Zones bloc note et commentaires : les bons réflexes pour ne pas déraper
RSS CNIL - , 15/10/2012
Le recours à l'utilisation de zones de commentaires libres, dans la mesure où il permet un suivi des dossiers de clients ou d'usagers n'est pas interdit. Cependant, des règles strictes encadrent cette utilisation puisque ces commentaires peuvent concerner la vie privée des personnes.
Ainsi, les informations renseignées ne doivent pas porter atteinte à l'image de la personne ou l'empêcher de bénéficier d'une prestation à laquelle elle peut prétendre.
La CNIL a déjà eu l'occasion de prononcer plusieurs mises en demeure et avertissements en raison d'un mauvais usage de ces zones bloc notes (liens hypertextes ?). C'est pourquoi elle souhaite rappeler les règles à respecter et les bonnes pratiques à adopter en la matière.
Règle n° 1 : Avoir à l'esprit, quand on renseigne ces zones commentaires, que la personne qui est concernée peut exercer son droit d'accès et lire ces commentaires !
Règle n° 2 : Rédiger des commentaires purement objectifs et jamais excessifs ou insultants
La loi informatique et libertés prévoit que les informations collectées sur les personnes doivent être adéquates, pertinentes et non excessives au regard de la finalité du traitement envisagé, qu'il soit automatisé ou au format papier. Les commentaires ne doivent donc pas être inappropriés, subjectifs et insultants.
Il apparait légitime qu'une société identifie les clients dont la situation particulière justifie une modération ou un échelonnement de paiements. Cependant, l'inscription des motifs est souvent non pertinente voire excessive (par exemple, le commentaire "en instance de divorce", ou "client au chômage" a été considéré, dans certaines circonstances, comme inadéquat, non pertinent et excessif).
De même, il peut être nécessaire de faire état du comportement violent d'un client. Pour autant, il ne faut inscrire que des mentions neutres et factuelles telles que "échange difficile avec le client" ou "risque de violence en cas de déplacement à domicile" en lieu et place de précision stigmatisante telle que "cliente a pété un plomb".
Règle n° 3 : Ne pas inscrire d'informations se rapportant à des données sensibles (santé, vie sexuelle, opinions politiques, etc.), des infractions ou des condamnations
Une attention particulière doit être portée aux données sensibles visées par l'article 8 de la loi Informatique et Libertés. Il s'agit par exemple des données relatives à la santé ou à la vie sexuelle des personnes. Ces informations ne peuvent être, sauf exceptions, renseignées qu'avec le consentement exprès des personnes. En l'absence de ce dernier, il faut se limiter à l'usage de termes neutres et objectifs tels, en matière de santé, que "hôpital", "hospitalisation" ou "maladie longue durée" et ne pas préciser la pathologie précise affectant la personne concernée.
Une vigilance particulière doit également être apportée aux commentaires faisant apparaitre des infractions, condamnations et mesures de sureté. L'article 9 de la loi Informatique et Libertés prévoit en effet que seules certaines catégories de personnes, telles que les juridictions et autorités publiques, peuvent mettre en œuvre de tels traitements. Ainsi, les termes "maison d'arrêt" ou "centre de détention" peuvent être renseignés dans un champ "adresse" mais le motif de la condamnation ne doit pas être indiqué.
Règle n° 4 : Sensibiliser les utilisateurs
La sensibilisation du personnel à la protection de la vie privée est indispensable. Elle peut prendre la forme de notes d'information, de messages d'alerte en cas d'utilisation des zones commentaires ou de formation. Le Correspondant informatique et libertés peut aussi être un relais efficace en matière de formation en interne.
Règle n° 5 : Utiliser des outils conformes à la loi Informatique et Libertés
La CNIL recommande de limiter le recours aux zones de commentaires libres et de favoriser l'utilisation de menus déroulants proposant des appréciations objectives. La réalisation d'audits réguliers et le recours à des outils automatiques vérifiant les mots contenus dans les zones commentaires doivent également être envisagés. Enfin des extractions des commentaires peuvent être réalisées régulièrement pour s'assurer du respect de la loi Informatique et Libertés. Si ces extractions peuvent mener à des sanctions disciplinaires, une consultation des instances représentatives du personnel et une information individuelle des salariés est nécessaire.