Par un communiqué du 15 février 2022, la CNIL, autorité chargée de veiller à la protection des données personnelles en France, a en effet rendu publique ses 3 thématiques prioritaires de l’année 2022. Feront ainsi l’objet d’une particulière vigilance cette année :
- les opérations de prospection commerciale,
- les modes de collecte des données personnelles dans le cadre du télétravail, et
- l’usage des clouds chargés de stockés les données.
Cette veille s’inscrit dans le cadre de ses pouvoirs de contrôle, qui complètent son travail effectué sur la base de plaintes reçues et qui justifiera des contrôles inopinés au sein des entreprises pour s’assurer que dans ces domaines en particulier, le respect du droit des données personnelles est respecté.
Par Alexandre Lazarègue, Avocat spécialisé en droit du numérique
- La prospection commerciale
La prospection commerciale non sollicitée est un fléau fréquemment dénoncé par les Français. Le phénomène est massif : courrier électronique ou postal, appel via opérateur ou par automate… Le RGPD impose dans le cadre du commerce B2C un principe de consentement de la personne concernée par la prospection. Hormis les deux exceptions (lorsque la personne concernée a déjà donné son adresse email dans le cadre d’une vente précédente concernant des produits similaires ou lorsque l’email adressé n’est pas une offre commerciale), le droit d’opposition au traitement des données prime : chaque message électronique doit proposer un moyen simple de s’opposer à la réception de futures sollicitations (par exemple un lien visible vers une désinscription de la liste).
Ainsi, des pratiques telles que l’inscription forcée des consommateurs à la newsletters, l’achat de fichiers-liste de clientèle ou la prospection non sollicitée sont à bannir.
Par une décision du 8 décembre 2020, la CNIL avait condamné une société à une amende de 20 000€ pour manquement aux règles relatives à la prospection commerciale.
- La télésurveillance des travailleurs en télétravail
Les différentes mesures de confinement prononcées successivement ont rendu obligatoire et commun le recours au télétravail qui engendre un risque non négligeable pour les données personnelles des travailleurs effectuant leurs tâches depuis chez eux.
Le télétravail amoindrit la sécurité informatique globale des entreprises car les salariés ne sont pas équipés de manière adéquate et accèdent aux données de leur entreprise de manière non sécurisée. Le télétravail a ainsi accru le risque de cyberattaque des entreprises : phishing et usurpation d’identité, rançonnage, espionnage, atteinte à l’image et la crédibilité numérique d’une entreprise…
Il revient aux entreprises dans le cadre du respect du RGPD de sensibiliser les salariés (à travers une charte informatique) et de fournir les outils sécurisés adéquates.
Selon le baromètre de la cyber-sécurité des entreprises publié par le CESIN, au moins une grande entreprise sur deux a subi une cyber-attaque réussie, et globalement plus de cinq entreprises sur dix ont subi au moins une cyber-attaque durant l’année. Ainsi la CNIL porte une vigilance accrue sur les pratiques des entreprises à ce sujet, dans un objectif de prévention des atteintes aux données personnelles.
- L’utilisation de l’informatique en nuage (cloud)
Après plusieurs scandales et notamment celui dû à un incident matériel subi par OVH ayant occasionné une fuite massive de données pour de nombreuses entreprises, cette technologie devenue incontournable se voit imposé des règles de sécurité rigoureuse dont le respect fera l’objet d’une surveillance particulière de la CNIL.
En outre et alors que le RGPD interdit le transfert des données dans des États extra européens qui ne disposerait pas d’une législation protectrice de la vie privée équivalente, la conservation des données dans un cloud sécurisé constitue un enjeu majeur de protection des données.