bénéficiant pas de l’adéquation, le transfert doit être fondé sur la mise en œuvre de garanties appropriés (pour plus de précisions, vous pouvez consulter notre guide relatif au transfert de données).
Rappelons à cette occasion que les transferts de données vers les Etats-Unis ne sauraient se fonder sur le Privacy Shield, depuis l’invalidation du mécanisme par la Cour de Justice dans son arrêt du 16 juillet 2020 dit « Schrems II ».
Les résultats des enquêtes menées par la CNIL et ses 21 homologues européens seront analysés de manière coordonnée par ces dernières, afin de déterminer s’il y a lieu de prendre de nouvelles mesures de supervision et d'application. Le CEPD publiera un rapport sur les résultats de cette analyse avant la fin de l’année 2022.