Le RGPD a renforcé le cadre légal autour des données personnelles, de leurs caractéristiques et de leur protection. Il est donc nécessaire d’être encore plus vigilant sur les données stockées afin d’éviter des (potentiellement conséquentes) amendes et (surtout) une perte de confiance de vos parties prenantes (collaborateurs, clients, partenaires…) en cas de contrôle de la CNIL.
Nous vous proposons quelques conseils pratiques afin d’anticiper et de prévenir les risques éventuels de stockage de données non conformes au sein de vos bases de données.
Le premier conseil est de constituer pro-activement un dossier récapitulant toutes les actions que vous avez mises en place pour traiter cette problématique. En cas de contrôle CNIL, ce dossier vous permettra de démontrer que le sujet des données personnelles est considéré avec tout le sérieux requis.
Parmi les actions à mettre en place :
- Appliquer une politique minimaliste.
Une bonne pratique est de conserver dans vos bases de données, uniquement les données indispensables au traitement du dossier client. Plus il y a de détails et d’historiques, plus il y a de risques de stockage d’éléments non pertinents pour le suivi du client qui seront difficiles à justifier auprès des inspecteurs.
Par ailleurs, il faut être vigilant sur la durée de conservation des données qui constitue également un critère d’appréciation de la gestion de vos bases. - Toujours garder en tête que le client peut demander sans aucune autre formalité à accéder à sa fiche client.
Comme vous l’indiquez dans vos formulaires de contact, vos contrats, vos conditions générales, tout client peut accéder à toutes les données personnelles le concernant dans votre système d’informations. Ce point a été renforcé par l’adoption en avril 2016 par le Parlement européen du règlement européen sur la protection des données, applicable en mai 2018, donnant droit à tout citoyen de disposer « d’informations complémentaires sur le traitement de ses données mais également de les obtenir sous une forme claire, accessible et compréhensible ». - Désigner un Délégué à la Protection des Données (DPD ou DPO) au sein de votre entreprise.
Cette personne sera le référent en la matière. C’est un relai efficace pour diffuser les bonnes pratiques, assurer des formations internes ou encore réaliser des audits réguliers. - Sensibiliser tous les collaborateurs.
Cette loi concerne toutes les entreprises, quelle que soit leurs taille, quels que soient leurs secteurs d’activité.
Pour que chaque collaborateur prenne conscience de l’importance de votre démarche, il est conseillé de l’écrire explicitement dans les documents officiels, mis à disposition de tous : règlement intérieur, charte informatique… - Former les collaborateurs ayant un accès direct à ces Zones de Libre Commentaire.
Faire apparaître un message à chaque connexion d’un collaborateur à une application contenant des ZLC est une bonne pratique. Par exemple, « Attention, vous accédez à un espace vous permettant de renseigner librement des informations sur le clients.
Pour rappel, vous devez impérativement rédiger des commentaires objectifs et jamais excessifs ou insultants, à l’exclusion de toute donnée considérée comme sensible (origine raciale ou ethnique, opinions politiques, philosophiques ou religieuses, appartenance syndicale, données relatives à la santé ou à la vie sexuelle, infractions, condamnations, mesure de sûreté).
En cas de doute, vous pouvez contacter notre DPO, …., qui vous indiquera ce qu’il est possible de rédiger pour ne pas porter atteinte aux droits des clients.
Pour information, sachez que cet espace fait régulièrement l’objet d’un nettoyage afin de supprimer toute donnée interdite et que les clients peuvent accéder sur simple demande aux commentaires les concernant. »
Lors des formations, il est important de donner des exemples concrets de commentaires conformes vs non conformes. - Exercer vos collaborateurs à la reformulation brève et objective des commentaires
Cette démarche permet notamment d’habituer vos collaborateurs à rédiger de façon la plus neutre possible.** - Contrôler régulièrement vos bases de données.
L’erreur est humaine et elle peut être commise sans aucune mauvaise intention.
Par exemple, un collaborateur voulant informer ses collègues que, pour un suivi efficace de ce client, il est inutile de tenter de le joindre par téléphone, écrit : « Client sourd, communiquer par e-mail ». Si cette indication part d’une bonne intention, elle reste cependant non-conforme aux recommandations de la CNIL. Dans un tel cas, « Communiquer par e-mail » est un commentaire suffisant et conforme.
La mise en place d’un contrôle systématique de ces champs libres d’expressions vous permet de repérer les commentaires à modérer.
Les Zones de Libre Commentaire sont très nombreuses dans vos différentes applications internes et restent un outil essentiel au suivi client.
L’idée n’est donc pas de les proscrire mais simplement d’en faire bon usage en maîtrisant son contenu.
Nous sommes à votre disposition pour vous aider à auditer votre existant et mener à bien votre projet de mise en conformité.
Sources : Site web CNIL / Site web legifrance.gouv.fr
Date
04 octobre 2016