Délibération n° 2014-124 du 3 avril 2014 portant autorisation unique des traitements de données à caractère personnel comportant des appréciations sur des difficultés sociales mis en œuvre par les organismes de droit public ou de droit privé gérant un patrimoine immobilier à caractère social aux fins d'attribution, d'adaptation et de mutation des logements ou de mise en place d'un suivi social personnalisé

Version initiale


La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la construction et de l'habitation ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 25-I-7°et 25-II ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;


  • Après avoir entendu Mme Laurence DUMONT, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
    Formule les observations suivantes :
    Aux termes de l'article L. 411 du code de la construction et de l'habitation (CCH), la construction, l'aménagement, l'attribution et la gestion des logements locatifs sociaux visent à améliorer les conditions d'habitat des personnes de ressources modestes ou défavorisées. Ces opérations participent à la mise en œuvre du droit au logement et contribuent à la nécessaire mixité sociale des villes et des quartiers.
    La commission relève que les organismes de droit public ou de droit privé gérant un patrimoine immobilier à caractère social peuvent être amenés, pour gérer les attributions, les adaptations et les mutations de logements, à apprécier les difficultés sociales rencontrées par les demandeurs de logements et les résidents.
    Conformément à l'article L. 441 du CCH, l'attribution de logements locatifs sociaux doit en effet viser à « satisfaire les besoins des personnes de ressources modestes et des personnes défavorisées ». L'attribution des logements locatifs sociaux doit notamment prendre en compte la diversité de la demande constatée localement, ainsi que favoriser l'égalité des chances des demandeurs et la mixité sociale des villes et des quartiers.
    Pour l'attribution d'un logement, l'article L. 441-1 du CCH précise qu'il est notamment tenu compte « du patrimoine, de la composition, du niveau de ressources et des conditions de logement actuelles du ménage, de l'éloignement des lieux de travail et de la proximité des équipements répondant aux besoins des demandeurs […], de l'activité professionnelle des membres du ménage lorsqu'il s'agit d'assistants maternels ou d'assistants familiaux agréés ».
    L'article L. 441-1 du CCH prévoit, par ailleurs, des critères généraux de priorité pour réserver l'attribution des logements sociaux à certaines catégories de personnes, notamment au profit des personnes mal logées, défavorisées ou rencontrant des difficultés particulières de logement pour des raisons d'ordre financier ou tenant à leurs conditions d'existence.
    Une commission d'attribution des logements peut conditionner l'attribution d'un logement à la mise en œuvre d'un suivi social au profit du candidat, par exemple en cas de difficultés sociales, de surendettement ou de placement sous un régime de tutelle ou de curatelle.
    La commission relève également, dans le cadre du droit au logement opposable (DALO), qu'une commission départementale de médiation, conformément à l'article L. 441-2-3 du CCH, désigne les demandeurs qu'elle reconnaît prioritaires et auxquels un logement doit être attribué en urgence, en déterminant pour chaque demandeur, en tenant compte de ses besoins et de ses capacités, les caractéristiques de ce logement ainsi que, le cas échéant, les mesures de diagnostic ou de suivi social nécessaires.
    Les organismes de droit public ou de droit privé gérant un patrimoine immobilier à caractère social sont également amenés, dans le cadre de la gestion locative, à apprécier des difficultés sociales rencontrées par certains résidents, notamment pour leur offrir la possibilité de bénéficier d'un suivi social personnalisé permettant un maintien dans le logement ou favorisant une meilleure insertion sociale.
    En application des articles L. 421-3, L. 422-2 et L. 422-3 du CCH, ces organismes peuvent également réaliser, pour le compte d'associations ou d'organismes œuvrant dans le domaine du logement, des prestations de services pour des opérations ou des actions de nature à favoriser l'insertion sociale des personnes ou la mixité urbaine et sociale des villes.
    Lorsque des appréciations sur des difficultés sociales font l'objet d'un traitement automatisé, il y a lieu de faire application de l'article 25-I-7° de la loi du 6 janvier 1978 modifiée qui exige que le traitement soit autorisé par la commission.
    En application de l'article 25-II de la loi du 6 janvier 1978 modifiée, la commission peut autoriser par une décision unique une catégorie de traitements qui répondent aux mêmes finalités, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires.
    Les traitement automatisés de données à caractère personnel mis en œuvre par les gestionnaires publics ou privés de patrimoine immobilier à caractère social aux fins d'attribution, d'adaptation et de mutation des logements, d'une part, ou d'élaboration et de suivi d'un suivi social personnalisé permettant un maintien dans le logement ou favorisant une meilleure insertion sociale, d'autre part, sont de ceux qui peuvent sous certaines conditions relever de cette définition.
    Les responsables de traitement qui adressent à la commission une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à les mettre en œuvre.
    Tout traitement de données à caractère personnel qui excède le cadre ou les exigences définis par la présente autorisation unique doit en revanche faire l'objet d'une demande d'autorisation spécifique.


  • Finalités du traitement.
    Seuls peuvent faire l'objet d'un engagement de conformité en référence à la présente autorisation unique les traitements mis en œuvre, par les organismes de droit public ou privé gérant un patrimoine immobilier à caractère social, aux fins :


    - d'instruction des demandes d'attribution, d'adaptabilité ou de mutation des logements et, en particulier, de prise en compte des décisions des commissions d'attribution des logements ou des commissions départementales de médiation ;
    - de mise en œuvre d'un suivi social personnalisé proposé aux personnes et familles en difficultés, lors de l'attribution d'un logement ou en cours de gestion locative, pour permettre une entrée et le maintien dans un logement ou favoriser une meilleure insertion.


  • Informations collectées et traitées.
    A titre liminaire, la commissionrappelle que des données à caractère personnel ne peuvent être collectées que si elles sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie.
    Le responsable de traitement doit ainsi être en mesure de justifier du caractère nécessaire des données à caractère personnel effectivement collectées.
    Sous cette réserve, les organismes de droit public ou privé gérant un patrimoine immobilier à caractère social, pour atteindre les finalités visées à l'article 1er de la présente décision unique, peuvent collecter et traiter :


    - des données d'identification relatives aux demandeurs de logements, résidents et locataires, ou à leurs représentants légaux (nom ; nom d'usage ; prénoms ; sexe ; date et lieu de naissance ; nationalité ; adresse, numéro de téléphone, adresse électronique) ;
    - des données relatives à la vie personnelle (situation familiale ; habitudes de vie ; situation locative ; mesure de faveur demandée ; mesure de faveur accordée) ;
    - des données relatives à la vie professionnelle (scolarité ; formation ; situation professionnelle ; emplois précédemment occupés ; projet professionnel) ;
    - des données relatives à la situation économique et financière (ressources ; dépenses par poste ; montant, durée et échéance des crédits en cours ; existence d'un plan de surendettement et/ou d'une procédure de rétablissement personnel, plan d'apurement) ;
    - des données relatives à la santé, sous réserve d'être directement collectées auprès des personnes concernées, ou de leurs représentants légaux, après le recueil d'un consentement exprès, d'une part, et d'être strictement nécessaires à la mise en œuvre d'un suivi social, d'autre part ;
    - des appréciations sur les difficultés sociales des personnes, sous réserve que les personnes concernées ou leurs représentants légaux y ait consenti, d'une part, et que les données traitées soient strictement nécessaires à la mise en œuvre d'un suivi social, d'autre part (difficultés rencontrées ; appréciation du contexte ; préconisations ; commentaires ; existence d'un autre suivi social).


    Sous les mêmes réserves, les organismes de droit public ou privé gérant un patrimoine immobilier à caractère social peuvent également collecter et traiter des données d'identification relatives aux intervenants sociaux impliqués (nom ; nom d'usage ; prénoms ; sexe ; adresse, numéro de téléphone, adresse électronique).


  • Destinataires des données.
    La commissionrappelle que le responsable d'un traitement de données à caractère personnel est tenu, en application de l'article 34 de la loi du 6 janvier 1978 modifiée, de prendre toutes les garanties utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher que des tiers non autorisés y aient accès.
    A ce titre, le responsable d'un traitement de données à caractère personnel doit, avant de transmettre des données à un organisme, opérer un tri parmi ces dernières pour veiller à ce que le destinataire accède aux seules données adéquates, pertinentes et non excessives au regard de la justification de la communication.
    En particulier, s'il est saisi d'une demande de communication de données à caractère personnel par un organisme se prévalant d'une disposition légale à l'appui de sa demande, le responsable du traitement doit s'assurer du caractère obligatoire de la disposition invoquée et veiller à ne transmettre que les données strictement nécessaires.
    Dans les limites de leurs attributions respectives, et chacun pour ce qui le concerne, peuvent accéder aux données visées à l'article 2 de la présente autorisation unique :


    - les employés du responsable de traitement habilités dans le cadre de leurs fonctions à instruire les demandes d'attribution, d'adaptabilité ou de mutation d'un logement, d'une part, ou à élaborer et gérer un suivi social proposé à un demandeur de logement, à un résident ou à un locataire, d'autre part ;
    - les personnes et organismes externes pouvant concourir à un suivi social ou demander sa mise en œuvre (conseiller social ; travailleur social ; établissement sanitaire, social ou médico-social ; caisse d'allocations familiales ; centre communal d'action sociale ; association participant au suivi social ; commission d'attribution des logements ; commission communale ou intercommunale des attributions ; commission intercommunale du logement ; commissions de coordination des actions de prévention des expulsions locatives ; commission locale d'impayés locatifs ; commission de médiation dite « DALO » ; réservataire de logements, fonds de solidarité pour le logement ou dispositif local équivalent ; organisme versant une garantie ou une avance « Loca-pass » ; ; commission de surendettement ; commission partenariale de prévention des impayés ; commission locale des expulsions) ;
    - les organismes autorisés par une disposition légale à obtenir la communication de données à caractère personnel relatives aux résidents et à leurs parcours résidentiels.


  • Durées de conservation.
    La commission rappelle que, conformément à l'article 6 (5°) de la loi du 6 janvier 1978 modifiée, des données à caractère personnel ne peuvent être conservées que le temps strictement nécessaire à l'accomplissement de la finalité pour laquelle elles ont été collectées.
    Les données à caractère personnel collectées et traitées dans le cadre d'une demande d'attribution, d'adaptabilité ou de mutation d'un logement à une personne rencontrant des difficultés sociales particulières, si un suivi social n'est pas mis en œuvre, doivent être supprimées à compter de l'attribution du logement ou de son adaptation.
    Les données à caractère personnel collectées et traitées dans le cadre de l'élaboration et de la gestion d'un suivi social personnalisé doivent, quant à elles, être supprimées lorsque le responsable de traitement a connaissance de la fin de ce suivi.
    Avec l'accord de la personne concernée, afin de pouvoir s'appuyer sur l'historique des actions précédentes en cas de reprise ultérieure d'un suivi social, les données peuvent être conservées pendant cinq ans.
    Par ailleurs, les données strictement nécessaires à l'accomplissement d'obligations légales peuvent être archivées le temps nécessaire au respect de l'obligation en cause, dans les conditions prévues par la délibération de la commissionprécitée, d'une part, et les dispositions du code du patrimoine prescrivant aux gestionnaires publics de logement sociaux de verser des documents au service d'archivage départemental, d'autre part.


  • Information des personnes, droits d'accès et de rectification.
    Le responsable du traitement procède, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, à l'information des personnes par affichage, envoi ou remise d'un document, ou tout autre moyen équivalent, en indiquant l'identité du responsable de traitement, la finalité poursuivie par le traitement, les destinataires des données et les modalités d'exercice des droits des personnes (droit d'accès, de rectification et d'opposition pour motif légitime).
    Les droits d'accès, de rectification et d'opposition définis au chapitre V de la loi du 6 janvier 1978 modifiée s'exercent directement auprès du ou des services que le responsable de traitement doit impérativement désigner.


  • Politique de confidentialité, de sécurité et de traçabilité.
    Le responsable de traitement doit prendre toutes les précautions utiles au regard des risques présentés par le traitement pour préserver la sécurité des données à caractère personnel. Il doit, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.
    A cet égard, le responsable de traitement doit notamment s'assurer :


    - que toute transmission d'information via un canal de communication non sécurisé, tel qu'internet, s'accompagne de mesures adéquates permettant de garantir la confidentialité des données échangées, telles qu'un chiffrement des données.cas, Les moyens utilisés doivent être conformes à l'état de l'art et, le cas échéant, respecter les recommandations de la commission ;
    - que les personnes habilitées disposant d'un accès aux données doivent s'authentifier avant tout accès à des données à caractère personnel, au moyen d'un identifiant et d'un mot de passe personnels respectant les recommandations de la CNIL ou par tout autre moyen d'authentification apportant au moins le même niveau de sécurité ;
    - qu'un mécanisme de gestion des habilitations est mis en œuvre et régulièrement mis à jour pour garantir que les personnes habilitées n'ont accès qu'aux seules données effectivement nécessaires à la réalisation de leurs missions. Le responsable de traitement doit définir et formaliser une procédure permettant de garantir la bonne mise à jour des habilitations ;
    - que des mécanismes de traitement automatiques garantissent que les données à caractère personnel seront automatiquement supprimées, à l'issue de leur durée de conservation, ou feront l'objet d'une procédure d'anonymisation rendant impossible une réidentification des personnes concernées ;
    - que les accès à l'application font l'objet d'une traçabilité afin de permettre la détection d'éventuelles tentatives d'accès frauduleux ou illégitimes. Les accès aux données considérées comme sensibles, au regard de la loi du 6 janvier 1978 modifiée, doivent quant à eux être spécifiquement tracés en incluant un horodatage, l'identifiant de l'utilisateur ainsi que l'identification des données concernées et ceci pour les accès en consultation, modification ou suppression. Les données de journalisation doivent être conservées pendant une durée de six mois glissants.


    La commission rappelle que l'usage d'outils ou de logiciels développés par des tiers dans le cadre de la mise en œuvre d'un traitement de données à caractère personnel reste sous la responsabilité du responsable de traitement qui doit notamment vérifier que ces outils ou logiciels respectent les obligations que la loi du 6 janvier 1978 modifiée met à sa charge.
    Enfin, le responsable de traitement conserve la responsabilité des données à caractère personnel communiquées ou gérées par ses sous-traitants. Le cas échéant, le contrat établi entre les parties doit mentionner les objectifs de sécurité qu'un sous-traitant doit respecter.


  • Publication.
    La présente délibération sera publiée au Journal officiel de la République française.


La présidente,
I. Falque-Pierrotin

Extrait du Journal officiel électronique authentifié PDF - 246 Ko
Retourner en haut de la page