Délibération n° 2014-123 du 3 avril 2014 portant autorisation unique des traitements de données à caractère personnel mis en œuvre par les organismes de droit public ou de droit privé gérant un patrimoine immobilier à caractère social aux fins de gestion du précontentieux et du contentieux, d'une part, et de mise en œuvre des décisions de justice ayant une incidence sur un lieu de résidence, d'autre part

JORF n°0166 du 20 juillet 2014
texte n° 42



Délibération n° 2014-123 du 3 avril 2014 portant autorisation unique des traitements de données à caractère personnel mis en œuvre par les organismes de droit public ou de droit privé gérant un patrimoine immobilier à caractère social aux fins de gestion du précontentieux et du contentieux, d'une part, et de mise en œuvre des décisions de justice ayant une incidence sur un lieu de résidence, d'autre part

NOR: CNIX1417233X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la construction et de l'habitation ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 25-I (3°), 25-I (7°) et 25-II ;
Vu la loi n° 89-462 du 6 juillet 1989 tendant à améliorer les rapports locatifs ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la décision n° 2004-499 DC du 29 juillet 2004 du Conseil constitutionnel ;


Après avoir entendu Mme Laurence DUMONT, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Les propriétaires des locaux à usage d'habitation doivent faire cesser, dans les conditions prévues par l'article 6 (1°) de la loi n° 89-462 du 6 juillet 1989 tendant à améliorer les rapports locatifs, les troubles de voisinage causés par les personnes qui occupent ces locaux.
L'article 4 g de cette loi permet d'insérer dans un bail d'habitation une clause de résiliation de plein droit en cas de non-paiement du loyer, des charges ou du dépôt de garantie, en cas de non-souscription d'une assurance garantissant les risques locatifs ou, enfin, en cas de non-respect, résultant de troubles de voisinage constatés par une décision de justice passée en force de chose jugée, de l'obligation d'user paisiblement des locaux loués.
Les organismes de droit public ou privé gérant un patrimoine immobilier à caractère social peuvent ainsi être amenés à mettre en œuvre des traitements de données à caractère personnel pour gérer des précontentieux et contentieux. Les traitements mis en œuvre dans ce cadre sont, par nature, susceptibles de porter sur des données relatives aux infractions, condamnations ou mesures de sûreté.
Par ailleurs, lors de l'attribution initiale d'un logement ou à l'occasion d'une demande de mutation, ces organismes peuvent être amenés à prendre en compte des décisions de justice lorsqu'elles ont une incidence sur un lieu de résidence. Les traitements mis en œuvre dans ce cadre, qu'ils soient automatisés ou non, peuvent porter sur des condamnations.
Dès lors, il y a lieu de faire application de l'article 25-I (3°) de la loi du 6 janvier 1978 modifiée, qui prévoit que les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté ne peuvent être mis en œuvre qu'après une autorisation de la commission.
Les organismes de droit public ou privé gérant un patrimoine immobilier à caractère social sont fondés, en application de l'article 9 de la loi du 6 janvier 1978 modifiée et de la décision n° 2004-499 DC du 29 juillet 2004 du Conseil constitutionnel, à traiter de telles données en qualité de victime ou d'organisme gérant un service public au sens de la jurisprudence du Conseil d'Etat.
En application de l'article 25-II de la loi du 6 janvier 1978 modifiée, la commission peut autoriser par une décision unique une catégorie de traitements qui répondent aux mêmes finalités, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires.
Les traitement automatisés de données à caractère personnel utilisés par les gestionnaires publics ou privés de patrimoine immobilier à caractère social à des fins de gestion du précontentieux et du contentieux, d'une part, et de mise en œuvre des décisions de justice ayant une incidence sur un lieu de résidence, d'autre part, sont de ceux qui peuvent, sous certaines conditions, relever de cette définition.
Les responsables de traitement qui adressent à la commission une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à les mettre en œuvre.
Tout traitement de données à caractère personnel qui excède le cadre ou les exigences définis par la présente autorisation unique doit en revanche faire l'objet d'une demande d'autorisation spécifique.

Article 1


Finalités du traitement.
Seuls peuvent faire l'objet d'un engagement de conformité en référence à la présente autorisation unique les traitements mis en œuvre, par les organismes de droit public ou privé gérant un patrimoine immobilier à caractère social, aux fins :


- de gestion de leurs précontentieux et contentieux avec leurs cocontractants, les demandeurs de logement, les occupants des logements et les tiers responsables d'atteintes à leur personnel ou à leur patrimoine ;
- d'exécution des décisions de justice ayant une incidence sur un lieu de résidence, telles que les décisions ordonnant l'éloignement d'un résident ou un relogement en urgence.

Article 2


Informations collectées et traitées.
A titre liminaire, la commission rappelle que des données à caractère personnel ne peuvent être collectées que si elles sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie.
Le responsable de traitement doit être en mesure de justifier du caractère nécessaire des données à caractère personnel effectivement collectées.
Sous cette réserve, pour gérer des contentieux et précontentieux ou mettre en œuvre des décisions de justice ayant une incidence sur un lieu de résidence, les gestionnaires publics ou privés de patrimoine immobilier à caractère social peuvent collecter et traiter :


- des données d'identification relatives aux victimes, aux témoins et aux parties à la procédure (nom ; nom d'usage ; prénoms ; sexe ; date et lieu de naissance ; nationalité ; adresse, numéros de téléphone et de fax, adresse électronique) ;
- des données relatives à la vie personnelle (situation familiale ; difficultés rencontrées) ;
- des données relatives à la vie professionnelle (situation professionnelle) ;
- des données relatives à la situation économique et financière (ressources ; montant, durée et échéance des crédits en cours ; dettes ; impayés) ;
- des données relatives à la santé, sous réserve d'être directement collectées auprès des personnes concernées, ou de leurs représentants légaux, après le recueil d'un consentement exprès, d'une part, et d'être strictement nécessaires au regard de la finalité poursuivie, d'autre part ;
- des appréciations sur des difficultés sociales, sous réserve du consentement des personnes concernées ou de leurs représentants légaux, d'une part, et d'être strictement nécessaires au regard de la finalité poursuivie, d'autre part (difficultés rencontrées, appréciation du contexte, préconisations, commentaires, existence d'un suivi social) ;
- des données relatives aux infractions, condamnations ou mesures de sûreté nécessaires à la sauvegarde d'un droit en justice :
- faits présumés constitutifs d'une infraction, d'un trouble de jouissance ou d'une inexécution contractuelle (trouble de voisinage ; impayé locatif ; impayé en matière d'accession à la propriété ou relatif aux charges ; non-respect du bail ou du règlement intérieur ; atteinte aux personnes ; atteinte aux biens ; manquement contractuel) ;
- documents recueillis et pièces de procédure tendant à caractériser ou à démontrer le caractère litigieux d'un comportement (constat ; témoignage ; attestation ; mise en demeure ; images extraites d'un dispositif de vidéoprotection ; fiche de constat des faits ; dépôt de plainte ; certificat médical en lien avec une expertise médico-légale) ;
- caractéristiques du contentieux (date de début et de clôture du litige, juridiction saisie, date de l'assignation, date d'audience, état de la procédure, nature et objet des demandes, griefs, argumentations, observations et avis des représentants légaux, date du jugement) ;
- date, nature, motifs et montants des condamnations ;
- commentaires relatifs à la description et au suivi de la procédure.


- des décisions de justice ayant une incidence sur un lieu de résidence, telles que les décisions ordonnant l'éloignement d'un résident ou un relogement en urgence, sous réserve d'être collectées directement auprès des personnes en bénéficiant.


Sous les mêmes réserves, les gestionnaires publics ou privés de patrimoine immobilier à caractère social peuvent également collecter et traiter des données d'identification relatives aux auxiliaires de justice participant à la gestion des contentieux et précontentieux (nom ; nom d'usage ; prénoms ; sexe ; adresse, numéro de téléphone, adresse électronique).

Article 3


Destinataires des données.
La commission rappelle, à toutes fins utiles, que le responsable d'un traitement de données à caractère personnel est tenu, en application de l'article 34 de la loi du 6 janvier 1978 modifiée, de prendre toutes les garanties utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher que des tiers non autorisés y aient accès.
A ce titre, le responsable d'un traitement de données à caractère personnel doit, avant de transmettre des données à un organisme, opérer un tri parmi ces dernières pour s'assurer que le destinataire accède aux seules données adéquates, pertinentes et non excessives au regard de la justification de la communication.
En particulier, s'il est saisi d'une demande de communication de données à caractère personnel par un organisme se prévalant d'une disposition légale à l'appui de sa demande, le responsable du traitement doit s'assurer du caractère obligatoire de la disposition invoquée et veiller à ne transmettre que les données strictement nécessaires.
Dans les limites de leurs attributions respectives, et chacun pour ce qui le concerne, peuvent accéder aux données visées à l'article 2 de la présente décision unique :


- les employés du responsable de traitement habilités à gérer et suivre les litiges amiables et les procédures contentieuses dans le cadre de leurs fonctions, d'une part, ainsi que ceux habilités à mettre en application les décisions de justice ayant un incidence sur le lieu de résidence, d'autre part ;
- les auxiliaires de justice et officiers ministériels ;
- l'autorité judiciaire saisie d'un litige ;
- les organismes tiers autorisés par une disposition légale à obtenir la communication de données à caractère personnel relatives à des précontentieux, contentieux ou condamnations.


Durées de conservation.
La commission rappelle que des données à caractère personnel ne peuvent être conservées, conformément à l'article 6 (5°) de la loi du 6 janvier 1978 modifiée, que le temps strictement nécessaire à l'accomplissement de la finalité pour laquelle elles ont été collectées.
Les données collectées et traitées dans le cadre de la gestion du précontentieux doivent être supprimées à compter du règlement du litige amiable ou, à défaut, de la prescription de l'action en justice correspondante.
Les données collectées et traitées dans le cadre de la gestion d'un contentieux doivent être supprimées lorsqu'est prescrite l'action en exécution d'une décision de justice passée en force de chose jugée.
Les condamnations définitivement prononcées dans le cadre des contentieux visés à l'article 1er peuvent être conservées par le responsable de traitement jusqu'au départ du résident concerné, aux fins de traitement différencié en cas de faits répétés, ou de l'employé victime d'une agression, pour éviter tout contact entre ce dernier et la personne condamnée.
Les décisions de justice ayant une incidence sur le lieu de résidence peuvent être conservées jusqu'au départ du résident ou du locataire concerné.
Les données strictement nécessaires à l'accomplissement d'obligations légales peuvent être archivées le temps nécessaire au respect de l'obligation en cause, dans les conditions prévues par la délibération de la commission n° 2005-213 du 11 octobre 2005 relative aux modalités d'archivage électronique dans le secteur privé, d'une part, et les dispositions du code du patrimoine prescrivant aux gestionnaires publics de logement sociaux de verser des documents au service d'archivage départemental, d'autre part.

Article 5


Information des personnes, droits d'accès et de rectification.
Le responsable du traitement procède, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, à l'information des personnes par affichage, envoi ou remise d'un document, ou tout autre moyen équivalent, en indiquant l'identité du responsable de traitement, la finalité poursuivie par le traitement, les destinataires des données et les modalités d'exercice des droits des personnes (droit d'accès, de rectification et d'opposition pour motif légitime).
Les droits d'accès, de rectification et d'opposition définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent directement auprès du ou des services que le responsable de traitement doit impérativement désigner.

Article 6


Politique de confidentialité, de sécurité et de traçabilité.
Le responsable de traitement doit prendre toutes les précautions utiles au regard des risques présentés par le traitement pour préserver la sécurité des données à caractère personnel. Il doit, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.
A cet égard, le responsable de traitement doit notamment s'assurer :


- que toute transmission d'information via un canal de communication non sécurisé, par exemple internet, s'accompagne de mesures adéquates permettant de garantir la confidentialité des données échangées, telles qu'un chiffrement des données. Les moyens utilisés doivent être conformes à l'état de l'art et, le cas échéant, respecter les recommandations de la commission.
- que les personnes habilitées disposant d'un accès aux données doivent s'authentifier avant tout accès à des données à caractère personnel, au moyen d'un identifiant et d'un mot de passe personnels respectant les recommandations de la CNIL, ou par tout autre moyen d'authentification apportant au moins le même niveau de sécurité.
- qu'un mécanisme de gestion des habilitations est mis en œuvre et régulièrement mis à jour pour garantir que les personnes habilitées n'ont accès qu'aux seules données effectivement nécessaires à la réalisation de leurs missions. Le responsable de traitement doit définir et formaliser une procédure permettant de garantir la bonne mise à jour des habilitations.
- que des mécanismes de traitement automatiques garantissent que les données à caractère personnel seront automatiquement supprimées, à l'issue de leur durée de conservation, ou feront l'objet d'une procédure d'anonymisation rendant impossible une ré-identification des personnes concernées.
- que les accès à l'application font l'objet d'une traçabilité afin de permettre la détection d'éventuelles tentatives d'accès frauduleux ou illégitimes. Les accès aux données considérées comme sensibles, au regard de la loi du 6 janvier 1978 modifiée, doivent quant à eux être spécifiquement tracés en incluant un horodatage, l'identifiant de l'utilisateur, ainsi que l'identification des données concernées, et ceci pour les accès en consultation, modification ou suppression. Les données de journalisation doivent être conservées pendant une durée de six mois glissants.


La commission rappelle que l'usage d'outils ou de logiciels développés par des tiers dans le cadre de la mise en œuvre d'un traitement de données à caractère personnel reste sous la responsabilité du responsable de traitement qui doit notamment vérifier que ces outils ou logiciels respectent l'ensemble des obligations que la loi du 6 janvier 1978 modifiée met à sa charge.
Enfin, le responsable de traitement conserve la responsabilité des données à caractère personnel communiquées ou gérées par ses sous-traitants. Le cas échéant, le contrat établi entre les parties doit mentionner les objectifs de sécurité qu'un sous-traitant doit respecter.

Article 7


Publication.
La présente délibération sera publiée au Journal officiel de la République française.


La présidente,

I. Falque-Pierrotin