Actualités sociales hebdomadaires - Qu’est-ce qu’une donnée personnelle lorsqu’on s’inscrit dans un échange entre jeunes et éducateurs?
Eric Delisle : Nous avons tendance à considérer que le nom, le prénom, l’adresse ou le numéro de téléphone sont des données personnelles. Effectivement, ces informations le sont. Mais la définition est en vérité beaucoup plus large. Il s’agit de tout élément permettant de remonter à un individu. Si je rapporte avoir rencontré un jeune le 18 mars à 20 h 30, en expliquant qu’il s’est comporté de telle manière, il est possible de recouper ces informations et d’identifier la personne, même si le professionnel n’a pas connaissance précisément de son identité. Dans le même sens, sur les réseaux sociaux, les images représentent des données à caractère personnel car elles permettent de remonter à un individu. Le règlement opère par ailleurs une différence entre toutes ces données. Certaines méritent une protection accrue, c’est ce que nous appelons les données sensibles. Elles touchent à l’intimité de la personne et concernent les opinions, les orientations, qu’elles soient sexuelles religieuses, syndicales, politiques…
Sur le terrain, quelles questions les professionnels doivent-ils se poser pour accompagner au mieux les publics et protéger leurs données?
La question essentielle, au cœur du règlement européen, est: « Pourquoi je traite les données? » En général, il est répondu: « Pour accompagner le public. » Les professionnels doivent ensuite s’interroger sur les éléments dont ils ont réellement besoin pour effectuer ce travail. Il s’agit du principe de minimisation. Nous constatons fréquemment que des informations sont collectées de manière automatique, par habitude. Mais le texte indique qu’il ne faut recueillir que les éléments strictement nécessaires. Les professionnels n’ont, par exemple, pas forcément besoin de connaître l’identité précise du jeune qu’ils accompagnent. Dans certains cas, recueillir seulement le prénom sans demander le nom de famille peut suffire. Il faut également se questionner sur la transparence. « Les jeunes, les usagers savent-ils que je traite des données sur leur compte? » On peut se dire: « Oui, ils s’en doutent », sauf que le RGPD stipule que les personnes doivent être informées. L’idée n’est pas de leur donner un texte juridique de 52 pages en caractères illisibles, mais de s’adapter au public dans un langage clair. Le garant des données est également responsable de leur sécurité et de leur confidentialité. En tant qu’association, il est possible de traiter ces informations, mais pas quelqu’un d’autre. La structure doit mettre en place des mesures de sécurité adaptées au risque qu’une divulgation pourrait faire peser sur les personnes, a fortiori sur les publics fragiles.
Il y a aussi une question de temporalité…
Tout à fait. Il s’agit d’un autre principe du règlement: la durée de conservation limitée. Nous sommes toujours dans cette logique de procéder avec le moins possible, de laisser le moins de traces. D’accord, vous avez choisi de conserver des données, mais vous les conservez seulement le temps de votre besoin. Même si tout vouloir garder « au cas où » est un réflexe humain, une fois que le jeune n’est plus accompagné, vous n’avez a priori plus à détenir ces informations. C’est un peu cette idée du droit à l’oubli.
Concrètement, lorsqu’un professionnel suit un jeune sur Snapchat ou WhatsApp, que convient-il de mettre en place?
Il est important que les jeunes aient conscience, à un moment donné, que les informations qu’ils publient vont pouvoir être utilisées pour les accompagner. Il faut fixer les règles du jeu avec eux dès le départ. Le professionnel doit également avoir cette discipline de ne pas forcément tout réutiliser, même si nous savons que c’est souvent réalisé dans l’intention d’accompagner au mieux la personne.
Chaque structure doit-elle penser un cadre en fonction de ses actions ou une approche plus globale est-elle nécessaire?
Nous encourageons une réflexion globale avec un cadre commun. Chaque organisme est certes différent, mais en prenant un peu de recul, nous observons que, dans un même secteur d’activité, de nombreuses associations fonctionnent à peu près de la même manière. Elles accompagnent les mêmes types de publics, qui ont les mêmes besoins, les mêmes contraintes. En tant qu’association, il est intéressant de s’inscrire dans un travail de réseau. Cela peut s’opérer au niveau des régions, des collectivités territoriales, des communautés de communes, des regroupements ou des fédérations. Cet échange permet de se sentir moins seul, de partager ses besoins, de confronter ses opinions. Nous encourageons également les professionnels à faire remonter leurs besoins à la Cnil, pour que nous puissions centraliser les questionnements et mieux comprendre le secteur.
Les demandes des financeurs de transmettre les données des bénéficiaires préoccupent Beaucoup d’acteurs. Que leur conseillez-vous?
Il s’agit de la problématique de tiers autorisé. Le principe est assez simple: un organisme demande à un autre une communication de données. Premier cas de figure, l’organisme est fondé à le faire, sur la base d’un texte de loi ou d’un décret. C’est ce qu’on appelle un tiers autorisé. La Cnil est, par exemple, un tiers autorisé lorsqu’elle demande des données dans le cadre de sa mission de contrôle. Là, vous n’avez pas le choix, il faut communiquer ces éléments. Dans d’autres situations, des organisations n’étant pas des tiers autorisés requièrent ces informations, le problème étant qu’il s’agit souvent des financeurs. Ceux-ci ont tendance à réclamer des données très précises pour justifier des fonds qu’ils allouent. Nous invitons les organismes faisant l’objet d’une demande à minimiser les informations remontées. Par exemple, une structure peut communiquer au département certains éléments pour justifier son action; néanmoins, il n’est pas du tout utile de fournir le numéro de téléphone des jeunes accompagnés ainsi que leur nom ou leur adresse physique. Dans un réflexe pavlovien, les financeurs veulent parfois tout connaître, alors qu’ils n’ont en réalité besoin que de données agrégées ou statistiques. Si les éléments fournis ne suffisent pas, il est possible d’organiser une visite sur place pour que le financeur se rende compte de l’activité de la structure. Mais il est important de ne pas remonter les données sans réfléchir. Cette problématique est un sujet de préoccupation majeure. Nous sommes souvent contactés par des associations sur ce point. Nous avons alors aussi le rôle d’intermédiaire, nous pouvons prendre contact avec le département, par exemple, pour leur rappeler la réglementation.