CNIL, les thématiques prioritaires de contrôle 2022 : Sujets attendus, enjeux cruciaux

Les contrôles effectués par la CNIL, autorité indépendante en charge depuis 1978 de la protection des données personnelles des citoyens français, peuvent être effectués sur trois bases distinctes :

• Les plaintes et signalements reçus directement par la CNIL.
• L’actualité des technologies et des pratiques qui impliquent des traitements de données.
• Les thématiques prioritaires définies chaque année par la CNIL. Il s’agit de sujets à forts enjeux en termes de protection des données personnelles, sur lesquels la CNIL souhaite adopter un “positionnement stratégique”.

En 2021, ces thématique prioritaires étaient les suivantes : la cybersécurité des sites web, la sécurité des données de santé et enfin l’utilisation des cookies. 

Ce 15 février, la CNIL a annoncé les thématiques prioritaires portant sur l’année 2022, alignées avec les principales préoccupations actuelles des autorités :

• La prospection commerciale.
• Les outils de surveillance dans le cadre du télétravail.
• L’utilisation de l’informatique en nuage (cloud).

La première thématique se place dans la lignée directe de la publication par la CNIL de son nouveau référentiel “gestion commerciale”, qui vise à fournir un cadre plus précis aux acteurs qui traitent des données à caractère personnel “pour leur activité commerciale”, ce qui inclut notamment les traitements “à des fins de prospection”. De manière assez cohérente, la CNIL placera donc une attention toute particulière aux contrôles portant sur la conformité des acteurs commerciaux par rapport à ce nouveau référentiel dans le cadre de leur prospection, sujet qui préoccupe un nombre important de citoyens français.

La seconde thématique n’est pas non plus surprenante dans un monde où la Covid-19 a contribué à l’intégration rapide du télétravail dans les mœurs professionnelles de nos sociétés. L’implémentation assez neuve du télétravail à grande échelle en France entraîne bien entendu avec elle des risques importants en termes de protection des données, notamment lorsqu’il s’agit de la surveillance des salariés ou des travailleurs.

Les enjeux entourant la définition de la troisième thématique sont quant à eux considérables. La CNIL définit l’utilisation de l’informatique en nuage (cloud) comme l’une de ses priorités. Il faut cependant bien avoir conscience que beaucoup des solutions cloud aujourd’hui sont proposées par des géants du numérique relevant d’une législation étrangère, et tout particulièrement américaine. Rappelons également que, depuis l’arrêt Schrems II, il n’existe plus de décision d’adéquation visant les États-Unis, pays à destination duquel les transferts de données sont par principe interdits, et ne sont autorisés que sous des conditions particulières, que beaucoup d’entreprises ne sont, pour le moment, pas en capacité d’implémenter.

La CNIL limitait jusqu’ici la sévérité des contrôles entourant les transferts au vu du degré d’exigence important que suppose l’arrêt Schrems II pour les entreprises. Il était en effet complexe pour beaucoup d’acteurs d’effectuer une transition depuis l’utilisation de clouds américains vers des solutions européennes alternatives, ou d’imposer des mesures complémentaires de protection des données aux géants du numérique basés aux États-Unis.

Cette nouvelle thématique de la CNIL semble suggérer que cette période d’indulgence touche à sa fin, et que l’autorité prévoit d’opérer des contrôles plus réguliers sur l’utilisation des technologies cloud, et donc inévitablement des transferts que cela suppose. A voir si le paysage juridique actuel entourant les transferts permettra de tels contrôles, sans que le prix à payer, qu’il soit économique ou politique, ne s’avère trop élevé.

Valérie Chavanne & Quentin Roland