Conformité au RGPD - Après le consentement, vérifiez vos zones de commentaires libres

Votre plan de conformité au RGPD inclut-il des champs de commentaires ouverts ? Ils sont en effet une source de collecte de données non structurées et potentiellement risquées. Pas de panique, grâce à la reconnaissance du langage naturel, vous pouvez automatiser certaines tâches et ainsi mieux maîtriser le risque découlant des champs à entrée libre.

Pourquoi donner la priorité à la conformité au RGPD de vos champs de commentaires de forme libre ?

Vous êtes en charge de la conformité de votre entreprise au RGPD et vous êtes également confronté à la croissance exponentielle des données personnelles traitées en interne. Vous avez peut-être priorisé d'abord les questions de gestion du consentement, puisqu'il s'agit de la base légale du traitement des données des clients. Peut-être avez-vous donné la priorité à la révision des parcours de consentement ? La base légale du traitement est en effet la condition même de l'existence de vos bases de données. Vous pouvez ensuite jeter un coup d'œil aux zones de commentaires libres.

Les données personnelles connaissent une croissance exponentielle

Le volume de données personnelles collectées et stockées par les entreprises augmente considérablement en raison d'un certain nombre de facteurs.

• Les informations collectées par une entreprise sont pour la plupart des données non structurées**, qui ne sont pas directement exploitables dans le cadre d'un traitement informatique classique (contrats, devis, factures, avis, etc.).
• Les informations pertinentes peuvent également être trouvées sur les nouveaux médias en ligne (courriels, réseaux sociaux, messages de forums de discussion, etc.)
• Les outils internes** et les formulaires envoyés aux clients (questionnaires de satisfaction ; formulaires de contact) comportent souvent des zones de commentaires libres (FCZ).
• Les bases de données internes sont enrichies par l'acquisition de sources tierces : courtiers en données, données ouvertes...
• Les nouvelles technologies de collecte massive de données arrivent sur le marché et sont utilisées pour collecter davantage de données sur les utilisateurs (drones, objets connectés, etc.). Ce volume de données rend le contrôle manuel impossible.

Le consentement, le prérequis pour sécuriser vos bases de données

Une base de données personnelles ne peut être utilisée que si elle a une obligation légale, le plus souvent le consentement des personnes concernées. Sans celui-ci, le traitement n'a pas d'existence légale et les données collectées peuvent être supprimées à la demande du régulateur. La révision des processus de recueil du consentement est donc une action prioritaire pour vous, d'autant plus qu'ils sont faciles à auditer par la CNIL (Commission Nationale de l'Informatique et des Libertés). Il s'agit en effet de :

• Sur les formulaires en ligne ou papier, les cases à cocher pour recueillir le consentement permettant d'envoyer des opérations de prospection commerciale. A ce sujet, la CNIL a publié des fiches pratiques.
• Sur les sites internet, une interface de consentement pour l'utilisation de cookies publicitaires, sociaux ou de personnalisation. Ce sujet est désormais tracé par une délibération de la CNIL de 2019 ainsi que par une recommandation sur les modalités de consentement, en cours d'élaboration.

Commentaires libres... quand vos employés en disent trop

Et si les zones de commentaires libres étaient votre prochaine priorité ? Afin de numériser leurs activités, les différents services de votre entreprise s'équipent de nouveaux outils qui comportent fréquemment des champs libres. Ces champs vous permettent de renseigner des informations complémentaires et utiles sur :

• vos clients (CRM)
• les employés de votre entreprise (HIRS, logiciel de paie, ERP)
• les candidats au recrutement (CVthèques).

Mais ils peuvent aussi conduire à des erreurs, notamment à la saisie de données sensibles inutiles, voire à des propos illégaux parce qu'insultants ou diffamatoires. La CNIL est très intéressée par cette question et les plaintes qu'elle génère. Les personnes concernées peuvent en effet accéder à ces commentaires lorsqu'elles exercent leur droit d'accès à leurs données personnelles.

Pour les entreprises contrôlées par la CNIL, les conséquences sont réelles : mises en demeure, sanctions publiques, impact sur l'e-réputation, etc. Pour éviter cela, il faut surveiller ces rubriques. La modération manuelle serait trop exigeante en termes de ressources internes mais l'automatisation est possible.

Comment automatiser la conformité au RGPD de vos zones de commentaires libres ?

Il est possible d'accélérer et de simplifier votre mise en conformité avec le RGPD. Pour ce faire, il faut d'abord déterminer les actions à mener. De nombreux outils facilitent l'automatisation des tâches répétitives. La reconnaissance du langage naturel, notamment, simplifiera la modération des champs de forme libre.

Identifier les actions de conformité à mettre en œuvre

Vous devrez auditer les données déjà collectées et revoir les processus en place pour éviter la collecte future de commentaires problématiques. Votre plan d'action comprendra donc les tâches suivantes :

• Identifier les outils internes qui permettent une saisie libre des données
• Désactiver tous les champs inutilisés pour réduire les risques
• Vérification des commentaires existants et modération des commentaires inappropriés ou illégaux
• Sensibiliser les employés qui utilisent ces outils internes et diffuser les meilleures pratiques sur la façon d'utiliser les champs de saisie.

IA et plug and play : automatisez votre conformité

Le règlement général sur la protection des données (RGPD) est applicable à tous les traitements de données personnelles mis en œuvre par tous les services. Cela inclut les espaces de commentaires libres. Il nécessite donc le respect de nombreuses obligations légales en matière de protection des données par le responsable du traitement.

Heureusement, cela ne nécessite pas d'allouer des quantités massives de ressources humaines, que ce soit dans votre entreprise ou dans vos équipes de conformité.

De nombreuses solutions permettant d'industrialiser les processus et d'automatiser l'exécution de tâches répétitives sont disponibles. Elles se présentent sous la forme d'outils et de plugins clés en main, faciles à mettre en œuvre sur vos sites et outils :

• Outils de classification des données personnelles
• Registres collaboratifs des traitements de données appliqués dans l'entreprise
• Les centres de gestion des préférences qui traitent les demandes de désinscription des listes de diffusion commerciales ou certains droits RGPD (portabilité, accès, rectification des données, etc.
• Modules de gestion des cookies
• Outils d'audit automatique pour la conformité des sites web et des applications mobiles
• Chatbots et outils d'apprentissage en ligne pour la sensibilisation des employés
• Et plus encore

NLP pour analyser automatiquement vos champs libres

Le traitement du langage naturel (NLP) permet l'analyse informatique de champs de commentaires de forme libre et leur compréhension par la machine. Au-delà de la simple détection de mots-clés, NLP permet également de comprendre, par exemple, les tournures de phrases ou les expressions idiomatiques.

La machine est ainsi capable de détecter les textes à risque et de leur attribuer une catégorisation qui correspond à une tâche à accomplir.

• Il analysera les commentaires existants pour détecter les textes problématiques.
• Il simplifiera la sensibilisation des équipes en assurant la modération en direct de tout nouveau commentaire ajouté. Les alertes de non-conformité peuvent ensuite être diffusées aux conseillers clientèle, qu'ils soient internes ou externes, aux personnes chargées de la gestion du personnel ou de la paie.

Un module d'analyse de contenu peut être intégré à votre CRM et à d'autres logiciels SIRH. Des tâches simples sont déléguées à la machine, comme émettre des alertes sur un commentaire, ou éventuellement bloquer l'utilisation de certains types de mots lors de la saisie.

Vos équipes en charge de la modération gagnent du temps. Elles seront sollicitées de manière plus pertinente, uniquement sur les commentaires qui posent problème.