Compliance au règlement : éditeurs de logiciels, développez un outil spécifique RGPD monitoring des zones libres. Ces zones libres sont, pour les responsables de traitement, des zones de risques Informatique et libertés pouvant nuire à leur compliance.
A la suite de notre article « Editeurs, proposez-vous des habilitations RGPD compliant ? », nous poursuivons notre exploration des modules et fonctionnalités qui devraient être intégrés par les éditeurs dans leurs produits pour permettre à leurs clients de faciliter la compliance informatique et libertés.
Dans cette série, notre présent article s’intéresse aux zones libres ou zones de commentaires libres.
RGPD monitoring des zones libres : gérer ces zones de commentaires à risque
Le RGPD impose aux responsables de traitement d’adopter, concernant la mise en œuvre de leurs traitements, une démarche de protection dès la conception et de sécurité par défaut. Mais il impose également le principe de responsabilité.
Dans ce nouveau paradigme, où le responsable de traitement se doit de démontrer qu’il a mis en œuvre des politiques et procédures permettant de s’assurer du respect des contraintes Informatique et libertés, un besoin pressant d’outils de monitoring et de contrôle se fait jour.
Dans ce contexte, les éditeurs de logiciels, s’ils veulent être sélectionnés par les responsables de traitement, vont devoir intégrer dans leurs offres des modules leur permettant de respecter leurs obligations en matière de protection des données.
Les outils RGPD monitoring des zones libres sont nécessaires à la compliance
En tant que zones à risques de compliance, les zones libres ou de commentaires libres requièrent des outils de monitoring.
En effet, les zones de commentaires libres présentent des risques au regard de la vie privée puisqu’elles permettent la saisie d’informations qui ne sont, ni adéquates et pertinentes, ni non-excessives (Cnil, Délib. 2016-370 du 1-12-2016).
Si la responsabilité de la collecte et du traitement de ces données pèse sur le responsable de traitement, il n’en demeure pas moins vrai que l’éditeur qui propose un module RGPD monitoring des zones libres, facilitera le contrôle de ces zones par le responsable de traitement. Parmi les outils que devraient intégrer les éditeurs dans leurs produits figurent :
- Un bandeau d’avertissement à proximité des zones de saisie ;
- Un process de monitoring et de filtrage consistant à remplacer, à priori ou à posteriori, les mots interdits ;
- Un dictionnaire de mots interdits ;
- Un outil d’analyse sémantique qui fonctionne sur la base d’un dictionnaire, et un outil d’administration de l’outil d’analyse ;
- Une traçabilité pour faciliter la sensibilisation et la formation des utilisateurs.
Ces outils ne sont que des exemples de ceux qui devraient être intégrés dans les logiciels. Ils ne sont pas exhaustifs mais représentent un minimum pour permettre aux responsables de traitement faisant l’acquisition d’un logiciel ayant un module RGPD monitoring des zones libres, de gérer ces zones à risque. Bien évidemment, le responsable de traitement devra accompagner ces outils d’audits réguliers ainsi que d’actions de sensibilisation et de formation afin de responsabiliser ses utilisateurs.
Lexing Alain Bensoussan Avocats
Lexing Publicité et Marketing électronique
1) Délibération Cnil n° 2017-015 du 19-1-2017 autorisant la Direction des Services Départementaux de l’Education Nationale de Meurthe-et-Moselle à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la gestion et le suivi de l’absentéisme scolaire.