J’ai inséré un champ libre ou une zone de commentaires : que dois-je faire pour être conforme ?

Etape 1 : S’interroger sur la nécessité d’insérer un champ libre

Avant d’aborder le fond du sujet, il convient de se demander si le champ libre ou la zone de commentaires que l’on souhaite insérer est vraiment indispensable pour accomplir l’objectif du traitement, ou s’il existe des alternatives préférables du point de vue de la sécurité des données personnelles. En effet, dès lors que les possibilités de réponse de l’utilisateur sont limitées, par exemple pour des questions fermées, il est préférable de limiter sa capacité d’action sur le champ concerné. Cela évite que l’utilisateur fournisse des données sensibles, et permet en plus de le guider sur la réponse attendue à la question. Une très bonne solution pourrait être l’insertion d’une liste fermée avec des cases à cocher (type QCM).

Etape 2 : Qualifier la donnée à l’aide de critères

En terme RGPD, « qualifier la donnée », c’est réussir à l’intégrer dans une catégorie de données à caractère personnel : données relatives à l’identité, données professionnelles, données de santé. Cette qualification est incontournable puisque le niveau de risque du traitement va être grandement impacté par les données qu’il collecte et qu’il traite. Par voie de conséquence, cela va déterminer le droit applicable, la procédure à suivre (fiche registre ou analyse d’impact), mais également le niveau de sécurité à assurer : plus le traitement présentera un niveau de risque élevé, plus les procédures seront lourdes.
Il est recommandé de prendre le temps de réaliser une analyse fine : sous-estimer le risque pourrait effectivement remettre en cause la conformité du traitement, et le surestimer pourrait aboutir à la complétion de documents supplémentaires lorsque cela n’est pas nécessaire.

Afin de pouvoir qualifier précisément la donnée et sa sensibilité, deux critères peuvent être utilisés :

• Le premier critère consiste à se placer du point de vue du responsable de traitement, et à s’interroger sur sa volonté, sur ce qu’il veut que les personnes concernées indiquent dans ce champ. En effet, une zone libre est généralement placée lorsque la question qui est posée est ouverte, et qu’il n’est pas possible de prévoir, sous forme d’une liste fermée, les réponses qui peuvent être données. Elles correspondent très souvent à la volonté de laisser à l’utilisateur un véritable espace d’échange ouvert.
  C’est le cas, par exemple, des formulaires de contact que l’on peut trouver sur la plupart des sites. Le développeur d’un site tout à fait classique, tel que le Portail RGPD, s’attend à ce que des sollicitations lui soient réalisées en lien avec son site. En revanche, il ne s’attend pas qu’une personne lui transmette des informations médicales ou financières par ce biais.
  
  Ce critère a une limite évidente : il faut que la personne comprenne ou soit en mesure de comprendre la volonté du responsable de traitement. L’utilisation de ce critère suppose donc une information complète de la personne concernée sur ce qui est attendu dans le champ libre ou la zone de commentaire, que ce soit de manière implicite ou explicite.
  
  
• Le second critère consiste cette fois à se placer du point de vue de la personne concernée, et à s’interroger sur ce qu’elle peut être amenée à compléter compte-tenu de la situation dans laquelle elle est placée et de l’information qui lui est donnée. Ainsi, il est fort probable qu’une personne placée dans un contexte médical soit amenée à fournir des informations relatives à sa santé dans un champ libre qui n’indiquerait pas qu’il ne faut pas y mettre de telles informations. Dans cette situation, les données collectées pourront être qualifiées de données de santé, et toute la réglementation en la matière s’appliquera.
  
  Il n’est pas toujours aisé de manier ce critère dans la mesure où il n’est pas toujours évident d’anticiper par avance ce qui va être renseigné dans le champ libre ou la zone de commentaires.

Afin d’aboutir à une qualification qui est au plus proche de la réalité, c’est-à-dire de ce que les personnes concernées sont susceptibles de compléter, il est préférable d’utiliser ces deux critères de manière simultanée, en donnant plus de poids au second. En effet, le premier critère, bien qu’il soit important, va trouver sa pleine utilité dans la réduction du risque engendré par le placement du champ libre ou de la zone de commentaire.
Par ailleurs, il est essentiel d’avoir des exemples concrets des informations attendues ET des informations habituellement renseignées par les personnes concernées lors de la réalisation de l’analyse afin que celle-ci puisse être au plus proche de la réalité. Des exemples trop imprécis peuvent effectivement conduire à une surqualification voire à une sous-qualification, ce qui n’est pas souhaitable.

Etape 3 : Réduire le risque engendré par le champ libre (FACULTATIF)

Si vous n’êtes pas satisfait du résultat obtenu à la fin de l’étape précédente, vous pouvez être amené à vouloir réduire le risque que le champ libre présente. Une solution consisterait à renforcer le niveau de sécurité informatique du traitement. Toutefois, l’augmentation des mesures de sécurité n’est pas la seule alternative que vous avez: l’objectif va être d’apporter des garanties suffisantes pour pouvoir démontrer à la CNIL en cas de contrôle que ce champ n’a pas vocation à collecter des données hautement personnelles ou sensibles le cas échéant.

Il est possible d’imaginer à peu près tout et n’importe quoi pour réduire le risque, la limite étant votre créativité. Généralement, il va s’agir d’informer la personne concernée ou de réduire sa capacité d’action dans le champ libre. Voici quelques exemples :

• La solution la plus classique consiste à alerter et à informer la personne, juste sous le champ concerné, que celui-ci n’est pas destiné à contenir de données sensibles. Eventuellement, il est possible d’y indexer une notice sur ce que le responsable de traitement souhaite collecter via le champ.
  
  
• Une autre solution, beaucoup plus circonstancielle, consiste à limiter le nombre de caractères qu’il est possible de taper dans le champ. La question appelle une réponse ouverte, mais cette réponse n’a pas besoin d’être longue. Ainsi, en ajoutant une limite de caractères, la personne concernée est forcée à rester synthétique, ce qui évite la saisie de données superflues, qui ne répondent pas à la question ou qui dérivent du sujet.
  
  
• Enfin, il peut également être envisagé de bloquer la saisie de certains mots. Souvent, ces systèmes existes pour empêcher à des insultes d’être tapées sur des forums (celles-ci étant automatiquement remplacées ou supprimées), mais il est tout à fait possible de les réutiliser pour bloquer des mots qui révèleraient des données sensibles. Il faut toutefois utiliser ce dispositif avec précaution puisqu’il réduit d’autant la liberté d’expression des personnes utilisant votre espace d’échange.
  

Pour approfondir …