Publications

Analyse des axes de contrôle de la CNIL pour 2022

Publié le 24 février 2022
cct cnil

A l’issue de ses 384 contrôles en 2021 réalisés sur la base de plaintes, signalements de violations de données et actualités, la CNIL a publié le 15 février ses lignes stratégiques de contrôles sur 2022.

Le plan de contrôle porte sur 3 grands axes : la prospection commerciale, les outils de surveillance dans le cadre du télétravail, l’utilisation du Cloud.

1. Prospection commerciale

La prospection commerciale permet aux entreprises de fidéliser leurs clients ou recruter de nouveaux prospects sous différentes formes. L’abus de ces démarches est source de nombreuses plaintes.

Points d’attention : pour être conforme, la prospection commerciale, basée sur le consentement de la personne doit respecter un certain nombre de règles de validité :

  • Information des personnes à la collecte des données sur leur utilisation à des fins de communication commerciale de manière claire et lisible ;
  • Manifestation spécifique d’une volonté qui correspond à une démarche active et explicite de la personne :
    • Cas de la prospection postale et téléphonique : la personne doit être informée au moment de la collecte de données de leur utilisation et doit pouvoir refuser à leur utilisation à des fins commerciales (= OPT OUT),
    • Cas de la prospection courriel, SMS/MMS: la personne doit être informée au moment de la collecte de données de leur utilisation et doit spécifiquement donner son accord à leur utilisation à des fins commerciales (= OPT IN) ;
  • Liberté de consentir/refuser sans que le choix n’ai d’impact sur le traitement initialement prévu (par exemple : achat en ligne, souscription d’assurance etc.) ;
  • Le consentement doit pouvoir être prouvé par le responsable de traitement de la collecte ;
  • L’opposition à la prospection commerciale doit pouvoir se faire de manière compréhensible, facile et effective ;
  • L’effacement des données en l’absence d’activité du prospect sur l’envoi des prospections pendant 3 ans à compter de la dernière action (ex : ouverture de lien).

Recommandations : contrôler la présence de mention d’information sur chaque formulaire de collecte de données, être en mesure de tracer le consentement (date, heure, lieu, formulaire), mettre en place une liste d’opposition ou de mécanismes permettant la prise en compte du retrait du consentement automatiquement dans la base de données, respecter les durées de conservation du consentement.

Pour approfondir : Fiche pratique sur le consentement et mentions d’information.

Rappel de sanctions CNIL prononcées pour non-respect du consentement : Brico Privé (500 000€), Nestor (20 000€), Performclic (7 300€).

2. Les outils de surveillance de l’activité professionnelle

Contexte : le recours massif du télétravail et sa généralisation peut entraîner le développement d’outils spécifiques de contrôle de l’activité professionnelle des salariés, ou l’usage d’outils à des fins de surveillance indirecte pouvant entrainer un détournement de finalité.

Ces pratiques doivent demeurer légitimes et ne peuvent porter atteinte à la vie privée du salarié.

Points d’attention : la mise en place de dispositifs dans le cadre d’activités professionnelles doit être proportionnée à l’objectif poursuivi sans porter atteinte au respect de la vie privée du salarié :

  • L’obligation de loyauté impose à l’employeur d’informer les salariés des dispositifs de contrôle en amont de leur mise en place notamment par la consultation des représentants du personnel ;
  • Le respect du Privacy by design nécessite l’inscription du traitement de surveillance du télétravail dans le registre des traitements et l’analyse du risque pour les droits et libertés des personnes (PIA) ;
  • La surveillance ne peut être permanente si la nature de la tâche ne le justifie pas. Aussi, au même titre que la vidéosurveillance pour contrôler l’activité professionnelle dans les locaux, l’utilisation de logiciels de surveillance d’écrans et de frappe est disproportionnée ;
  • Le déclenchement de la caméra en visioconférence peut s’imposer si l’employeur a mis en place un dispositif d’arrière-plan de floutage et/ou dans le cas particulier d’entretien RH ;
  • L’encadrement du télétravail doit se faire dans le contrat de travail et par la mise en place d’une Charte interne de sécurité dans le cadre du télétravail.

Recommandations : il demeure moins intrusif et davantage lié à une relation de confiance professionnelle de mettre en place un contrôle par objectifs professionnels sur une période données et/ou compte-rendu régulier du salarié de son activité.

Pour approfondir : télétravail et RGPD, les enjeux des entreprises.

Rappel de sanction CNIL liées à la mise en place de traitements RH portant atteinte aux droits et libertés des salariés : RATP (400 000€).

Rappel de sanction du Tribunal correctionnel de Versailles concernant l’espionnage des salariés : IKEA (1 million d’€)

3. Le recours au Cloud

Contexte : le Cloud est un ensemble de services informatiques (serveur, stockage, logiciels) généralement accessible depuis Internet. Cette nouvelle technologie s’expose à des transferts de données au-delà des frontières.

Points d’attention : l’ensemble des pays hors de l’Espace économique européen ne présente pas de garanties adéquates en matière de protection des données personnelles. Il s’agit alors de veiller à l’encadrement contractuel quant à :

  • L’encadrement du transfert des données vers des pays reconnus par la Commission Européenne, avec la mise en place de clauses contractuelles types notamment ;
  • L’encadrement contractuel des parties avec la qualification des rôles de chaque acteur (responsable de traitement, sous-traitant, co-responsable, responsable distinct) et les obligations qui en découlent.

Recommandations : il est préférable d’avoir recours à un fournisseur de services Cloud hébergé dans l’un des pays membres de l’EEE, d’encadrer contractuellement et spécifiquement la qualification et rôles des parties, de mettre en place des CCT en cas de transfert.

Pour approfondir : accompagnement DPO international et les possibilités des transferts de données après l’annulation du Privacy Shield.

Rappel de sanctions CNIL relevant l’absence d’encadrement contractuel et/ou de mauvaise qualification des parties : Monsanto (400 000€), Slimpay (180 000€), Credential Stuffing (150 000€ et 75 000€ pour le responsable de traitement et son sous-traitant).

Les axes de contrôle relevés par la CNIL n’excluent pas le contrôle des autres pans de conformité régulièrement remontés lors de contrôles tels que le non-respect de la limitation de la conservation des données, l’utilisation des cookies, le respect de l’information des personnes, la sécurisation des données notamment.

– Marie De Asis-Trem