La télésurveillance des salariés figure parmi les trois thématiques prioritaires de contrôle de la CNIL en 2022

Comme chaque année, la Cnil a annoncé le 15 février 2022, les trois thématiques prioritaires qui feront l’objet de contrôles pour l’année civile 2022 : la prospection commerciale, la télésurveillance des salariés et l’utilisation du cloud.

Elles devraient représenter une centaine de contrôles formels en 2022, soit le tiers des contrôles prévus. En 2021, 384 contrôles ont été menés contre 247 en 2020.

Pour rappel les thématiques prioritaires pour l’année 2021 étaient : la cybersécurité du web français,  la sécurité des données de santé et le respect des règles applicables aux cookies et traceurs. Ces thèmes ont effectivement connu des évolutions notables pendant l’année 2021. Ces thématiques sont non seulement des points à vérifier en priorité mais aussi des thématiques dont la Cnil sait qu’elles vont évoluer pendant l’année.

Les autres contrôles réalisés par la Cnil font suite à des plaintes, des signalements de violations de données (databreach) ou sont liés à l’actualité.

La prospection commerciale est un thème particulièrement d’actualité, même s’il est très ancien

La Cnil a publié le 3 février 2022, deux nouveaux référentiels en matière de données personnelles, l’un en matière de gestion commerciale et l’autre en matière de gestion des impayés.

Le référentiel en matière de gestion commerciale remplace la norme simplifiée NS48 qui n’avait plus de valeur juridique depuis l’entrée en vigueur du RGPD.

Depuis 2005, la norme NS48 faisait suite aux normes NS 11, 17 et 25 qui avaient elles-mêmes été mises en place dès 1980 dans la mesure où elles sont structurantes des principales activités de toutes les entreprises.

Le nouveau référentiel (17 pages) concerne la gestion des contrats (commandes, livraisons, etc.) mais aussi la gestion des programmes de fidélité des clients, les actions de prospection commerciale ou encore la gestion des avis des clients sur les produits. C’est donc toute l’action commerciale qui est concernée par ce référentiel.

Celui-ci concerne donc potentiellement TOUTES les entreprises, à l’exception des secteurs d’activité  explicitement exclus du référentiel comme les établissements de santé, d’éducation, les établissements bancaires ou les entreprises d’assurance.

Le référentiel concerne aussi le profilage réalisé exclusivement à partir des données collectées ainsi que la mise à jour des données de contact.

Par rapport à la norme antérieure NS48, les évolutions concernent :

– la transmission des données à des tiers en précisant les bases légales possibles ;

– des précisions sur les durées de conservation ;

– des précisions relatives aux données sensibles.

Le référentiel précise les bases légales possibles ainsi que les situations nécessitant (caractère obligatoire ou facultatif) une analyse d’impact sur la protection des données (AIPD).

Les contrôles consisteront donc en particulier à vérifier l’existence de ces analyses d’impact lorsqu’elles sont obligatoires !

La télésurveillance des salariés

La Cnil a toujours été particulièrement attentive aux droits des salariés et aux risques liés à des détournements de données personnelles par les entreprises contre leurs employés.

Le thème est particulièrement d’actualité du fait de la pandémie qui a eu pour conséquence le développement des situations de télétravail et la mise en place d’outils spécifiques pour le travail à distance.

La Cnil veut s’assurer que la mise en place de ces outils a bien été réalisée de manière conforme.

Le temps de l’improvisation n’est plus de mise.

Les entreprises qui ont mis en place des outils de télétravail dans la précipitation sont donc prévenues. Elles se doivent de vérifier que leurs outils sont conformes et qu’elles respectent les règles en la matière.

L’utilisation du cloud

La pandémie a engendré un usage extensif d’applications accessibles en tout lieu et donc souvent hébergées dans le cloud.

Le cloud est souvent lié à des transferts de données hors de l’Union européenne et, éventuellement, vers des pays n’assurant pas un niveau de protection adéquat. Ces transferts sont régulés par le RGPD. Ils peuvent faire l’objet de différents dispositifs juridiques les encadrant comme les règles d’entreprises contraignantes (ou BCR : Binding Corporate Rules).

Ce thème fait l’objet, pour les années 2021-2023, d’une surveillance coordonnée du CEPD (comité européen de la protection des données) institué par le RGPD et qui succède au groupe de l’article 29.

Pour ce thème, le CEPD vise en priorité le secteur public.

Les responsables de traitement sont prévenus, ils savent quelles thématiques ils doivent traiter en priorité en interne.