Les thématiques prioritaires de contrôle de la CNIL 2022

Le , par Harmonie Peynot - RGPD.

Chaque année, la CNIL (Commission nationale de l’informatique et des libertés) réalise de multiples contrôles afin de veiller au respect des obligations en matière de protection des données personnelles. 

À quoi correspond une année de contrôles par la CNIL ?

En 2020, les équipes de la CNIL ont réalisé 247 contrôles ayant entraîné 49 mises en demeures, 38 rappels à l’ordre, 2 avertissements et 14 sanctions.

Ces sanctions ont représenté un total de 138 489 300 € d’amende.

En 2021, 384 contrôles ont été réalisés soit une augmentation de 55,5 % par rapport à 2020 ! Et il est fort à parier que cette augmentation se poursuivra en 2022.

Comment les contrôles sont-ils décidés ?

La CNIL organise ses contrôles en fonction des plaintes et signalements des violations reçus ainsi que de l’actualité. À cela s’ajoutent des sujets stratégiques et/ou ayant un impact fort sur les données personnelles : les thématiques de contrôle prioritaires.

Ces thématiques sont annoncées au début de chaque année et permettent d’identifier les sujets auxquels la CNIL va prêter une attention toute particulière, tant dans ses missions d’information que dans ses missions de contrôle.

Les contrôles sur les thématiques prioritaires représentent environ un tiers des contrôles de l’année.

Quelles sont les thématiques prioritaires 2022 ?

Pour faire suite aux thématiques de contrôle 2021 (la cybersécurité, la sécurité des données de santé et les cookies), la CNIL vient d’annoncer le contenu du millésime 2022. Les grands gagnants sont :

  • la prospection commerciale, à l’occasion de la publication du nouveau référentiel “Gestion commerciale” ;
  • les outils de surveillance dans le cadre du télétravail, haut facteur de risque pour la vie privée en cette période de crise sanitaire ;
  • les services d’informatique en nuage ("cloud"), impliquant des transferts de données hors de l’Union Européenne et sources d’interrogations en matière de souveraineté numérique.

Ne pas être concerné par les thématiques de l’année signifie-t-il que l’on ne sera pas contrôlé ?

Bien sûr que non ! Comme indiqué précédemment, les thématiques ne sont pas l’unique source de contrôles. La CNIL reste seule décisionnaire des organismes et des sujets à contrôler.

Notons par exemple que l’actualité du moment, toujours très chargée en matière de cookies et de transferts de données vers les États-Unis, sera probablement également source de multiples contrôles en 2022.