Professionnels du secteur social : comment mieux protéger les données de vos usagers dans le cadre des démarches en ligne ?

05 mai 2021

Les intervenants du secteur social (bénévoles, salariés, etc.) et de la médiation numérique accompagnent quotidiennement les usagers dans leurs démarches en ligne. La CNIL propose à ces professionnels un « kit » d’information pour améliorer la protection des données de leurs publics.

Les professionnels du secteur social et de la médiation numérique accompagnent leurs publics dans le cadre de :

  • formations à la maîtrise des outils numériques (« je forme ») ;
  • l’aide apportée aux personnes dans la réalisation de leurs démarches en ligne, que ce soit en leur présence (« j’accompagne ») ou en leur absence (« je fais »).

Voici les bonnes pratiques à mettre en œuvre selon les différents contextes d’accompagnement. 
 

« Quand je le forme … »

Je l’informe 

Avant de prendre les commandes de son poste, l’usager ne sait peut-être pas que les actions qu’il effectue sur un poste public (logs, heure de connexion, sites consultés etc.) sont enregistrées dans un journal pour des raisons de sécurité. Il est donc essentiel de l’en informer notamment si l’écran de l’utilisateur est déporté sur le poste du formateur pour le suivi pédagogique.

Je sensibilise 

Si vous connaissez des outils plus respectueux des données personnelles et de la vie privée, encouragez vos usagers à les utiliser.

Je lui demande le moins d’informations possible

Ne collectez que les données nécessaires à l’inscription. N’enregistrez pas les informations relatives à la situation personnelle de l’usager (vie familiale, difficultés sociales, etc.). Si l’usager s’entraine à utiliser un service en ligne, n’hésitez pas à lui conseiller de privilégier l’usage de « données fictives ».

Je l’incite à effacer les traces

Au moment de la déconnexion, veillez à ce que l’usager supprime les traces de sa navigation sur son bureau et dans son navigateur. Le raccourci clavier (ctrl+maj+supp) mène à l’effacement des mots de passe, des cookies, de l’historique internet, du dossier de téléchargements, etc. Une fois ces tâches effectuées, assurez-vous que l’usager passe bien par les boutons de déconnexion pour sortir de sa session.

Enfin, un dernier tour sur le poste de travail et près de la photocopieuse vous permettra de vérifier qu’aucun document n’a été oublié par erreur … 

J’évite les fuites 

La confidentialité, c’est important : au moment d’envoyer un message de remerciement aux participants, pensez à bien mettre leur adresse électronique en copie cachée (« Cci »). Cette précaution vous évite de divulguer leurs nom et adresse électronique (adresse e-mail) aux autres participants.  

« Quand je l’accompagne… » (en sa présence)

Je reste discret

En tant qu’accompagnateur vous êtes soumis à une obligation de confidentialité, notamment envers les informations fournies par l’usager (vie personnelle, identifiants de connexion, etc.).

Je ne conserve pas ses informations

Je n’ai pas à conserver les informations de l’usager à la fin de la session, et notamment ses identifiants et mots de passe.

J’informe en toute transparence

Aux côtés de l’usager, informez-le de votre rôle et n’hésitez pas à évoquer avec lui quelques bonnes pratiques pour limiter ses traces, exercer ses droits Informatique et Libertés, etc. 

Je reste vigilant sur les traces 

A la fin de la session, veillez à ne rien conserver : ni les identifiants, ni les mots de passe. Appelez l’attention de l’usager lors des moments qui nécessitent une vigilance particulière, par exemple lors de la déconnexion de session ou une fois la démarche en ligne effectuée.

« Quand je fais à sa place… » (en son absence)

Je lui demande son accord

Dans certaines situations, la personne accompagnée ne peut pas être physiquement présente : pour pouvoir l’accompagner, il faudra alors recourir au mécanisme du mandat (ex. : personnes en situation de handicap et/ou personnes âgées qui ne sont pas en mesure de se déplacer au sein d’un espace public numérique et qui n’ont pas de qualification numérique, etc.).

Le mandat est un contrat par lequel une personne donne à une autre, le pouvoir de faire des actes juridiques en son nom et pour son compte. Ce contrat va ainsi permettre de recueillir l’accord de l’usager pour bénéficier de cet accompagnement.

Le mandat permet à la fois à la personne concernée de contrôler les usages qui sont faits de ses données et à l’organisme de poser clairement le cadre et les règles de l’accompagnement qu’il propose.

Pour garantir la validité du mandat, vous devez expliquer à l’usager :

  • l’objet de votre intervention ;
  • la raison pour laquelle ses informations sont collectées ;
  • la possibilité pour l’usager de révoquer à tout moment le mandat.

La CNIL recommande que le mandat soit effectué par écrit avant le début de la prestation, afin de faciliter la preuve de l’accord.

Elle propose à cet égard un modèle de mandat, adaptable selon le niveau d’accompagnement proposé au bénéficiaire, permettant d’encadrer l’utilisation des données de l’usager par le professionnel.

Le mandat, signé par le bénéficiaire (le mandant) et par vous-même (le mandataire), précise votre champ d’action et les tâches que vous allez être amené à effectuer à la place et en l’absence de l’usager.

Le mandat oral : quelles garanties à apporter ?

 

Lorsqu’il est impossible pour l’organisme de recueillir le consentement écrit de l’usager en raison notamment de l’extrême urgence de la situation (ex. : prise de rendez-vous médical dans le cadre de la vaccination, etc.), le mandat pourra être donné oralement (art. 1984 et suivants du Code civil).

Dans ces cas exceptionnels, la CNIL recommande que les garanties suivantes soient prises :

  • procéder à un « contrôle d’identité » plus ou moins poussé au regard du risque potentiel pour la personne concernée, et des possibilités dont disposent les agents traitant les demandes (ex. : procédure de rappel par l’agent d’accueil pour écarter d’éventuelles « usurpations de numéro », mise en perspective des données déjà fournies par l’usager dans le cadre de son accompagnement social et médico-social avec celles figurant dans la base de données de l’organisme) ;
  • tracer en interne chaque demande de façon nominative et horodatée ;
  • adresser le plus rapidement possible une confirmation écrite de la démarche réalisée à la personne concernée rappelant notamment la date de l’appel téléphonique, les actions réalisées, les nom et prénom de l’agent en charge de la requête (mandataire) et les coordonnées de la structure ;
  • informer la personne concernée de la possibilité de révoquer à tout moment son mandat.

Je fais preuve de transparence

Même avec un mandat et un accord, veillez à ne collecter que les informations nécessaires aux tâches prévues.

Les données collectées le sont uniquement pour accomplir une tâche prévue dans le mandat. Impossible d’utiliser les données de l’usager dans d’autres circonstances sans son accord et sans mettre à jour le mandat.

Si vous supprimez ou mettez à jour les données de l’usager à sa demande, n’oubliez pas de l’informer des modifications effectuées.

Pour chacun des usagers que vous accompagnez, utilisez bien un compte de messagerie dédié aux démarches administratives. Si l’usager n’a pas d’adresse électronique, proposez-lui de lui en créer une mais toujours dans le cadre de votre mandat. En fonction des besoins liés à son suivi, il est possible de rediriger tout ou partie des courriers électroniques de l’usager vers votre compte de messagerie professionnelle. Dans ce cas, précisez-le explicitement dans le mandat et n’oubliez pas de supprimer ces courriers électroniques (e-mails) dès la fin de l’accompagnement social.

Je veille à la confidentialité de ses données

L’enregistrement des mots de passe de l’usager dans le navigateur est une pratique à prohiber. Si le mandat le prévoit, seules deux techniques permettent de conserver ses mots de passe : un gestionnaire de mots de passe ou un carnet stocké dans un coffre-fort.

A la fin de chaque session, pensez à bien déconnecter les comptes de l’usager !

Les données de l’usager ne doivent surtout pas être communiquées à des tiers non autorisés.

Un collègue de travail ne peut avoir accès aux données de l’usager qu’en cas de nécessité – par exemple pour assurer la continuité d’un accompagnement en cas de congés – et à la condition d’une part, d’en informer la personne concernée et d’autre part, d’obtenir son accord. 

FOCUS | A quelle condition puis-je demander le mot de passe d’un usager ?

Le professionnel ne peut demander communication des identifiants et mots de passe de l’espace personnel d’un usager que si celui-ci n’est pas en capacité de se connecter seul (situations n° 2 « j’accompagne » et n°3 : « je fais »). Il doit s’agir de situations exceptionnelles. Dans tous les cas, le professionnel devra inciter la personne à se connecter seule. Retrouvez les conseils de la CNIL pour « un mot de passe sécurisé ».

Comment mieux sensibiliser vos publics ?

En parallèle de l’accompagnement oral, n’hésitez pas à vous appuyer sur des supports d’information. 

La CNIL propose une série de conseils à mettre en forme, et à diffuser :

  • par voie d’affichage : créez un poster, imprimez-le et affichez-le près des postes informatiques, à l’entrée d’un espace public numérique (EPN), dans un lieu d’attente, à côté d’un guichet social, etc. ;
  • dans la documentation : livret d’accueil, règlement intérieur etc. ;
  • en ligne : sur le site internet ou bien sur les postes informatiques (fond d’écran, etc.).

Si vous avez des interrogations, n’hésitez pas à solliciter le délégué à la protection des données de votre organisme !

Document reference

A télécharger