Délibération 2014-122 du 3 avril 2014

Commission Nationale de l'Informatique et des Libertés
Délibération n°2014-122 du 3 avril 2014
Délibération n° 2014-122 du 3 avril 2014 portant adoption d’une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en œuvre par les organismes gestionnaires de patrimoine immobilier à caractère social aux fins de gestion des demandes de logement social, du patrimoine immobilier, du contrôle d’accès nominatif et de la vidéosurveillance des espaces communs non ouverts au public (NS-020)
NOR: CNIX1417213X
Etat: VIGUEUR

La Commission Nationale de l'Informatique et des Libertés,

Vu la convention n°108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code de la construction et de l'habitation ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés modifiée, notamment son article 24-I ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Vu l'arrêté du 24 juillet 2013 du ministre de l'égalité des territoires et du logement relatif au formulaire de demande de logement locatif social et aux pièces justificatives fournies pour l'instruction de la demande de logement locatif social ;

Après avoir entendu Mme Laurence DUMONT, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :

En application de l'article 24-I de la loi du 6 janvier 1978 modifiée, la Commission nationale de l'informatique et des libertés est habilitée à établir des normes destinées à simplifier l'obligation de déclaration des traitements les plus courants dont la mise en œuvre, dans des conditions régulières, n'est pas susceptible de porter atteinte à la vie privée ou aux libertés.

Les traitements automatisés de données à caractère personnel mis en œuvre par les organismes de droit public ou privé gérant un patrimoine immobilier à caractère social à des fins de gestion des demandes de logement social en locatif ou en accession à la propriété, de gestion du patrimoine immobilier à caractère social, de gestion des contrôles d'accès aux locaux soumis à une restriction de circulation sans recours à la biométrie et, enfin, de gestion de la vidéosurveillance des espaces communs non ouverts au public sont de ceux qui peuvent, sous certaines conditions, relever de cette définition. En particulier, s'agissant des traitements de vidéosurveillance, couramment mis en œuvre par les organismes gestionnaires de patrimoine immobilier à caractère social, la Commission estime que seuls les dispositifs respectant l'intégralité des conditions posées dans la présente norme simplifiée peuvent relever des dispositions de l'article 24-I de la loi du 6 janvier 1978 modifiée.

Article 1er - Champ d'application

Seuls peuvent bénéficier de la procédure de déclaration simplifiée en référence à la présente norme simplifiée, les traitements de données à caractère personnel mis en œuvre par les organismes de droit public ou privé gérant un patrimoine immobilier à caractère social entendu au sens large du terme, y compris le parc dit intermédiaire , qui répondent strictement aux conditions définies par les articles 2 à 8 suivants.

Article 2 - Finalités du traitement

La présente norme simplifiée n'est applicable qu'aux seuls traitements de données à caractère personnel ayant pour finalité la gestion :
a) des demandes de logement social en location (enregistrement, priorisation, instruction, attribution, ouverture des droits aux aides au logement mutation, transfert de bail) ;
b) des demandes de logement social en accession à la propriété (vente de logement social, vente d'immeuble à rénover, contrat de construction de maison individuelle, vente en l'état futur d'achèvement, location-accession) :
- prospection des demandeurs ;
- enregistrement et instruction des demandes ;
- sécurisation des opérations d'accession (garantie de rachat et de relogement ; relogement en cas de non-levée d'option pour les opérations de location-accession ; sécurisation des opérations de vente d'habitation à loyer modéré) ;
- réalisation des prêts à l'accession à la propriété et gestion des comptes associés ;
- suivi et réalisation des travaux dans le cadre de la vente d'immeuble à rénover.
c) du patrimoine immobilier à caractère social :
- gestion locative et patrimoniale des logements et de leurs accessoires, y compris la gestion du parc intermédiaire, des logements foyers et des résidences sociales ou étudiantes, le cas échéant en lien avec des tiers intervenants ;
- gestion des relations avec les organismes gestionnaires des aides au logement ;
- gestion des relations avec les réservataires des logements ;
- gestion des locaux d'activité et des locaux commerciaux ou professionnels;
- fonctionnement des syndicats de copropriétaires dans lesquels le bailleur exerce la mission de syndic, de mandataire ad-hoc ou d'administrateur provisoire et actions menées en qualité de membre d'un conseil syndical ;
- fonctionnement des associations foncières urbaines et des associations syndicales libres dans lesquelles le bailleur est membre du syndicat ou exerce la Présidence ;
- organisation de l'élection des représentants des locataires au conseil d'administration ;
- négociation d'accords collectifs avec les résidents ;
- contrôle de la représentativité des associations de locataires ;
- mise en œuvre des politiques publiques concernant l'habitat à caractère social ;
- réalisation d'enquêtes en matière d'accession à la propriété et de location (y compris les enquêtes annuelles dites Supplément de Loyer de Solidarité et Occupation du Parc Social ) et établissement de statistiques relatives à la gestion et à l'occupation du patrimoine immobilier, à la réhabilitation des immeubles et des logements ou à l'appréciation de la qualité du service ;
- fonctionnement des sociétés ayant pour objet la construction de logements en accession ou la vente d'habitations à loyer modéré ;
d) du contrôle d'accès nominatif aux zones soumises à une restriction de circulation, à l'exclusion de tout recours à un dispositif biométrique ;
e) de la vidéosurveillance des espaces communs non ouverts au public à des fins de sécurisation des biens et des personnes, à l'exclusion des dispositifs permettant la transmission des images aux forces de l'ordre, de manière occasionnelle ou en temps réel, telle que prévue par l'article L. 126-1-1 du code de la construction et de l'habitation.

Article 3 - Informations collectées et traitées

À titre liminaire, la Commission rappelle que des données à caractère personnel ne peuvent être collectées que si elles sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie.

Le responsable de traitement doit, dès lors, être en mesure de justifier du caractère nécessaire des données à caractère personnel effectivement collectées.

Sous cette réserve, les gestionnaires de patrimoine immobilier à caractère social peuvent collecter et traiter :

a) Pour la gestion des demandes de logement social en locatif :

- données renseignées dans le formulaire unique de demande de logement locatif et son annexe relative au handicap, telles que prévues par l'arrêté du 24 juillet 2013 du ministre de l'égalité des territoires et du logement ;
- caractéristiques complémentaires du demandeur (taux d'effort, reste à vivre, ménage reconnu DALO , caractère prioritaire de la demande et motif associé, contingent de réservation, demandeur relevant d'un accord collectif d'attribution, périmètre géographique du logement à attribuer) ;
- avis résultant de l'entretien préalable à l'attribution ;
- pièces justificatives listées par l'arrêté du 24 juillet 2013 précité ;
- nature et identité du tiers payeur des loyers, charges, caution ou dépôt de garantie (montant, nature, début et fin de l'engagement) ;
- procès-verbaux des commissions d'attributions de logements sociaux ;
- motifs de non satisfaction de la demande ou d'ajournement du dossier, propositions d'attribution, motifs de refus du demandeur ;
- le cas échéant, identité et coordonnées d'un travailleur social ;
- identification de la compagnie d'assurance du demandeur, type et numéro de police d'assurance, date de début et de fin du contrat.

b) Pour la gestion des demandes de logement social en accession à la propriété :

- données d'identification des personnes destinées à occuper le logement (prénoms, nom, nom d'usage, sexe, date et lieu de naissance, nationalité, adresse, numéro de téléphone et de fax, adresse électronique) ;
- données d'identification des services ou mandataires chargés de la commercialisation des logements, ainsi que des partenaires financiers chargés de la mise en place des plans de financement ;
- données relatives à la vie personnelle (situation familiale et matrimoniale ; régime matrimonial) ;
- données relatives à la vie professionnelle (catégorie socioprofessionnelle, nature de l'activité professionnelle, coordonnées de l'employeur, type de contrat de travail) ;
- données relatives aux logements actuels ou souhaités (taille, type, particularités) ;
- informations d'ordre économique et financier (ressources du demandeur ; montant, durée et échéance des crédits en cours ; avis d'imposition ou autre document prévu par la réglementation attestant des ressources ; assurances) ;
- données relatives à la santé des personnes composant le foyer si, et seulement si, la collecte de cette donnée est justifiée par la recherche d'un logement adapté et réalisée avec le consentement exprès de la personne concernée.

c) Pour la gestion du patrimoine immobilier à caractère social :

- données d'identification des occupants d'un logement, d'un local d'activité, d'un local professionnel ou commercial (prénoms ; nom ; nom d'usage ; n° SIREN, n° SIRET, raison, dénomination et forme sociale pour les locaux d'activités ou commerciaux ; sexe ; date et lieu de naissance ; nationalité ; adresse ; numéro de téléphone et de fax ; adresse électronique ; code interne de traitement permettant l'identification de l'occupant à l'exclusion du numéro de sécurité sociale ; numéro d'allocataire d'une caisse d'allocations familiales ou de mutualité sociale agricole exclusivement pour permettre le versement d'une aide au logement ; numéro d'immatriculation d'un véhicule en cas d'attribution d'un emplacement de stationnement) ;
- données d'identification des représentants légaux et mandataires ;
- données d'identification d'un réservataire de logement ;
- données d'identification et coordonnées des travailleurs sociaux concourant au suivi des occupants d'un logement dans le cadre d'une mesure d'accompagnement social ou d'une mesure de protection de type mesure d'accompagnement social personnalisé (MASP) ;
- données relatives à la vie personnelle (situation familiale et matrimoniale ; régime matrimonial ; placement sous curatelle ou tutelle, sous la forme oui / non ; existence d'un accompagnement social, sous la forme oui / non) ;
- données relatives à la vie professionnelle (catégorie socioprofessionnelle ; nature de l'activité professionnelle ; coordonnées de l'employeur ; situation de demandeur d'emploi ; inscription à Pôle emploi ; date de début et de fin d'une indemnisation liée à la perte d'un emploi) ;
- informations d'ordre économique et financier (ressources ; collecteur ou réservataire financeur ; montant du dépôt de garantie, du loyer, de l'aide au logement, du supplément de loyer de solidarité, des charges, des travaux d'entretien, d'amélioration et d'adaptation ; mode de règlement du loyer ; identité bancaire ou postale ; compagnie d'assurance, type et numéro de police d'assurance, garanties souscrites, date de début et de fin de l'assurance, attestation d'assurance) ;
- données relatives à la santé strictement nécessaires à la gestion du patrimoine immobilier et uniquement collectées directement auprès de la personne concernée, ou de son représentant légal, après le recueil d'un consentement exprès ;
- données relatives aux logements, aux locaux d'activité, aux locaux professionnels et commerciaux (plaintes, réclamations et demandes de réparation ou d'adaptation ; dégâts et sinistres ; constats et rapports d'expertise ; coordonnées des entreprises intervenantes ; travaux réalisés ; anomalies d'occupation ; non respect du bail, à l'exclusion de toute donnée relative à une infraction ; état du logement) ;
- données relatives aux sous-locataires pour l'application des dispositions correspondantes du code de la construction et de l'habitation, notamment ses articles L. 442-8-1 à L. 442-8-3-1 ;
- données nécessaires à la gestion d'un syndicat de copropriétaires dans lequel le bailleur exerce la mission de syndic, de mandataire ad-hoc ou d'administrateur provisoire (identité, état civil et domicile des copropriétaires pour la convocation aux assemblées générales ; droits de vote et pouvoirs de représentation ; procès verbal de réunion ; état des créances et historique des impayés ; liste des débiteurs ; régime matrimonial en cas de cession ; coordonnées des avocats et huissiers ; informations nécessaires à la souscription d'un emprunt au nom du syndicat ; informations nécessaires à la gestion des polices d'assurances et des sinistres affectant les parties privatives ; attestations d'assurance des copropriétaires) ;
- données nécessaires à la gestion des associations foncières urbaines et des associations syndicales libres dans lesquelles le bailleur est membre du syndicat ou exerce la présidence (données d'identification des membres ; mesures de protection ; adaptation des logements).

d) Pour la gestion du contrôle d'accès nominatif aux zones soumises à une restriction de circulation :

- données relatives à l'identification des personnes concernées (nom, nom d'usage, prénoms, code interne d'identification à l'exclusion du numéro de sécurité sociale, numéro de téléphone) ;
- données relatives à la restriction de circulation (zone accessible, date de validité de l'accès ; en cas d'accès à un espace de stationnement pour véhicules : numéro d'immatriculation, numéro d'emplacement de stationnement) ;

Le dispositif ne peut être utilisé que pour filtrer et autoriser l'accès à une zone soumise à une restriction de circulation.

Les données susceptibles de porter atteinte à l'intimité de la vie privée des personnes ne doivent pas être collectées et traitées. En particulier, le dispositif ne doit pas être utilisé pour surveiller ou enregistrer les déplacements des résidents, ce qui implique notamment de ne pas collecter l'historique correspondant (date et heure d'entrée ou de sortie, numéro de la porte utilisée lorsque plusieurs accès sont possibles).

S'agissant des intervenants extérieurs autorisés à accéder temporairement dans des zones soumises à une restriction de circulation, la collecte de l'historique de leurs déplacements est seulement possible pour garantir la sécurité du patrimoine immobilier.

e) Pour la gestion de la vidéosurveillance des espaces communs non ouverts au public :

- données relatives à l'identification des occupants habituels d'un logement (nom, nom d'usage, prénoms, photographie) ;
- images enregistrées.

Les enregistrements d'un dispositif de vidéosurveillance ne peuvent être utilisés qu'à la suite d'un incident ayant trait à la sécurité des personnes ou des biens. Le dispositif ne peut avoir pour finalité de surveiller en temps réel ou a posteriori les allées et venues des résidents et visiteurs, ainsi que les employés dans le cadre de leurs fonctions.

Les images susceptibles de porter atteinte à l'intimité de la vie privée des personnes ne doivent pas être collectées et traitées. En particulier, un dispositif de vidéosurveillance ne doit pas filmer les portes d'entrée et les fenêtres des logements, ou encore les balcons et les terrasses privatifs.

Article 4 - Destinataires des informations

La Commission rappelle que le responsable d'un traitement de données à caractère personnel est tenu, en application de l'article 34 de la loi du 6 janvier 1978 modifiée, de prendre toutes les garanties utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher que des tiers non autorisés y aient accès.

À ce titre, le responsable d'un traitement de données à caractère personnel doit, avant de transmettre des données à un organisme, opérer une sélection parmi ces dernières pour s'assurer que le destinataire accède aux seules données adéquates, pertinentes et non excessives au regard de la justification de la communication.

En particulier, s'il est saisi d'une demande de communication de données à caractère personnel par un organisme se prévalant d'une disposition légale à l'appui de sa demande, le responsable du traitement doit s'assurer du caractère obligatoire de la disposition invoquée et veiller à ne transmettre que les données strictement nécessaires.

Dans les limites de leurs attributions respectives, et chacun pour ce qui le concerne, peuvent accéder :

a) aux données nécessaires à la gestion des demandes de logement social en locatif :

- les employés du responsable de traitement habilités dans le cadre de leurs fonctions à traiter les demandes de logement social en locatif ;
- les travailleurs sociaux habilités à proposer un accompagnement social à l'occasion de l'instruction d'une demande de logement social locative ;
- les organismes autorisés par une disposition légale à obtenir la communication de données à caractère personnel relatives aux demandes locatives de logement sociaux ;

b) aux données nécessaires à la gestion des demandes de logement social en accession à la propriété :

- les employés du responsable de traitement habilités dans le cadre de leurs fonctions à traiter les demandes de logement social en accession à la propriété ;
- les services ou mandataires chargés de la prospection et de la commercialisation des logements en accession à la propriété, y compris les entités du groupe dont dépend le bailleur social et dont l'objet social vise ces activités ;
- les partenaires financiers chargés de l'élaboration des plans de financement ;
- la personne morale avec laquelle le vendeur a signé une convention pour assurer la sécurisation de l'accession à la propriété ;
- les services instructeurs des dossiers d'agrément dans le cadre des procédures d'accession via un Prêt Social Location-Accession (PSLA) ;
- les compagnies d'assurance ;
- les notaires en charge des mutations ;
- les organismes autorisés par une disposition légale à obtenir la communication de données à caractère personnel relatives aux accédants à la propriété ;

c) aux données nécessaires à la gestion du patrimoine immobilier à caractère social :

- les employés du responsable de traitement habilités dans le cadre de leurs fonctions à gérer un patrimoine immobilier à caractère social ;
- les prestataires et sous-traitants intervenant sur le parc immobilier, en particulier les entreprises intervenant sur les réseaux techniques et les services gérant les réseaux de distribution d'énergie, d'eau et de télécommunication ;
- les compagnies d'assurance ;
- les organismes habilités à mettre en œuvre ou suivre un accompagnement social ;
- pour la gestion des syndicats de copropriétaires dans lesquels le bailleur exerce la mission de syndic et des actions menées en qualité de membre d'un conseil syndical : les copropriétaires, les membres du conseil syndical, les services du syndic chargés de la gestion de la copropriété, les administrateurs provisoires, les syndics judiciaires, les mandataires ad hoc, l'Agence nationale de l'habitat lorsqu'elle apporte une aide à la copropriété ;
- pour la gestion des locaux d'activités, des locaux professionnels et commerciaux : les intermédiaires en charge de la commercialisation des locaux, syndics et gestionnaires de centres commerciaux ;
- les organismes autorisés par une disposition légale à obtenir la communication de données à caractère personnel relatives aux résidents et à leurs parcours résidentiels, ou de données relatives aux demandeurs et titulaires d'un local d'activité, professionnel ou commercial ;

d) aux données nécessaires à la gestion des contrôles d'accès aux zones soumises à une restriction de circulation :

- les employés spécialement habilités par le responsable de traitement à gérer le contrôle des accès aux zones à accès restreint ;
- les prestataires et sous-traitants chargés de l'installation, de la maintenance ou de la gestion du dispositif ;

e) aux données nécessaires à la gestion de la vidéosurveillance des espaces communs non ouverts au public :

- dans la limite de leurs attributions, les employés spécialement habilités à visualiser et traiter les enregistrements vidéos dans le cadre de leurs fonctions
- les prestataires et sous-traitants chargés de l'installation, de la maintenance ou de la gestion du dispositif.

La Commission rappelle que les personnes habilités à consulter des enregistrements vidéo doivent être particulièrement formées et sensibilisées aux règles de mise en œuvre d'un système de vidéosurveillance.

Article 5 - Durées de conservation

Les données à caractère personnel ne doivent être conservées que le temps nécessaire à l'accomplissement de la finalité pour laquelle elles sont collectées, dans les conditions ci-après exposées.

Les données strictement nécessaires à l'accomplissement d'obligations légales peuvent être archivées le temps nécessaire au respect de l'obligation en cause, dans les conditions prévues par la délibération de la Commission n° 2005-213 du 11 octobre 2005 relative aux modalités d'archivage électronique dans le secteur privé, d'une part, et les dispositions du code du patrimoine prescrivant aux gestionnaires publics de logement sociaux de verser des documents au service d'archivage départemental, d'autre part.

a) S'agissant des données relatives aux demandes locatives

Les données collectées dans le cadre d'une demande locative de logement social doivent être supprimées à compter de la radiation de la demande du système d'enregistrement ou en cas d'attribution d'un logement.

Les données doivent également être effacées lorsqu'un demandeur en fait la demande avant une radiation ou une attribution.

b) S'agissant des données relatives aux demandes d'accession à la propriété

Les données collectées dans le cadre de l'acquisition d'un logement social doivent être supprimées à compter du classement sans suite de la demande.

Elles doivent également être effacées si, au cours de ce délai, un demandeur en fait la demande.

Lorsqu'une demande d'accession à la propriété est satisfaite, les données à caractère personnel relatives à la demande doivent être supprimées à compter du paiement complet du logement ou, le cas échéant, à l'issue de la période de sécurisation de la transaction lorsqu'une telle période est prévue.

Les données utilisées à des fins de prospection commerciale peuvent être conservées pendant trois ans à compter de la fin de la relation (classement sans suite, dernière proposition, dernier contact, ...). Au terme de ce délai de trois ans, le responsable de traitement doit reprendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des sollicitations. En l'absence de réponse positive et explicite de la personne, les données doivent être supprimées.

c) S'agissant de la gestion du patrimoine immobilier à caractère social

Les données à caractère personnel relatives aux locataires ou résidents doivent être supprimées à compter du départ du résident concerné ou, en cas de sommes restant dues, à compter du paiement complet des sommes dues au bailleur.

d) S'agissant de la gestion du contrôle d'accès nominatif aux zones soumises à une restriction de circulation

Les données à caractère personnel collectées pour assurer un contrôle d'accès aux zones soumises à une restriction de circulation peuvent être conservées tant que la personne concernée bénéficie d'un droit d'accès.

La Commission rappelle que seul l'historique des déplacements des intervenants extérieurs autorisés à accéder temporairement dans des zones soumises à une restriction de circulation peut être collecté. Cet historique ne peut être conservé au-delà de soixante douze heures.

e) S'agissant de la gestion de la vidéosurveillance des espaces communs non ouverts au public

Les images ne doivent pas être conservées plus d'un mois à compter de leur enregistrement.

Si une procédure est engagée et nécessite la production d'un enregistrement issu du dispositif de vidéosurveillance, les images nécessaires à la constatation des faits doivent être extraites de la base de données, après consignation dans un registre, pour être ajoutées au dossier en qualité de pièce de procédure. Dans ce cadre, les images extraites peuvent être conservées le temps nécessaire au règlement du litige.

Article 6 - Information des personnes, droits d'accès et de rectification

Le responsable du traitement procède, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, à l'information des personnes par affichage, envoi ou remise d'un document, ou tout autre moyen équivalent, en indiquant l'identité du responsable de traitement, la finalité poursuivie par le traitement, les destinataires des données et les modalités d'exercice des droits des personnes (droit d'accès, de rectification et d'opposition pour motif légitime).

Les droits d'accès, de rectification et d'opposition définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent directement auprès du ou des services que le responsable de traitement doit impérativement désigner.

Article 7 - Politique de confidentialité, de sécurité et de traçabilité :

Le responsable de traitement doit prendre toutes les précautions utiles au regard des risques présentés par le traitement pour préserver la sécurité des données à caractère personnel. Il doit, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.

A cet égard, le responsable de traitement doit notamment s'assurer :

- que toute transmission d'information via un canal de communication non sécurisé, par exemple Internet, s'accompagne de mesures adéquates permettant de garantir la confidentialité des données échangées, telles qu'un chiffrement des données. Les moyens utilisés doivent être conformes à l'état de l'art et, le cas échéant, respecter les recommandations de la Commission.

- que les personnes habilitées disposant d'un accès aux données doivent s'authentifier avant tout accès à des données à caractère personnel, au moyen d'un identifiant et d'un mot de passe personnels respectant les recommandations de la CNIL, ou par tout autre moyen d'authentification apportant au moins le même niveau de sécurité.

- qu'un mécanisme de gestion des habilitations est mis en œuvre et régulièrement mis à jour pour garantir que les personnes habilitées n'ont accès qu'aux seules données effectivement nécessaires à la réalisation de leurs missions. Le responsable de traitement doit définir et formaliser une procédure permettant de garantir la bonne mise à jour des habilitations.

- que des mécanismes de traitements automatiques garantissent que les données à caractère personnel seront automatiquement supprimées, à l'issue de leur durée de conservation, ou feront l'objet d'une procédure d'anonymisation rendant impossible toute ré-identification des personnes concernées.

- que les accès à l'application font l'objet d'une traçabilité afin de permettre la détection d'éventuelles tentatives d'accès frauduleux ou illégitimes. Les données de journalisation doivent être conservées pendant une durée de six mois glissants.

La Commission rappelle que l'usage d'outils ou de logiciels développés par des tiers dans le cadre de la mise en œuvre d'un traitement de données à caractère personnel reste sous la responsabilité du responsable de traitement, qui doit notamment vérifier que ces outils ou logiciels respectent les obligations que la loi du 6 janvier 1978 modifiée met à sa charge.

Enfin, le responsable de traitement conserve la responsabilité des données à caractère personnel communiquées ou gérées par ses sous-traitants. Le cas échéant, le contrat établi entre les parties doit mentionner les objectifs de sécurité qu'un sous-traitant doit respecter.

Article 8 - Publication

La norme simplifiée instituée par la délibération n° 97- 005 du 21 janvier 1997 et modifiée par la délibération n° 01- 062 du 20 décembre 2001 est abrogée.

La présente délibération sera publiée au Journal officiel de la République française.


La Présidente

Isabelle FALQUE-PIERROTIN




Nature de la délibération: NORME SIMPLIFIÉE
Date de la publication sur legifrance: 22 juillet 2014