Sanction de la CNIL à l’encontre de la société FONCIA Groupe: la pratique des bloc-notes marquée au fer rouge

Par un arrêt du 12 mars 2014, le Conseil d’Etat a confirmé une délibération de la Commission Nationale Informatique et Libertés (la « CNIL« ) du 6 octobre 2011,[1] prononçant un avertissement public à l’encontre du groupe FONCIA, pour commentaires excessifs sur les clients et prospects et qui décidait, par la même occasion, de rendre cet avertissement public.

A l’occasion d’un contrôle opéré par la CNIL en 2010 auprès du groupe FONCIA, la Commission a constaté  dans les fichiers de cette dernière la présence de milliers de commentaires et de notes excessifs, voire insultants.

S’il existe encore de (trop) nombreuses entreprises méconnaissant totalement le droit des données à caractère personnel, la collecte et le traitement de données, que ce soit via un format numérique et/ou sur papier, sont pourtant des actes courants voire la matière première du business modèle d’un grand nombre d’entreprises.

A l’occasion de la collecte de données, l’utilisation de zones de commentaires, ou bloc-notes, est une pratique très répandue, notamment par des responsables de clientèles, des commerciaux ou encore des chasseurs de têtes, soucieux d’apprécier, en outre, les atouts et faiblesses de leurs cibles.

Il ressort de la décision désormais publique prise par la CNIL à l’encontre de la Société FONCIA Groupe, que si la pratique des bloc-notes et zones de commentaire n’est pas interdite, dès lors qu’elle est opérée sans aucune recommandation voire formation préalable des personnes y recourant, celle-ci peut être la source de nombreuses dérives et manquements au regard du respect de la vie privée et du droit des données à caractère personnel.

Au-delà de la polémique ravivée par la décision du Conseil d’Etat du 12 mars dernier, rappelons les dispositions de la Loi Informatique et Libertés du 6 janvier 1978 venant fonder la décision de la CNIL.

L’article 6-3 de la Loi Informatique et Libertés indique que les données collectées doivent être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ».

Or, en l’espèce, de nombreuses annotations relevées par la CNIL à l’occasion de son contrôle contenaient des informations peut pertinentes au regard de l’objectif poursuivi.

Par ailleurs, l’article 8 de la Loi dispose qu’ «Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ».

L’enquête menée par la CNIL avait permis de révéler l’existence de données sensibles et de fichages des clients et/ou prospects tels que « enquête SRPJ en cours, problème d’alcool et expulsion d’un logement », « il sentait l’alcool lors de la visite », « Monsieur a la maladie de parkinson et des problèmes pour parler », recherche un T3 pour se rapprocher de leur fille (atteinte d’un cancer) », « famille de juifs très pratiquants ».

Préalablement à la publication de la sanction relative au Groupe FONCIA, la CNIL, consciente des dérives liées à l’utilisation de plus en plus courant des zones de commentaires ou encore de bloc-notes a énoncé, en octobre 2012, quelques recommandations et bonnes pratiques  » pour ne pas déraper ». Dans cette recommandation, il est notamment conseillé :

  • que le rédacteur des notes soit conscient que la personne qui est concernée peut, à tout moment, exercer son droit d’accès et par conséquent prendre connaissance des commentaires la concernant,
  • de ne rédiger que des commentaires purement objectifs, dépourvus de tout élément excessif et/ou insultant,
  • de ne pas inscrire d’informations se rapportant à des données sensibles (santé, vie sexuelle, opinions politiques, appartenance syndicale, etc.) des infractions ou encore des condamnations,
  • de sensibiliser le plus grand nombre d’utilisateurs de ces bloc-notes et zones de commentaires.

S’agissant de ce dernier point, il est en effet plus que nécessaire d’organiser, en interne, des sessions de formations, à l’occasion desquelles un professionnel du droit pourra rappeler les grands principes du droit des données à caractère personnel, tout en illustrant ses propos de bonnes et de mauvaises pratiques afin de sensibiliser les salariés de l’entreprise amenés à collecter conserver des données à caractère personnel relatives aux clients de l’entreprise et/ou à des prospects.

L’article 3 de la Loi du 6 janvier 1978 prévoit que « le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens« .

Ainsi, si au regard de la Loi Informatique et Libertés le responsable de traitement est le dirigeant de l’entreprise, ce sont bien les salariés qui, en pratique, procèdent à la collecte de données et utilisent ces dernières et qui peuvent ainsi, ignorant le droit applicable, être à l’origine de collecte et surtout de conservation de données malheureuses, en infraction avec ce qu’autorise la Loi Informatique et Libertés.

En l’espèce, la CNIL, puis le Conseil d’Etat ont tous deux considéré que le responsable de traitement n’était pas telle ou telle agence FONCIA mais bien la société FONCIA Groupe qui avait mis à la disposition de ses agences un logiciel spécifique « Totalimmo » qui permettait, notamment, la collecte et le traitement de données subjectives, sous l’apparence d’un bloc note, entretenu par les commerciaux. Par cette mise à disposition, la société FONCIA Groupe a décidé de la nature des données collectées, a déterminé les droits d’accès à celles-ci et a fixé la durée de conservation.

Là encore, la vigilance du responsable de traitement est de mise dès lors qu’il met à la disposition de ses agences et/ou commerciaux un outil logiciel permettant la collecte de données à caractère personnel. La société et/ou le groupe décidant de recourir à un tel outil afin de « faciliter » la collecte des données utiles à ses activités, devrait s’assurer que seule est possible la collecte de données objectives ou au moins « nécessaires » et non excessives » au regard de la finalité recherchée.

Pour le responsable de traitement il devient plus que nécessaire d’adopter des outils de management du risque juridique, à l’instar du principe de Privacy by Design afin d’encadrer les pratiques de ses salariés tout au long de la chaine de valeurs.

Ce principe qui consiste à concevoir des produits et des services en prenant en compte, dès leur conception, les aspects liés à la protection de la vie privée et des données à caractère personnel a d’ailleurs été intégré dans la proposition de Règlement européen relatif à la protection des données à caractère personnel du 25 janvier 2012.

Ainsi, la pratique du Privacy by Design associée à une formation adaptée des personnes amenées à collecter des données permettrait ainsi aux entreprises de s’assurer une plus grande conformité au regard de la Loi Informatique et Libertés.

Aurélie Klein

Avocat à la Cour


[1] Délibération n°2011-205 du 6 octobre 2011
Print FriendlyImprimer cet article

Mots-clefs : , , , , , , , , , ,

Laisser une réponse