La Cnil publie un kit pour aider le secteur social à protéger les données des usagers

Les professionnels du secteur médico-social sont de plus en plus souvent amenés à accompagner les usagers dans la navigation sur la toile, voire à réaliser des démarches en ligne avec ou pour ces derniers. Médiateurs informatiques de fait, ils ne sont pas forcément aguerris aux bonnes pratiques en matière de protection des données personnelles. Cette situation a d’ailleurs été dénoncée récemment par le défenseur des droits (lire notre article). Pour les aider, ils pourront désormais s’appuyer sur un kit d’information que la Commission nationale de l’informatique et des libertés (Cnil) vient de mettre en ligne. À destination des professionnels du secteur social, il donne des clés afin d’améliorer la protection des données de leurs publics.

Quand le professionnel accompagne l’usager dans ses démarches, il doit le sensibiliser au fonctionnement informatique et aux systèmes d’enregistrement automatique, l’inciter à ne jamais demander l’enregistrement automatique des données sur un poste public ou partagé, à toujours se déconnecter à la fin de la session. La Cnil précise que le professionnel n’a pas à conserver les informations de l’usager et notamment ses identifiants et mots de passe. Pour former l’usager, le professionnel pourra s’inspirer des 12 conseils pour utiliser un ordinateur public en toute sécurité, qui n’a malheureusement pas été rédigé en facile à lire et à comprendre.

Un mandat pour faire « à la place »

S’il est amené à faire « à la place de », la Cnil suggère d’utiliser un mandat dont elle propose un modèle permettant d’encadrer l’utilisation des données des bénéficiaires par le professionnel. Même avec un mandat et un accord, le professionnel doit veiller à ne collecter que les informations nécessaires aux tâches prévues. Il n’a pas le droit d’utiliser les données de l’usager dans d’autres circonstances sans son accord et sans mettre à jour le mandat.

« Pour chacun des usagers que vous accompagnez, utilisez bien un compte de messagerie dédié aux démarches administratives. Si l’usager n’a pas d’adresse électronique, proposez-lui de lui en créer une mais toujours dans le cadre de votre mandat« , explique la Cnil qui précise toutefois qu’en fonction des besoins liés à son suivi, il est possible de rediriger tout ou partie des courriers électroniques de l’usager vers un compte de messagerie professionnelle. Mais, là encore, cette disposition doit être prévue dans le mandat.

Pas d’enregistrement automatique des mots de passe

L’enregistrement des mots de passe de l’usager dans le navigateur est une pratique à prohiber, rappelle la Cnil. Si le mandat le prévoit, seules deux techniques permettent de conserver ses mots de passe : un gestionnaire de mots de passe ou un carnet stocké dans un coffre-fort. Un collègue de travail ne peut avoir accès aux données de l’usager qu’en cas de nécessité — par exemple pour assurer la continuité d’un accompagnement en cas de congés — et à la condition d’une part, d’en informer la personne concernée et d’autre part, d’obtenir son accord.