Par Anne Charlotte Andrieux et Vickie Le Bert
Début 2022, la Commission Nationale de l’Informatique et des Libertés (CNIL) a révélé ses axes prioritaires de contrôle pour l’année.
Ceux-ci sont au nombre de trois :
- La prospection commerciale
- Les outils de surveillance dans le cadre du télétravail
- L’utilisation de l’informatique en nuage (cloud)
Choisies par la CNIL de sa propre initiative, ces thématiques prioritaires guideront, pour l’année 2022, la politique de contrôle de l’Autorité.
En effet, si les contrôles qu’elle mène peuvent être la conséquence de plaintes reçues, ou encore être commandés par certains évènements d’actualité, la CNIL est en mesure d’établir son propre plan de contrôle. Cette faculté lui permet notamment d’asseoir son positionnement stratégique sur des sujets à forts enjeux.
Force est de constater que les thématiques prioritaires affichées par la CNIL ont fortement guidé l’action de contrôle de la Commission tout au long de l’année 2021.
La CNIL et la prospection commerciale
La CNIL estime que la prospection commerciale, notamment sous forme électronique (fax, SMS ou courrier électronique), est une source de désagrément importante pour les personnes irrégulièrement démarchées.
Le ton est donné, la CNIL annonce explicitement des contrôles ciblés concernant les intermédiaires de la prospection et les data broker.
En 2020, l’Autorité a ainsi eu l’occasion de prononcer d’importantes sanctions à l’encontre de sociétés mettant en œuvre des pratiques de prospection commerciale non conformes[1].
La reconnaissance de la prospection commerciale comme thématique prioritaire de contrôle s’inscrit ainsi dans la lignée des actions d’ores et déjà entamées par l’Autorité.
Quelques semaines seulement avant l’annonce de ses nouveaux axes de contrôle, la CNIL adoptait, suite à une consultation publique, deux nouveaux référentiels.
Un de ces deux référentiels, particulièrement attendu des professionnels, a pour but de guider les organismes concernés dans la mise en conformité de leurs activités de gestion commerciale, incluant des recommandations dédiées sur les activités de prospection. Cet outil non obligatoire, qui s’adresse à l’ensemble des organismes privés et publics mettant en place des traitements de données pour leurs activités de gestion commerciale, doit à terme leur permettre de mettre en conformité leurs traitements de données personnelles avec la législation en vigueur.
Le référentiel « gestion commerciale », remplaçant l’ancienne norme simplifiée NS-048, vient fournir un cadre pour les traitements de gestion des contrats (gestions de commandes, de livraisons…), gestion de programmes de fidélité ou encore pour la réalisation d’activités de prospection commerciale. Il servira donc de base de référence pour la CNIL dans la mise en œuvre de sa politique de contrôle.
La CNIL et les outils de surveillance dans le cadre du télétravail
Les axes prioritaires de contrôle déterminés par la CNIL rejoignent bien souvent des sujets d’actualité, et la désignation des outils de surveillance dans le cadre du télétravail comme thématique de contrôle privilégiée pour 2022 vient parfaitement démontrer ce point.
Alors que la crise sanitaire due à la pandémie de Covid-19 a rendu obligatoire pour nombre d’entreprises le recours au télétravail, les employeurs ont en conséquence développé et mis en œuvre de nouveaux outils de surveillance et de contrôle de leurs employés.
La CNIL, dans un souci de préservation des intérêts respectifs des employeurs et de leurs salariés, a formulé à leur encontre diverses recommandations et bonnes pratiques. Ces multiples communications sont principalement destinées à préserver l’équilibre entre préservation de la vie privée des salariés et nécessité pour l’employeur d’assurer un contrôle effectif et légitime de l’activité de ses travailleurs.
Dans ce cadre, l’Autorité a notamment incité les employeurs à sécuriser les systèmes d’information (édition d’une charte de sécurité dans le cadre du télétravail, sécurisation des postes individuels, mise en place d’un VPN…), et lorsque leurs services sont accessibles depuis internet, à utiliser des protocoles garantissant la confidentialité et l’authentification du serveur destinataire et à appliquer les derniers correctifs de sécurité.
La CNIL a également formulé de nombreuses préconisations relatives en vue d’assurer un équilibre entre l’utilisation d’outils informatiques et les impératifs de protection de la vie privée, rappelant à cette occasion la possibilité pour l’employeur, dans le cadre du télétravail, d’assurer un certain contrôle de ses salariés en ayant notamment recours à des outils techniques particuliers.
Le plus souvent, ces outils techniques sont mis en œuvre par les employeurs afin de limiter l’utilisation d’internet (dispositifs de filtrage de sites, détection de virus…) ou de la messagerie (outils de mesure de la fréquence des envois et/ou de la taille des messages, filtres « anti-spams).
L’Autorité est bien entendu venue tempérer ces prérogatives, en venant rappeler les limites à l’utilisation de ces outils de surveillance :
- Impossibilité de recevoir en copie automatique l’ensemble des messages écrits ou reçus par les employés ;
- Impossibilité de recourir à des « keyloggers », outils permettant l’enregistrement à distance des actions réalisées sur un poste de travail ;
- Consultation et information obligatoire des instances représentatives du personnel ;
- …
Une fois encore, l’ensemble de ces recommandations et bonnes pratiques guidera la CNIL dans la tenue de ses actions de contrôles.
La CNIL et le recours aux technologies "Cloud"
L’identification de la thématique du cloud comme axe prioritaire de contrôle est le fruit du constat suivant : le recours aux technologies de l’informatique en nuage est en hausse permanente, tant dans le secteur privé que public. Selon l’office de statistique de l’Union européenne Eurostat, l’adoption du cloud par les entreprises de l’UE a littéralement doublé au cours des six dernières années.
Or, l’Autorité rappelle que l’usage de ces nouvelles technologies est susceptible d’entrainer des risques importants pour la protection des données personnelles, et notamment des risques de transferts massifs de données vers des pays hors Union européenne et ne présentant pas nécessairement les garanties suffisantes à un niveau de sécurité adapté. La CNIL relève également un important risque de violation de données, dans l’hypothèse d’une mauvaise configuration des systèmes.
L’identification de ces risques a incité la CNIL, dans le cadre de son plan stratégique 2022-2024, à faire du transfert de données dans l’informatique en nuage un autre axe prioritaire de contrôle.
L’attention prioritaire de la CNIL s’inscrit également dans un plan d’action plus large, initié au niveau européen.
Le Comité européen de la protection des données (CEPD) a en effet lancé, en février 2022, sa première action coordonnée, fédérant autour de lui vingt-deux autorités de contrôle afin de réaliser des enquêtes sur les services basés sur l’utilisation des technologies cloud par le secteur public. Au niveau national, la CNIL prendra notamment part à cette action européenne en initiant de son côté des procédures de contrôle à l’encontre de cinq ministères.
***
La reconnaissance de ces thématiques comme axes prioritaires de contrôle est loin d’être anecdotique. De manière générale, les axes de contrôles dégagés par la CNIL représentent environ un tiers des contrôles effectués par elle au cours de l’année.
Les organismes concernés doivent donc dès à présent s’assurer de la conformité de leurs traitements et pratiques avec la législation en vigueur.
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit, notamment en matière de protection des données personnelles. Si vous souhaitez avoir plus d’informations au regard de la réglementation en vigueur, n’hésitez pas à faire appel à nos experts pour vous conseiller. Contactez-nous ici.
[1] Délibération SAN-2020-018 du 8 décembre 2020 – Sanction de 20 000 euros prononcée à l’encontre de la société NESTOR ; Délibération SAN-2020-016 du 7 décembre 2020 – Sanction publique de 7 500 euros prononcée à l’encontre de la société PERFORMECLIC