En 2025, PURR a participé aux consultations publiques de la CNIL sur le consentement multi-terminaux et sur les passerelles de filtrage web.
Mi-janvier 2026, la CNIL a publié sa recommandation sur le consentement multi-terminaux. PURR est la seule association de la société civile à y avoir participé. La CNIL n’a environ rien retenu de notre contribution, et nous le déplorons vivement.
Mi-mars 2026, la CNIL a publié sa recommandation sur les passerelles de filtrage web. Là encore, PURR est le seul participant de la société civile. La CNIL a retenu plusieurs des contributions de PURR, sans, pour plusieurs points, en faire état dans sa synthèse des contributions, mais sa recommandation reste très incomplète et insuffisante pour protéger le droit à la vie privée des travailleurs.
Plus précisément :
-
La CNIL a repris notre demande d’un rappel fort de l’exigence de non-surveillance excessive des travailleurs, et d’exclusion des outils de prévention de perte de données (DLP) du périmètre, mais sans entrer dans le fond des choses, ni insister sur la conciliation avec l’usage personnel, comme nous le lui demandions. Exemples : nous demandions une plus grande minimisation (ne journaliser que le domaine, pas l’URL ; la CNIL retient une consignation des URL hors données personnelles qu’elles pourraient contenir), un relâchement de la journalisation hors des horaires travaillées, une plus grande parcimonie dans le déchiffrement HTTPS, des motifs plus nombreux pour lever le déchiffrement et/ou la journalisation, etc. ;
-
La durée de conservation sans justification a été abaissée de 1 an à « 6 mois à 1 an », mais cela demeure excessif au regard des données persos consignées (URL), des finalités poursuivies, et de la possibilité de tirer des conclusions très précises concernant la vie privée d’un employé ou agent.
-
L’obligation de conservation des données de connexion (décrets 2021-1361, 2021-1362, et, à ce jour, 2025-980) n’est plus une finalité justifiant le recours à un serveur mandataire web filtrant. PURR avait défendu que cette obligation n’est pas opposable aux entités concernées par la recommandation.