Recevez chaque jour toute l'actualité du numérique

x

Commentaires jugés excessifs… attention au verdict de la CNIL !

Le numérique ne bouleverse pas que les business models. Pour le prendre en compte, les règles et les lois sont elles aussi en pleine mutation. Chaque vendredi, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour nous fournir des clés pour déchiffrer les évolutions juridiques et judiciaires nées de la digitalisation : informatique, cybersécurité, protection des données, respect de la vie privée... Aujourd’hui, regard sur le contenu des commentaires dans les fichiers nominatifs.
Twitter Facebook Linkedin Flipboard Email
×

Commentaires jugés excessifs… attention au verdict de la CNIL !
Commentaires jugés excessifs… attention au verdict de la CNIL !

A l’instar de beaucoup d’entreprises au contact du grand public, dans un souci légitime de suivi de la relation commerciale, une société avait permis à ses vendeurs de saisir certaines informations relatives aux clients dans un espace dédié dit "zone de commentaires". Oui mais voilà, par définition, l’interprétation étant intrinsèquement liée à la notion même de commentaire, la frontière entre l’objectif et le subjectif reste ténue et un dérapage vers des propos malveillants vite arrivé.

 

Ainsi, suite à une plainte ayant déclenché des contrôles sur place et en ligne de la Commission Nationale de l’Informatique et des Libertés (CNIL), en juin 2015 (Décision N°2015-063 du 26 juin 2015), la Présidente de la CNIL a mis en demeure cette société de prendre les mesures nécessaires pour éviter que des commentaires excessifs sur les clients ne soient enregistrés dans ses bases de données, cette mise en demeure ayant été rendue publique par le bureau de la CNIL en juillet 2015 (Délibération N°2015-225 du 9 juillet 2015).

 

La société dispose d’un délai de 3 mois pour se mettre en conformité avec la loi du 6 janvier 1978 modifiée dite loi "Informatique et Libertés" pour tous les magasins et sites internet de l’enseigne, c’est-à-dire pour faire disparaître tous les contenus incriminés et empêcher ce type de saisie à l’avenir. 

 

Ces décisions, loin d’être inédites, méritent bien quelques commentaires...

 

…à propos de la notion de commentaires excessifs

Concrètement, il s’agit de propos susceptibles d’être discriminants (tels "fort accent africain" ou "cliente de confession juive") ou ayant pour effet de stigmatiser la personne concernée (tels "client alcoolique", "folle") ou encore injurieux (tels "client très con", "chiant"). En l’espèce, les contrôleurs de la CNIL ont relevé plus de 5800 commentaires de cet acabit.

 

Les commentaires doivent concerner des personnes physiques identifiées (ici les clients) et, d’un point de vue légal, ils constituent des données à caractère personnel dont la protection est spécifiquement encadrée par la loi "Informatique et Libertés". 

 

L’intervention de la CNIL se fonde sur un manquement au principe posé par l’article 6 de cette loi selon lequel les données à caractère personnel "doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs". Si dans tous les cas les injures sont à proscrire, il ressort des dispositions légales que les commentaires doivent toujours être appréciés en fonction de l’objectif poursuivi par le traitement de données.

 

Ainsi, pour la grande majorité des secteurs économiques, le suivi de la clientèle ou de son personnel impose au responsable de traitement (l’entreprise) d’interdire la saisie de données dites sensibles au sens des articles 8 et 9 de la loi "Informatique et Libertés" (santé, vie sexuelle, origine raciale ou ethnique, opinions politiques…, ou relatives à des condamnations). Dans le même sens, il est recommandé à l’entreprise de ne pas autoriser la saisie de jugements de valeur et de façon générale de toute information susceptible de porter atteinte à l’image de la personne concernée.

 

La CNIL a d’ailleurs rappelé ces principes dans le cadre de ses 5 règles de bonne pratique, occasion pour elle également de recommander l’utilisation de menus déroulants proposant des appréciations objectives, la réalisation d’audits et le recours à des outils automatiques pour vérifier les contenus des zones de commentaires.

 

…en ce qui concerne la publicité de la mise en demeure de la CNIL

La CNIL est intervenue dès 2006 pour sanctionner les commentaires excessifs (Délibération n°2006-173 du 28 juin 2006) et a prononcé depuis lors d’autres sanctions pécuniaires (Délibération n°2009-469 du 9 juillet 2009) et des avertissements (voir : Délibération N°2011-205 du 6 octobre 2011). Ces décisions ont été (majoritairement) rendues publiques et certaines mêmes confirmées par le Conseil d’Etat (Arrêt du 27 juillet 2012 et Arrêt du 12 mars 2014). 

 

Comme la CNIL le rappelle systématiquement, la mise en demeure (MD) n’est pas une sanction prévue par la loi "Informatique et Libertés", simple prérogative de sa Présidente donc, et l’organisme contrevenant dispose d’un délai pour remédier aux manquements constatés.

 

Alors où est le problème ?

Eh bien, à l’évidence, c’est la publication de la décision qui pose question car lorsque la CNIL pointe un ou plusieurs manquements et que des journaux à grand tirage quotidiens, hebdomadaires, mensuels (papier et en ligne) s’en font le relais… que dire des conséquences en termes d’image pour l’entreprise ainsi fustigée.

 

De fait, la publicité d’une mise en demeure revient à dénoncer l’entreprise cible au titre d’une mauvaise protection des données avant même d’avoir pu régulariser les manquements constatés.   

 

Que dire aussi de cette exemplarité forcée ?

D’autant que, comme la publicité des décisions de la CNIL n’est pas une sanction, aucune motivation de cette décision spécifique n’est requise et aucune phase contradictoire n’est prévue. L’entreprise est donc tenue de se conformer aux prescriptions de la mise en demeure et dans le délai imparti … "sans autre forme de procès".

Finalement, ne serait-ce pas un peu excessif ?

 

Isabelle CANTERO, Juriste sénior, Responsable du Département vie privée et protection des données

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.