Applications de gestion de la relation client: des zones de saisie libre pas si libres que ça!

La politique de contrôle de la Cnil met l'accent sur le contrôle des zones de saisie libre, encore appelées zones de commentaires ou zones bloc-notes, qui figurent couramment dans les applications de gestion des relations client ou prospect. Si ces zones peuvent être variées (par exemple, zone «observations» permettant aux commerciaux de préciser certains détails sur les préférences d'achat d'un client, ou encore «zone de texte» dédiée à retranscription des échanges téléphoniques avec les clients), les contrôles de la Cnil ont pu révéler que leur contenu l'était tout autant. Or, dans la mesure où ces zones de commentaires sont généralement attachées à un client ou à un prospect déterminé (elles figurent d'ailleurs le plus souvent au sein même de la fiche client), elles sont soumises aux dispositions relatives à la protection des données à caractère personnel, notamment à la loi Informatique et Libertés.

Au regard des dispositions de cette mesure, les données traitées par un responsable de traitement doivent être «adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs»Loi 78-17 du 6-1-1978, art.6-3°.. Il s'agit de ne collecter que des éléments nécessaires à la réalisation du traitement, c'est-à-dire des données présentant un lien direct et nécessaire avec le traitement en vue duquel elles sont recueillies. Or, s'il est possible de limiter, au sein d'une application de gestion des clients, par exemple, les champs de saisie déterminés, une attention particulière doit toutefois être portée aux zones de saisie libre pouvant exister dans ces applications, afin que des données non pertinentes, inadéquates ou ayant un caractère excessif n'y figurent pas.

Concernant ces espaces, des précautions supplémentaires doivent donc être prises. En effet, les zones de commentaires doivent, en premier lieu, répondre aux mêmes exigences que les données référencées dans des champs de saisie spécifiques.

A savoir: pertinence, adéquation, non excessivité et proportionnalité par rapport à la finalité du traitement. En outre, il convient d'être particulièrement vigilant concernant ces zones, dans la mesure où ne doivent pas y figurer des données interdites, telles que des informations relatives à des éventuelles condamnations ou infractionsLoi 78-17 du 6-1-1978, art.9., ou encore «les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci»Loi 78-17 du 6-1-1978, art.8..

Par ailleurs, il est rappelé que ces données doivent également être communiquées à cette dernière. Il est donc nécessaire de donner des instructions précises aux personnes pouvant être amenées à saisir des informations dans de telles zones de commentaires quant à la manière de les remplir. Il est possible de créer une note interne dédiée et des sessions de formation spécifiques.

Cette sensibilisation des personnes concernant les précautions à prendre lors de la saisie dans de telles zones de commentaires, si elle est nécessaire, n'est pas suffisante. Par conséquent, il convient également que les responsables de traitements concernés mettent en oeuvre des contrôles internes ainsi que des mesures de correction pour vérifier que les zones de commentaires sont utilisées en conformité avec la loi Informatique et libertés.

A cet effet, une politique de contrôle des zones de saisie libre peut être élaborée. D'autres mesures peuvent enfin être prises, comme limiter les zones de commentaires dans l'application ou encore prévoir des champs comportant une fonctionnalité de saisie semi-automatique.

MAITRE CELINE AVIGNON

MAITRE CELINE AVIGNON

est avocate, directrice du département publicité et marketing électroniques du cabinet d'avocats Alain Bensoussan, spécialisé dans les nouvelles technologies.