Antoine Cervoise, Consultant Sécurité, Devoteam : Les zones de commentaires libres dans les applications
octobre 2012 par Antoine Cervoise, Consultant Sécurité, Devoteam
La CNIL vient de publier un article (http://www.cnil.fr/nc/la-cnil/actualite/article/article/zones-bloc-note-et-commentaires-les-bons-reflexes-pour-ne-pas-deraper/) sur les bonnes pratiques à observer dans l’usage des zones de commentaires libres utilisées dans de nombreuses applications. En effet, ces zones, lorsqu’elles concernent des données personnelles, sont comme le reste du contenu, soumises au droit d’accès de la personne concernée.
Ces bonnes pratiques sont les suivantes :
Règle n° 1 : Avoir à l’esprit, quand on renseigne ces zones de commentaires, que la personne qui est concernée peut exercer son droit d’accès et lire ces commentaires !
Règle n° 2 : Rédiger des commentaires purement objectifs et jamais excessifs ou insultants
Règle n° 3 : Ne pas inscrire d’informations se rapportant à des données sensibles (santé, vie sexuelle, opinions politiques, etc.), des infractions ou des condamnations
Règle n° 4 : Sensibiliser les utilisateurs
Règle n° 5 : Utiliser des outils conformes à la loi Informatique et Libertés
La CNIL avait d’ailleurs adressée un avertissement à Acadomia en avril 2010 (http://www.leparisien.fr/economie/le-scandale-des-fichiers-d-acadomia-27-05-2010-938511.php) pour avoir utilisé à propos des élèves, parents mais aussi des enseignants, des termes portant "gravement atteinte à la vie privée des personnes concernées".
Nous pourrions reprocher à la CNIL de n’avoir pas correctement ciblé son action de communication. En effet, les trois premières règles sont à destination des utilisateurs et doivent être diffusées via des actions de sensibilisation (règle 4). Les deux dernières règles, quant à elles, sont à destination des décideurs. Cependant ces conseils de bon sens, qui ne sont pas évident pour tous, sont toujours bons à prendre.
Ce n’est pas la première fois que la CNIL publie ce type de conseils, elle l’avait déjà fait, par exemple, en juin sur l’utilisation du Cloud Computing (http://www.cnil.fr/la-cnil/actualite/article/article/cloud-computing-les-conseils-de-la-cnil-pour-les-entreprises-qui-utilisent-ces-nouveaux-services/). Il peut donc être intéressant de surveiller les publications faites sur leur site officiel (http://www.cnil.fr/) afin de pouvoir profiter de celles-ci.