La CNIL peut aussi émettre une autorisation unique (AU) portant sur une catégorie de traitements qui répondent aux mêmes finalités, concernent des catégories de données identiques et ont les mêmes catégories de destinataires. Les responsables de traitement qui répondent aux conditions fixées par une autorisation unique, adressent une simple déclaration comportant un engagement de conformité.
A la suite de plusieurs contrôles au cours des années précédentes et auprès d’offices publics d’HLM, la CNIL avait relevé plusieurs irrégularités dans le secteur de l’immobilier et notamment de l’habitat social. Ainsi l’OPH PARIS HABITAT a fait l’objet d’une mise en demeure rendue publique le 07/01/2012, de respecter la vie privée de ses locataires à la suite d’importants manquements, tels que la collecte de données subjectives sur les locataires ou relatives à leur santé susceptibles de remettre en cause le droit au logement qui est un droit fondamental.
Les nouveaux documents édictés par la CNIL le 3 avril 2014 et relatifs à la gestion du patrimoine immobilier à caractère social, listent en détail les informations pouvant être collectées par un bailleur social ainsi que les conditions de leur traitement.
Les deux autorisations uniques et la modification de la norme simplifiée NS 20 concernent des organismes publics ou privés gérant des logements locatifs sociaux.
Les traitements faisant l’objet d’une demande d’autorisation unique sont les suivants :
ceux comportant des appréciations sur les difficultés sociales des locataires,
et ceux relatifs à la gestion du pré-contentieux et du contentieux et de mise en œuvre des décisions de justice.
Outre des données d’identification ou relatives à la situation économique et sociale et à la vie personnelle ou professionnelle des personnes, les opérations concernées impliquent également le traitement de données sensibles relatives à la santé ainsi qu’aux infractions ou condamnations pour ce qui concerne la gestion du contentieux et pré-contentieux.
Dans ses deux délibérations la CNIL rappelle que seules les données adéquates, pertinentes et non excessives au regard de la finalité poursuivie, peuvent être collectées ou transmises aux éventuels destinataires. En outre l’organisme doit recueillir le consentement exprès des personnes pour la collecte de leurs données de santé.
Les durées de conservation sont quant à elles spécifiées pour chaque finalité, les informations collectées à l’occasion d’une demande d’attribution doivent par exemple être supprimées à compter de l’affectation d’un logement.
La norme simplifiée concerne les traitements relatifs à la gestion des demandes de logement social en locatif ou en succession à la propriété, la gestion du patrimoine immobilier à caractère social, la gestion du contrôle d’accès nominatif aux zones soumises à une restriction de circulation et la gestion de la vidéosurveillance des espaces communs non ouverts au public.
Rappelons que le programme des contrôles de la CNIL pour 2014 prévoyait qu’un quart des contrôles porterait sur les dispositifs de vidéoprotection/ vidéosurveillance.
Dans les trois délibérations du 3 avril 2014, outre les obligations d’information et de respect des droits des personnes, la CNIL met l’accent sur la durée limitée de conservation des données et sur les mesures de sécurité qui doivent être prises, en exigeant notamment :
La prise de mesures adéquates pour les transmissions via un canal de communication non sécurisé, tel qu’internet (ex. chiffrement),
L’authentification des personnes habilitées avant tout accès aux données à l’aide d’un identifiant et d’un mot de passe conformes aux recommandations de la CNIL, ou par tout autre moyen équivalent,
Des procédures de gestion des habilitations,
Et des mécanismes de suppression automatique ou d’anonymisation des données à l’expiration de la durée de conservation prévue ainsi que la traçabilité des accès.
Il est donc fort à parier que la CNIL sera d’autant plus vigilante sur ces points lors des prochains contrôles.
