Source : Article de la CNIL du 15 février 2022
Si la CNIL effectue des contrôles sur la base de plaintes reçues, elle définit également une stratégie appliquée à ses contrôles sur la base de quelques lignes directrices et thèmes qu’elle redéfinit régulièrement.
C’est dans ce cadre qu’elle est récemment déterminé ses priorités que sont la prospection commerciale, les outils de surveillance dans le cadre du télétravail et l’informatique en nuage (« cloud »).
1. La prospection commerciale
En effet, la prospection commerciale non sollicitée constitue un sujet récurent de plaintes.
En conséquence, la CNIL a décidé d’y consacrer des moyens conséquents dans le cadre de ses contrôles afin de s’assurer de la conformité des pratiques des acteurs concernés.
A cette fin et dans une approche pédagogique, la CNIL a publié en février 2022 un nouveau référentiel « gestion commerciale » encadrant notamment les actions de prospection commerciale, référentiel accompagné de nombreuses ressources pour guider les acteurs dans leur mise en conformité.
C’est sur la base de ce référentiel que la CNIL vérifiera la conformité au RGPD des professionnels du secteur, en particulier de ceux qui procèdent à la revente de données.
2. Les outils de surveillance dans le cadre du télétravail
La pandémie lié au Covid-19 a accentué le recours au télétravail, lequel est amené à se généraliser.
Ce recours au télétravail massif a entraîné le développement d’outils spécifiques, parmi lesquels figurent ceux permettant aux employeurs d’assurer un suivi plus étroit des tâches et activités quotidiennes de leurs salariés.
Dans une volonté constante d’accompagnement, la CNIL a produit des guidelines exposant les règles et bonnes pratiques à respecter pour assurer un juste équilibre entre vie privée au travail et contrôle légitime de l’activité des travailleurs.
Passé cette étape pédagogique, elle entend à présenter renforcer ses contrôles.
3. L’utilisation de l’informatique en nuage (cloud)
Le recours aux technologies de l’informatique en nuage est en développement constant dans le secteur privé comme dans le secteur public. Ces nouveaux mécanismes sont susceptibles de comporter des risques pour la protection des données personnelles notamment de transferts massifs de données hors de l’Union européenne vers des pays n’assurant pas un niveau de protection adéquat ou de violation de données en cas de mauvaise configuration.
Au regard de ces enjeux, la CNIL considère nécessaire que ces technologies, devenues incontournables, fassent l’objet d’une attention particulière.
Dans ce cadre, les questions relatives aux transferts de données et à l’encadrement des relations contractuelles entre responsables de traitement et sous-traitants fournisseurs de solution cloud seront une priorité dans le cadre de ses activités, toutefois suspendue aux négociations en cours entre la Commission européenne et les instances américaines qui viennent d’annoncer la conclusion d’un accord de principe dont le contenu n’a pas encore été dévoilé.