La protection des données personnelles et les dangers de la zone de texte libre dans une base de données
Foncia Groupe Holding vient d'être sanctionné par la CNIL. Une bonne occasion de rappeler le danger des zones de texte libre dans les bases de données.
PublicitéLa CNIL a infligé un avertissement public à la société Foncia Groupe Holding à propos de sa base « Totalimmo » destinée à recenser les biens immobiliers disponibles à la vente et à la location, mais comportant des zones de texte libres, dans lesquelles ont été inscrits des commentaires contenant des données sensibles portant sur la santé des personnes ou leurs opinions religieuses, parfois dans des termes offensants. Le Conseil d'Etat, saisi d'un recours contre la délibération de la CNIL, a confirmé cette sanction publique par un arrêt du 12 mars 2014.
Le responsable du traitement des données pointé du doigt
La Holding soutenait qu'elle ne pouvait être regardée comme responsable du traitement de données litigieux, puisque l'outil était exploité par ses filiales, lesquelles avaient d'ailleurs désigné un correspondant à la protection des données personnelles.
Le Conseil d'Etat a jugé que c'est bien le Groupe FONCIA Holding qui avait déterminé les finalités et les moyens du traitement de données personnelles, et a relevé que la Holding avait mis ce traitement à la disposition des entités qui lui sont liées, décidé de la nature des données collectées, déterminé les droits d'accès à celles-ci, fixé la durée de conservation des données, apporté des correctifs au traitement des données.
Cet arrêt donne matière à réfléchir sur la notion de responsable des traitements de données, en particulier dans les groupes de sociétés, qui devront peser soigneusement la manière dont les outils mis en commun sont conçus et déclarés à la CNIL.
Zones de texte « libre »... danger
Cet arrêt apporte également une nouvelle illustration des dangers des zones de texte « libre » dans les bases de données. Il s'agit de zones à hauts risques, qui sont les premières à être examinées en cas de contrôle de la CNIL.
Les informations enregistrées dans les zones en texte libre, dites "blocs-notes », qu'elles soient sur support papier ou informatique, doivent, dès qu'elles touchent des personnes, être « pertinentes », « adéquates » et « non excessives » au regard de la finalité du traitement. Entre autres, les commentaires ou mentions faisant apparaître directement ou indirectement des informations sur la santé des personnes, leurs opinions politiques, philosophiques ou religieuses, leur appartenance syndicale, leurs moeurs, leur origine raciale, doivent être bannis.
La CNIL propose d'éviter les dérapages en créant dans ces zones des menus déroulants ou questions à choix multiples ou en faisant apparaître un message d'avertissement aux utilisateurs de la base.
Une autre manière efficace et constructive de circonscrire le risque, consiste à faire adhérer le personnel de l'entreprise à une logique de respect des données personnelles, par le biais d'une formation aux fondamentaux de la protection des données personnelles.
Publicité
Article rédigé par
Anne Messas, Avocate associée du cabinet HMV Avocats
Anne Messas, avocate associée du cabinet HMV Avocats, experte en droit de la propriété intellectuelle. Anne Messas a développé une expertise en droit des affaires puis s'est spécialisée dans le droit de la propriété intellectuelle, de la communication et des médias et plus particulièrement dans le domaine du droit des signes distinctifs de l'entreprise et des nouvelles technologies de l'information. Anne Messas conseille des sociétés qui exercent leur activité notamment dans l'informatique, les banques, les assurances, la mode, l'édition, la presse et les aide à valoriser, gérer et protéger leurs droits de propriété intellectuelle.
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire