La CNIL a édité son programme de thématiques prioritaires de contrôles pour l’année 2022. La prospection commerciale est cette fois mise à l’ordre du jour, ainsi que les méthodes de surveillance des salariés en télétravail, ou encore les fournisseurs de solutions de cloud computing. On vous en parle. C’est notre actualité juridique du jour.
Prospection commerciale, la CNIL priorise la lutte contre le spam
La prospection commerciale sera l’un des thèmes prioritaires de la CNIL.
Il faut dire qu’entre les signalements effectués par les particuliers auprès de l’association Signal Spam et les plaintes reçues directement par le régulateur, le sujet du spam cristallise les tensions.
Le B2C reste le plus concerné, la prospection B2B étant moins source de problème, sans pour autant qu’il faille négliger sa conformité RGPD.
Décidée à traiter le problème, la CNIL se montre de plus en plus offensive. Après avoir sanctionné 2 brokers puis plusieurs marques, le régulateur annonce des contrôles sur les opérations de prospection.
Pour vous, c’est une occasion de vérifier que vos process respectent les obligations légales.
- Vos formulaires comportent-ils bien une case cochable pour s’inscrire à vos bases de données marketing ?
- Les emails marketing intègrent-ils bien un lien de désabonnement dans les footers ?
- Supprimez-vous les contacts inactifs (3 ans après la dernière trace de contact) ?
- Existe-t-il une méthode simple efficace pour faire valoir ses droits (accès aux données, suppression…) ?
Vous voilà prévenus.
Télétravail, la CNIL s’intéresse aux nouvelles méthodes de surveillance des salariés
La période du confinement a rendu possible le déploiement accéléré d’une infrastructure informatique qui rend possible le travail à distance.
Cela vous permet sans doute d’envisager des perspectives plus pérennes de télétravail.
Nénamoins, sans surprise, un certain nombre d’employeurs ont voulu s’assurer qu’un salarié qui télétravaille… travaille ! Aussi, derrière les outils de chat, de visio-conférences et autres, des méthodes de surveillance se sont mises en place.
Pour beaucoup d’entreprises, c’est le début d’un basculement. Certaines vont stabiliser le télétravail partiel, peut-être accorder plus de jours. D’autres font le choix de basculer en full remote ou presque. Cela devient ainsi un vrai sujet sur lequel le régulateur compte exercer sa vigilance.
La fin du Privacy Schield concerne aussi le cloud
Le sujet des transferts de données vers les Etats-Unis remet en haut de la pile la question de l’encadrement des sous-traitants.
Il faut dire que l’actualité est assez chargée :
- L’arrêt Schrems II rendu par la Cour de Justice Européenne a remis en cause le Privacy Shield… mais aussi les clauses contractuelles types. Cet instrument, qui prend la forme d’un document à annexer aux contrats, permettait jusqu’ici de sécuriser sur le plan juridique les transferts de données. Après l’arrêt précité et l’intervention du régulateur européen, la Commission Européenne a produit de nouvelles « CCT » en juin 2021. Désormais, c’est cette version qu’il faut adopter.
- Les régulateurs des données s’en prennent aux responsables de traitement mais aussi aux sous-traitants. Des fournisseurs ont été ainsi sanctionnés pour ne pas avoir suffisamment rempli leurs rôles de conseil et de proposition en matière de sécurité.
- Des associations de défense de la vie privée ont multiplié les plaintes pour remettre en cause le recours à des solutions informatiques hébergées aux Etats-Unis.
Cette année, la CNIL compte par conséquent examiner en profondeur la question. Elle sera particulièrement vigilante à propos des transferts de données et de l’encadrement contractuel.
Comment gérer votre mise en conformité RGPD en 2022 ?
L’évolution du programme annuel des contrôles initiés par la CNIL montre à quel point le régulateur s’intéresse à tous les aspects de la conformité RGPD.
Pas de doute, il faut vous y mettre, appliquer dès à présent une démarche privacy-by-design aux nouveaux projets et sécuriser les traitements de données existants.
Comment faire ? En vous appuyant sur des outils dédiés qui vous faciliteront la tâche. Par exemple, le sujet des cookies, plus globalement les sites web, restent un sujet très actuel d’actions pour le régulateur.
Aussi, pour sécuriser le dépôt de cookies et la collecte de données qui en résulte, vous installerez sur votre site une Consent Management Platform. Attention, pas n’importe laquelle. N’allez pas dégrader la qualité de l’expérience utilisateur du site ou fatiguer votre audience avec une bannière cookies moche ou intrusive.
Axeptio a fait le choix de fournir une CMP à l’UX très soignée et qui s’intègre bien dans la charte graphique, le ton éditorial et l’UX de votre site.
En un minimum d’efforts et parce que vous avez par ailleurs beaucoup d’utilisateurs sur votre site, cet outil vous permet d’implémenter :
- une gestion conforme des cookies ;
- une fonctionnalité user-friendly qui vient enrichir l’expérience proposée sur le site en donnant le contrôle à votre audience. Fun et pédagogue, l’interface saura rassurer et faire accepter vos cookies.
Conclusion : Les priorités de la CNIL sont-elles aussi les vôtres ?
Le programme prioritaire de la CNIL donne la liste des principales thématiques de vigilance du régulateur. En gardant en mémoire celles des années précédentes, cela montre sur quels sujets il faut accélérer sa démarche de mise en conformité RGPD. Bien sûr, la CNIL se réserve de pouvoir initier des contrôles sur d'autres sujets.
C’est important, d’autant que la Commission prend de plus en plus en compte les plaintes qu’elle reçoit. Elles vérifient bien sûr que les entreprises visées y répondent parfaitement. Mais elles peuvent aussi devenir la source d’un contrôle.
Il faut de ce point de vue noter que le nombre de plaintes augmente et qu’elles portent désormais aussi sur les cookies.
Pour autant, pas de panique, vous pouvez compter sur l’aide de fournisseurs éprouvés qui ont une vraie vision marketing de la gestion de la conformité. C’est ce que nous nous employons à vous proposer.
Ne partez pas si vite
Séisme dans le monde des CMP : le protocole TCF de l’IAB est déclaré illégal !
La décision du 02 février 2022 rendue par l'APD belge est un vrai cataclysme pour l'IAB et le protocole TCF ! Christophe Landat, avocat et DPO d'Axeptio, en présente le contenu.
Mise à jour septembre 2022 : Condamnée par l'Autorité de Protection des Données (CNIL Belge) pour violation du RGPD, notamment à une amende de 250 000€, la division européenne de l’Interactive Advertising Bureau a fait appel de cette décision.
5 conseils pour réussir la mise en conformité RGPD de votre mairie
Maxime JAILLETVotre mairie doit intégrer les exigences du RGPD et de la directive ePrivacy et ce, compte tenu de risques croissants liés à votre activité. Ca vous effraie ? Pas de panique car la tendance est à la mutualisation des ressources : le Data Protection Officer comme les outils IT. Et pour gérer la conformité de votre site web, il suffit de faire comme dans la vraie vie.
Cybersécurité, données de santé et cookies, priorités de la CNIL en 2021
Maxime JAILLETLa CNIL a dévoilé son programme de contrôles pour 2021. Quels seront les thèmes prioritaires ? La sécurité IT des sites web ; le traitement des données de santé (ce qui concernera les acteursdu secteur de la santé mais pas seulement) et les cookies. On vous dit tout.