Prospection commerciale, surveillance du télétravail et Cloud sous la surveillance de la CNIL en 2022
Corinne Thiérache et Carole Bui
Dans son communiqué du 15 février 2022, la Commission Nationale de l’Informatique et des Libertés (CNIL) a révélé ses trois grandes thématiques prioritaires de contrôle en 2022 : la prospection commerciale, les outils de surveillance dans le cadre du télétravail et les services de Cloud.
Sans grande surprise, ces thématiques reflètent les préoccupations de la CNIL en 2020 et 2021 face au développement de certains outils et pratiques facilité par la crise sanitaire et l’essor consécutif de la dématérialisation des échanges.
Des contrôles pourront être diligentés par la CNIL de sa propre initiative auprès des acteurs des secteurs du public et du privé afin de vérifier, plus particulièrement dans ces domaines, le respect des dispositions applicables en matière de protection des données personnelles.
I. La prospection commerciale
Face à l’essor de la prospection commerciale, notamment par voie électronique, et prenant acte des nombreuses plaintes émises par les Français concernant des pratiques parfois très intrusives mises en œuvre par certains acteurs économiques, la CNIL acte pour 2022 du renforcement de ses contrôles en la matière.
Ce faisant, elle poursuit ses actions mises en œuvre en 2021 qui avaient déjà abouti à la condamnation de plusieurs acteurs économiques pour manquements aux dispositions applicables dans ce domaine. A titre d’exemple, les sociétés Nestor et Free Mobile avaient été respectivement condamnées à des amendes administratives d’un montant de 20 000 euros et 300 000 euros pour non-respect de leurs obligations en matière de prospection commerciale.
Dans son communiqué, la CNIL en profite pour évoquer publication d’un nouveau référentiel « gestion commerciale » qui identifie les bases légales justifiant la transmission de données à des tiers à des fins de prospection commerciale et rappelle les obligations pesant sur les responsables de traitement dans ce contexte.
Tous les responsables ayant recours à la prospection commerciale ou vente de données dans un but de prospection, doivent en informer les individus visés et leur permettre de s’opposer au traitement mis en œuvre. Lorsque cette prospection se fait par voie électronique et vise un particulier, il est obligatoire de recueillir préalablement le consentement de l’individu concerné.
Ce référentiel servira de base à l’autorité de régulation afin de vérifier la conformité au RGPD des professionnels du secteur.
II. La surveillance dans le cadre du télétravail
La CNIL prend acte du recours massif au télétravail dans un contexte de pandémie et fait du respect des bonnes pratiques destinées à assurer un juste équilibre entre vie privée et contrôle de l’activité du travailleur un point central de sa politique de contrôle.
A ce titre, la CNIL a plusieurs fois rappelé que les dispositifs de surveillance des salariés mis en place par les employeurs doivent rester strictement proportionnés à l’objectif poursuivi et ne pas porter une atteinte excessive à leurs droits et libertés, notamment le droit au respect de la vie privée.
III. L’utilisation du Cloud
La CNIL a annoncé que les technologies de Cloud, de plus en plus utilisées par les acteurs économiques, feront l’objet d’une attention particulière notamment en ce qu’elles peuvent impliquer des transferts de données en dehors de l’Union européenne au mépris de leur protection.
Ces trois thématiques représenteront environ un tiers des contrôles effectués par la CNIL durant l’année. Il est important de garder à l’esprit que le constat de violations des dispositions applicables en matière de données personnelles par la CNIL peut mener au prononcé de sanctions pécuniaires conséquentes pouvant s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel de la société.
Compte tenu des secteurs d’activités visés, tous les acteurs économiques seront donc potentiellement concernés par les contrôles. Il est donc recommandé à ces derniers de porter une attention particulière à ces traitements et de mettre en œuvre dès à présent toute mesure correctrice nécessaire en vue d’une mise en conformité dans les meilleurs délais.
En la matière, la règle « Prévenir vaut mieux que guérir » ne fait donc pas exception.
Les avocats du Département Protection des données personnelles du Cabinet Alerion restent naturellement à votre disposition pour vous assister dans vos démarches de mise en conformité au RGPD.
Corinne Thiérache, Associée, et Carole Bui, Avocat du Département Droit des technologies et du numérique, avec les remerciements à Charlotte Guevelou, Elève-avocat