Professionnels du secteur social : comment mieux protéger les données de vos usagers ?

23 janvier 2019

Les intervenants du secteur social (bénévoles, salariés, etc.) et de la médiation numérique accompagnent quotidiennement les usagers dans leurs démarches en ligne. La CNIL propose à ces professionnels un « kit » d’information pour améliorer la protection des données de leurs publics.

accompagnement social

Les professionnels du secteur social et de la médiation numérique accompagnent leurs publics dans le cadre de :

  • formations à la maîtrise des outils numériques (« je forme ») ;
  • l’aide apportée aux personnes dans la réalisation de leurs démarches en ligne, que ce soit en leur présence (« j’accompagne ») ou en leur absence (« je fais »).

Voici les bonnes pratiques à mettre en œuvre selon les différents contextes d’accompagnement. 
 

« Quand je le forme … »

Je l’informe 

Avant de prendre les commandes de son poste, l’usager ne sait peut-être pas que les actions qu’il effectue sur un poste public (logs, heure de connexion, sites consultés etc.) sont enregistrées dans un journal pour des raisons de sécurité. Il est donc essentiel de l’en informer notamment si l’écran de l’utilisateur est déporté sur le poste du formateur pour le suivi pédagogique.

Je sensibilise 

Si vous connaissez des outils plus respectueux des données personnelles et de la vie privée, encouragez vos usagers à les utiliser.

Je lui demande le moins d’informations possible

Ne collectez que les données nécessaires à l’inscription. N’enregistrez pas les informations relatives à la situation personnelle de l’usager (vie familiale, difficultés sociales, etc.). Si l’usager s’entraine à utiliser un service en ligne, n’hésitez pas à lui conseiller de privilégier l’usage de « données fictives ».

Je l’incite à effacer les traces

Au moment de la déconnexion, veillez à ce que l’usager supprime les traces de sa navigation sur son bureau et dans son navigateur. Le raccourci clavier (ctrl+maj+supp) mène à l’effacement des mots de passe, des cookies, de l’historique internet, du dossier de téléchargements, etc. Une fois ces tâches effectuées, assurez-vous que l’usager passe bien par les boutons de déconnexion pour sortir de sa session.

Enfin, un dernier tour sur le poste de travail et près de la photocopieuse vous permettra de vérifier qu’aucun document n’a été oublié par erreur … 

J’évite les fuites 

La confidentialité, c’est important : au moment d’envoyer un message de remerciement aux participants, pensez à bien mettre leur adresse électronique en copie cachée (« Cci »). Cette précaution vous évite de divulguer leurs nom et adresse électronique (adresse e-mail) aux autres participants.  

« Quand je l’accompagne … »

Je reste discret

En tant qu’accompagnateur vous êtes soumis à une obligation de confidentialité, notamment envers les informations fournies par l’usager (vie personnelle, identifiants de connexion, etc.).

Je ne conserve pas ses informations

Je n’ai pas à conserver les informations de l’usager à la fin de la session, et notamment ses identifiants et mots de passe.

J’informe en toute transparence

Aux côtés de l’usager, informez-le de votre rôle et n’hésitez pas à évoquer avec lui quelques bonnes pratiques pour limiter ses traces, exercer ses droits Informatique et Libertés, etc. 

Je reste vigilant sur les traces 

A la fin de la session, veillez à ne rien conserver : ni les identifiants, ni les mots de passe. Appelez l’attention de l’usager lors des moments qui nécessitent une vigilance particulière, par exemple lors de la déconnexion de session ou une fois la démarche en ligne effectuée.

« Quand je fais à sa place … »

Je lui demande son accord écrit

L’accord de l’usager peut être formalisé sous la forme d'un mandat entre vous et la personne concernée. Le mandat, signé par les deux parties, précise votre champ d’action et les tâches que vous allez être amené à effectuer à la place et en l'absence de l'usager. 

Avant la signature de ce mandat et pour garantir la validité du consentement de l'usager, vous devez lui expliquer :

  • l’objet de votre intervention ;
  • la raison pour laquelle ses informations sont collectées et leur utilité ;
  • l’existence de droits sur ses données (accès, rectification, suppression, etc.) ;
  • la possibilité pour l’usager de retirer à tout moment son consentement.

 

mandat

Vous réalisez une démarche à la place d’un bénéficiaire ?

 

Pensez à lui faire signer un mandat !

La CNIL propose un modèle de mandat permettant d’encadrer l’utilisation des données des bénéficiaires par le professionnel. Le texte est adaptable selon le niveau d’accompagnement proposé au bénéficiaire.

Je fais preuve de transparence

Même avec un mandat et un accord, veillez à ne collecter que les informations nécessaires aux tâches prévues.

Les données collectées le sont uniquement pour accomplir une tâche prévue dans le mandat. Impossible d’utiliser les données de l’usager dans d’autres circonstances sans son accord et sans mettre à jour le mandat.

Si vous supprimez ou mettez à jour les données de l’usager à sa demande, n’oubliez pas de l’informer des modifications effectuées.

Pour chacun des usagers que vous accompagnez, utilisez bien un compte de messagerie dédié aux démarches administratives. Si l’usager n’a pas d’adresse électronique, proposez-lui de lui en créer une mais toujours dans le cadre de votre mandat. En fonction des besoins liés à son suivi, il est possible de rediriger tout ou partie des courriers électroniques de l’usager vers votre compte de messagerie professionnelle. Dans ce cas, précisez-le explicitement dans le mandat et n’oubliez pas de supprimer ces courriers électroniques (e-mails) dès la fin de l’accompagnement social.

Je veille à la confidentialité de ses données

L’enregistrement des mots de passe de l’usager dans le navigateur est une pratique à prohiber. Si le mandat le prévoit, seules deux techniques permettent de conserver ses mots de passe : un gestionnaire de mots de passe ou un carnet stocké dans un coffre-fort.

A la fin de chaque session, pensez à bien déconnecter les comptes de l’usager !

Les données de l’usager ne doivent surtout pas être communiquées à des tiers non autorisés.

Un collègue de travail ne peut avoir accès aux données de l’usager qu’en cas de nécessité – par exemple pour assurer la continuité d’un accompagnement en cas de congés – et à la condition d’une part, d’en informer la personne concernée et d’autre part, d’obtenir son accord. 

FOCUS | A quelle condition puis-je demander le mot de passe d’un usager ?

Le professionnel ne peut demander communication des identifiants et mots de passe de l’espace personnel d’un usager que si celui-ci n’est pas en capacité de se connecter seul (situations n° 2 « j’accompagne » et n°3 : « je fais »). Il doit s’agir de situations exceptionnelles. Dans tous les cas, le professionnel devra inciter la personne à se connecter seule. Retrouvez les conseils de la CNIL pour « un mot de passe sécurisé ».

Comment mieux sensibiliser vos publics ?

En parallèle de l’accompagnement oral, n’hésitez pas à vous appuyer sur des supports d’information. 

La CNIL propose une série de conseils à mettre en forme, et à diffuser :

  • par voie d’affichage : créez un poster, imprimez-le et affichez-le près des postes informatiques, à l’entrée d’un espace public numérique (EPN), dans un lieu d’attente, à côté d’un guichet social, etc. ;
  • dans la documentation : livret d’accueil, règlement intérieur etc. ;
  • en ligne : sur le site internet ou bien sur les postes informatiques (fond d’écran, etc.).

Si vous avez des interrogations, n’hésitez pas à solliciter le délégué à la protection des données de votre organisme !

Document reference

A télécharger

Les mots clés associés à cet article