Zones bloc note et commentaires : les bons réflexes pour ne pas déraper

28 février 2019

L'utilisation de zones de commentaires libres (dite également "zones bloc-notes") est une pratique courante au sein de nombreux organismes. Elle permet par exemple d'assurer le suivi d'un dossier client ou de personnaliser la relation commerciale. Néanmoins, son usage comporte des risques au regard de la vie privée. La CNIL, qui a déjà sanctionné à plusieurs reprises des dérives, vous rappelle les réflexes à adopter.

Le recours à l'utilisation de zones de commentaires libres n'est pas interdit, dans la mesure où il permet un suivi des dossiers de clients ou d'usagers. Cependant, des règles strictes encadrent cette utilisation puisque ces commentaires peuvent concerner la vie privée des personnes.

Ainsi, les informations renseignées ne doivent pas porter atteinte à l'image de la personne ou l'empêcher de bénéficier d'une prestation à laquelle elle peut prétendre.

La CNIL a déjà eu l'occasion de prononcer plusieurs  mises en demeure et avertissements en raison d'un mauvais usage de ces zones bloc-notes. Quelles-sont les règles à respecter et les bonnes pratiques à adopter en la matière ?

Règle n° 1 : informer les personnes concernées par la collecte de données personnelles 

Le RGPD impose d’informer les personnes dès lors  que leurs données sont collectées. Celles-ci doivent notamment  être informées de l’identité de l’organisme, de la finalité du traitement des données les concernant et de la possibilité d’exercer leurs droits.

Règle n° 2 : penser au droit d'accès

Quand vous renseignez ces zones commentaires, ayez à l'esprit, que la personne concernée peut à tout moment exercer son droit d'accès et lire ces commentaires !

Règle n° 3 : être objectif, jamais excessif ou insultant

Les informations collectées sur les personnes doivent être adéquates, pertinentes et non excessives au regard de la finalité du traitement envisagé, qu'il soit automatisé ou au format papier. Les commentaires ne doivent donc pas être inappropriés, subjectifs et insultants.

Ainsi, il apparait légitime qu'une société identifie les clients dont la situation particulière justifie une modération ou un échelonnement de paiements. Cependant, l'inscription des motifs est souvent non pertinente voire excessive. Par exemple,  le commentaire "en instance de divorce", ou "client au chômage" est considéré, dans certaines circonstances, comme inadéquat, non pertinent et excessif.

De même, il peut être nécessaire de faire état du comportement violent d'un client. Pour autant,  il ne faut inscrire que des mentions neutres et factuelles telles que "échange difficile avec le client" ou "risque de violence en cas de déplacement à domicile" en lieu et place de précision stigmatisante telle que "cliente a pété un plomb".

 

Fichiers RH et zones de commentaires

Publié le 28 février 2019

Concernant les fichiers de recrutement, le code du travail impose que les informations recueillies sur un candidat à un emploi se limitent à l’appréciation de ses compétences et de ses aptitudes professionnelles à occuper le poste proposé. Des commentaires qui iraient au-delà de cette obligation légale seraient excessifs. Concernant les fichiers de gestion RH, si des sanctions disciplinaires ont vocation à s’appuyer sur des zones de commentaires, une consultation des instances représentatives du personnel et une information individuelle des salariés est nécessaire.

Règle n° 4 : attention aux données sensibles

Une attention particulière doit être portée aux données sensibles visées par l'article 9 du RGPD. Il s'agit par exemple des données relatives à la santé ou à la vie sexuelle des personnes. Ces informations ne peuvent être, sauf exceptions, renseignées qu'avec le consentement exprès des personnes. En l'absence de ce dernier, il faut se limiter à l'usage de termes neutres et objectifs tels, en matière de santé, que "hôpital", "hospitalisation" ou "maladie longue durée" et ne pas préciser la pathologie précise affectant la personne concernée.

Une vigilance particulière doit également être apportée aux commentaires faisant apparaitre des infractions, condamnations et mesures de sureté. L'article 10 du RGPD prévoit en effet que seules certaines catégories de personnes, telles que les juridictions et autorités publiques, peuvent mettre en œuvre de tels traitements. Ainsi, les termes "maison d'arrêt" ou "centre de détention" peuvent être renseignés dans un champ "adresse" mais le motif de la condamnation ne doit pas être indiqué.

Règle n° 5 : sensibiliser les utilisateurs

La sensibilisation du personnel à la protection de la vie privée est indispensable. Elle peut prendre la forme de notes d'information, de messages d'alerte en cas d'utilisation des zones commentaires ou de formation. Le Délégué à la Protection des Données (DPD/DPO) peut aussi être un relais efficace en matière de formation en interne.

Règle n° 6 : utiliser des outils conformes au RGPD

La CNIL recommande de limiter le recours aux zones de commentaires libres et de favoriser l'utilisation de menus déroulants proposant des appréciations objectives. La réalisation d'audits réguliers et le recours à des outils automatiques vérifiant les mots contenus dans les zones commentaires doivent également être envisagés.Enfin, des extractions des commentaires peuvent être réalisées régulièrement pour s'assurer du respect du RGPD.