Un an après la parution de la fiche pratique
“Zones bloc note et commentaires : les bons réflexes pour ne pas déraper”, les établissements bancaires et financiers se posent encore des questions sur ce que leurs équipes sont en droit d’écrire dans les “zones bloc-notes” au sujet de leurs clients. Il est vrai que la CNIL avait communiqué cinq règles dans sa fiche technique publiée le 15 octobre 2012 :
– Règle n° 1 : Avoir à l’esprit, quand on renseigne ces zones commentaires, que la personne qui est concernée peut exercer son droit d’accès et lire ces commentaires.
– Règle n° 2 : Rédiger des commentaires purement objectifs et jamais excessifs ou insultants.
– Règle n° 3 : Ne pas inscrire d’informations se rapportant à des données sensibles (santé, vie sexuelle, opinions politiques, etc.), des infractions ou des condamnations.
– Règle n° 4 : Sensibiliser les utilisateurs.
– Règle n° 5 : Utiliser des outils conformes à la loi Informatique et Libertés.
Des règles de bon sens qui ne sont pas toujours évidentes à respecter : précipitation dans la prise de notes, volonté de “coller” à la réalité en fournissant un maximum d’éléments relatifs à la relation d’affaires, excès de stress ou d’empathie… autant de facteurs qui interviennent dans la saisie des zones de commentaires libres mises à disposition par les outils de suivi et de gestion de la relation client. Pourtant, une sensibilisation des équipes favorisant la culture “risque et contrôle” et la diffusion de bonnes pratiques, permettrait d’éviter des dérives souvent sanctionnées par des mises en demeure et avertissements de la CNIL.
A l’heure où les régulateurs s’unissent pour renforcer et faire appliquer les règles de protection de la clientèle, on s’aperçoit que le sujet de la protection des données à caractère personnel est omniprésent : dossiers d’identification, surveillance des opérations clients, devoir de conseil, traitement des réclamations y compris celles causées par des incidents liés à la fraude sur leurs moyens de paiement. Alors on peut se poser la question de savoir où s’arrête le respect de la sphère privée et du secret bancaire, et jusqu’où devons-nous aller en terme d’exigences dans la documentation de la connaissance clients et de la relation d’affaires.