Dans sa publication du 15 février 2022, la Commission nationale de l’informatique et des libertés (CNIL) vient de rendre public sa stratégie annuelle de contrôle pour l’année 2022.

La CNIL réalise principalement des contrôles suite à des plaintes, des signalements mais également à des sujets révélés dans l’actualité. Par ailleurs, elle choisit chaque année 3 thématiques prioritaires en lien avec les préoccupations quotidiennes des Français qui vont orienter son plan de contrôle.

Cette année, les trois grandes thématiques préoccupants la CNIL sont : la prospection commerciale, la surveillance des travailleurs en télétravail et l’utilisation de l’informatique en nuage (plus connue sous le terme de cloud).

1/ La prospection commerciale

La CNIL souligne dans sa publication que : « la prospection commerciale non sollicitée fait partie des irritants du quotidien des Français et est un sujet récurent de plaintes et d’appels à la permanence téléphonique de la CNIL, c’est pourquoi elle décide d’y concentrer des moyens importants afin de s’assurer de la conformité des pratiques des acteurs concernés ».

Pour mémoire, la CNIL a publié le 03 février 2022, un nouveau référentiel « gestion commerciale » pour encadrer les traitements de données personnelles réalisés par les organismes dans la gestion de leurs activités commerciales, notamment dans la réalisation d’actions de prospection commerciale.

La CNIL actualisera régulièrement ce référentiel afin de garantir sa compatibilité aux évolutions législatives et technologiques.

L’objectif affiché de la CNIL est de veiller à la conformité par les professionnels de ce nouveau référentiel dans le cadre de leur prospection, en particulier lorsqu’ils revendent des données personnelles.

2/ Les outils de surveillance dans le cadre du télétravail

L’actualité sanitaire a accéléré le recours conséquent au télétravail ainsi que le développement d’outils spécifiques permettant aux employeurs d’assurer un suivi étroit des tâches et activités confiées aux salariés et travailleurs. Ce développement soulève de nouvelles préoccupations en termes de protection des données personnelles.

Si les règles et bonnes pratiques à respecter pour assurer un juste équilibre entre vie privée au travail et contrôle légitime de l’activité des salariés et travailleurs ont fait l’objet de larges communications pédagogiques, la CNIL entend désormais contrôler l’application de ces règles et pratiques.

3/ L’utilisation du Cloud

Le développement des technologies du Cloud fait désormais l’objet d’une attention particulière de la CNIL qui fait observer que ces technologies sont susceptibles de comporter des risques en termes de protection des données personnelles, notamment en cas de transfert de données en dehors de l’Union européenne vers des pays qui n’assurent pas le même niveau de protection.

Depuis l’invalidation du « Privacy Shield » par la Cour de justice de l’Union européenne dans sa décision Schrems II[1], le transfert des données vers les Etats-Unis est un véritable sujet d’actualité.

Jusque-là, la CNIL n’avait pas priorisé cette thématique dans ses contrôles. Le truchement dans l’utilisation de solutions cloud basées aux Etats-Unis vers des solutions alternatives européennes a nécessité un effort d’adaptation pour beaucoup d’entreprises.

L’attention de la CNIL sera dorénavant portée sur :

  • Les questions de transferts de données en dehors de l’Union européenne ;
  • L’encadrement des relations contractuelles entre responsables de traitement et sous-traitants fournisseurs de solution cloud.

Enfin, il faut noter que la thématique prioritaire du cloud s’inscrit également dans l’action du premier cadre d’application coordonné du Comité européen de la protection des données par lequel la CNIL en lien avec ses homologues européens va investiguer sur l’utilisation, par le secteur public, de services utilisant le cloud.

Claudia Weber, avocat fondateur et Karim Amrar, élève avocat | ITLAW Avocats  

 

Et vous ? où en êtes-vous ?

Besoin d’aide pour évaluer votre niveau de conformité ? Pour votre mise en conformité ?

Vous avez des questions concernant la mise en conformité de vos traitements de données pour la gestion de vos activités commerciales avec le référentiel « gestion commerciale » ?

Vous souhaitez mettre en conformité les outils de gestion de vos salariés en télétravail avec règles et bonnes pratiques rappelées par la CNIL ?

Vous souhaitez encadrer vos relations contractuelles en matière de solution cloud ?

 

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 26 ans en matière de nouvelles technologies et de protection des données personnelles est à votre disposition pour répondre à vos questions. Nous trouvons les solutions adaptées à votre contexte et vos besoins.

ITLAW Avocats mobilise ses talents et son expertise en matière de protection des données personnelles,  de projets informatiques complexesde contrats, d’innovation et de propriété intellectuelle  ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes.

[1] CJUE 16 juill. 2020, DPC c. Facebook Ireland Ltd et M. Schrems, aff. C-311/18

Nous contacter