Dans un article en date du 15 février 2022, la CNIL a publié les thématiques prioritaires de contrôle pour l’année à venir. Cette publication annuelle est toujours très attendue des professionnels de la protection des données, qui vont pouvoir se préparer de manière plus ciblée à des contrôles de la CNIL. La publication de sa feuille de route ne signifie pas que la CNIL contrôlera exclusivement les sujets visés : il n’est pas exclu qu’elle vérifie des traitements faisant notamment l’objet de plaintes, ou qui sont particulièrement importants ou visibles au yeux du public.
Pour ce qui concerne 2022, trois thématiques principales seront attentivement contrôlées :
- La prospection commerciale, suite du référentiel récemment publié en matière de « gestion commerciale ». La CNIL entend viser les entreprises réalisant de la prospection commerciale non sollicitée, qui est un « sujet récurrent de plaintes » : en effet, non seulement le nombre d’appels peut être très important, mais il est en plus souvent très difficile de savoir d’où viennent les données, mais également de les faire supprimer de la base de données.
Sont très certainement dans le collimateur de la Commission les pratiques des opérateurs de téléphonie, d’internet, ou encore des fournisseurs d’énergie.
Nous pouvons également espérer (peut-être en vain!) que la réalisation de contrôles sur cette thématique aura pour effet de diminuer le nombre d’escroqueries relatives au Compte professionnel de formation (CPF), en visant notamment les intermédiaires collectant et revendant le numéro de téléphone des personnes concernées (généralement, sans même qu’elles soient informées). - Les outils de surveillance dans le cadre du télétravail. La CNIL souligne que, la situation de crise sanitaire ayant perduré, le télétravail s’est généralisé. Dans le même temps, l’utilisation de nouveaux outils permettant le contrôle du travail des employés à distance a grimpé en flèche, de même que l’utilisation détournée d’outils déjà en place dans les entreprises.
Il y a fort à parier que la Commission a également reçu un très grand nombre de plaintes sur cette thématiques par des employés insatisfaits de leurs nouvelles conditions de travail : dès lors, c’est une thématique qui devrait faire l’objet de sensibilisation auprès des différents services de votre structure. Eviter des plaintes, cela signifie souvent éviter un contrôle ! - L’utilisation de l’informatique en nuage (Cloud), par les acteurs privés, mais également par les autorités publiques. En effet, cette thématique s’inscrit dans le cadre d’une plus large opération lancée par le comité européen de protection des données (CEPD), en lien avec les autorités de protection des données de 22 Etats Membres, qui ont souhaité enquêter sur l’utilisation du Cloud par le secteur public.
Deux points en particuliers seront analysés par la CNIL : les transferts en dehors de l’Union Européenne ainsi que le niveau de sécurité. Cette année, les notifications de violation de données en la matière ont de forts risques d’engendrer un contrôle. Cette première thématique fait suite aux récentes décisions concernant l’utilisation de Google Analytics, dont l’interdiction a été étendue par la CNIL à tous les traitements comprenant potentiellement des transferts vers les Etats-Unis, dans la mesure où prendre des « mesures suffisantes » est extrêmement difficile dans le contexte actuel.