Délibération n° 2021-057 du 6 mai 2021 portant adoption d'un référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de la gestion locative
Par une délibération du Mai 2021, la Commission nationale informatique et libertés a précisé les modalités de traitements des données à caractère personnels que peuvent mettre en oeuvre les professionnels de l'immobilier qui mettent en location un local à usage d'habitation ou à usage mixte professionnel et d'habitation, et qui constitue la résidence principale du preneur.
A cette fin, la Commission nationale informatique et libertés a, par sa délibération du 6 Mai 2021, établi un référentiel de traitement des données qui doit permettre aux professionnels de traiter les données personnelles de leurs clients et des locataires conformément à la létgislation en vigueur.
Les personnes concernées par le nouveau référentiel de la Commission nationale informatique et liberté:
⇒ Ce référentiel s'adresse aux personnes physiques ou morales qui, à titre professionnel, mettent en location un local à usage d'habitation ou à usage mixte professionnel et d'habitation, et qui constitue la résidence principale du preneur.
⇒ Il s'adresse notamment aux organismes louant pour leur compte des locaux d'habitation ainsi qu'aux professionnels de l'immobilier en tant que représentants du bailleur ou lorsqu'ils se livrent, ou prêtent leur concours, aux opérations portant sur les biens d'autrui.
⇒ Il s'adresse également aux plateformes en ligne proposant des services relatifs à la gestion locative.
⇒ Les bailleurs personnes physiques et personnes morales qui sont amenés à mettre en œuvre des traitements automatisés en tout ou en partie ainsi que des traitements non automatisés de données à caractère personnel.
⇒ Les organismes mettant en œuvre des traitements dans le cadre de la gestion locative.
Objectif du référentiel :
⇒ Le référentiel a pour objectif de fournir aux personnes mettant en œuvre des traitements relatifs à la gestion locative, un outil d'aide à la mise en conformité à la réglementation relative à la protection des données à caractère personnel.
Le référentiel n'a pas de valeur contraignante. Il permet en principe d'assurer la conformité des traitements de données mis en œuvre par les organismes aux principes relatifs à la protection des données, dans un contexte d'évolution des pratiques à l'ère numérique.
Obligation de l'agent immobilier de déterminer les bases légales du traitement de données à caractère personnelle:
L'agent immobilier ou le responsable de traitement doit déterminer les bases légales du traitement de données à caractère personnels avant toute opération de traitement, après avoir mené une réflexion, qu'il pourra documenter, au regard de sa situation spécifique et du contexte. Ayant un impact sur l'exercice de certains droits, ces bases légales font partie des informations devant être portées à la connaissance des personnes concernées.
Base légale quand le traitement de données personnelles porte sur une proposition de biens à louer:
Base légale lorsque le traitement de données personnelles porte sur la gestion de la pré-contractualisation et de la conclusion du contrat de bail:
Base légale lorsque le traitement de données personnelles a pour objet la gestion du déroulement du contrat:
Base légale du traitement des données à caractère personnel a pour objet la gestion de la fin du contrat:
Les données personnelles qui peuvent être collectées au cours de la recherche d'un logement:
le responsable de traitement doit veiller à ce que seules les données nécessaires à la poursuite des finalités du traitement soient effectivement collectées et traitées.
Les données poouvant être communiquées à un organisme au cours de la recherche d'un logement par un candidat à la location sont les suivantes :
⇒ identification (nom, prénom)
⇒ coordonnées de contact (selon la préférence des personnes concernées : adresse électronique et/ou numéro de téléphone) ;
⇒ critères de recherche (localisation, loyer, surface, etc.).
L'agent immobilier ou le responsable de traitement des données ne peut pas, au stade la simple recherche d'un logement par un candidat à la location se voir communiquer des données relatives à la situation personnelle des personnes concernées (situation professionnelle ou financière de la personne concernée, par exemple).
Données personnelles pouvant être collectées au stade de l'appréciation de la solvabilité des candidats à la location:
Ici aussi le responsable de traitement doit veiller à ce que seules les données nécessaires à la poursuite des finalités du traitement soient effectivement collectées et traitées.
En matière d'appréciation de la solvabilité des candidats à la location, les données pouvant être collectées sont précisées dans le décret n° 2015-1437 du 5 novembre 2015 fixant la liste des pièces justificatives pouvant être demandées au candidat à la location et à sa caution. Il s'agit des données des candidats à la location et de leurs éventuels garants, relatives à :
⇒ leur identification ;
⇒ leurs coordonnées postales ;
⇒ leur situation professionnelle et leurs ressources.
Liste des pièces pouvant être demandées au candidat à la location:
Dans le cas où les candidats à la location transmettraient des pièces justificatives allant au-delà de ce que prévoit la réglementation, l'organisme devrait procéder à la suppression ou au renvoi des pièces superflues au candidat, afin d'être en conformité avec la réglementation.
Les exceptions:
⇒ Des documents supplémentaires peuvent cependant être demandés, notamment lorsque la location s'inscrit dans un dispositif visant à réserver des logements aux ménages modestes (par exemple : l'avis d'imposition ou de non-imposition établi au titre de l'avant-dernière année précédant celle de la signature du contrat de location dans le cadre du dispositif Pinel) sous réserve que les données permettent au bailleur de s'assurer que le locataire remplit les conditions du dispositif et que ces conditions soient précisées dans un texte législatif ou réglementaire d'un niveau au moins égal à un décret (par exemple, pour les dispositifs Pinel et Duflot, l'article 199 novovicies du code général des impôts prévoit que les plafonds annuels de ressources du locataire fixés par décret doivent être « appréciées à la date de conclusion du bail »).
Données personnelles pouvant être collectées pendant la durée de la location:
Une fois le locataire choisi, des données complémentaires sont en principe considérées comme pertinentes :
⇒ ses coordonnées bancaires ;
⇒ son adresse électronique sous réserve d'avoir obtenu son consentement ;
⇒ son numéro d'allocataire à la Caisse d'allocations familiales (CAF) ou à la Mutualité sociale agricole (MSA) en cas de perception de l'allocation logement en tiers payant ;
⇒ l'attestation d'assurance ;
⇒ l'identité de l'époux, de l'épouse ou de la personne pacsée avec le locataire en titre en cas de demande la cotitularité.
Données personnelles pouvant être collectées à la demande d'une fin de solidarité:
Lorsque le conjoint du locataire, son partenaire lié par un pacte civil de solidarité ou son concubin notoire quitte le logement en raison de violences exercées au sein du couple ou sur un enfant qui réside habituellement avec lui, la victime des violences peut demander la fin de solidarité, conformément à l'article 8-2 de la loi n° 89-462 du 6 juillet 1989. Les données suivantes sont dès lors considérées comment pertinentes :
⇒ la copie de l'ordonnance de protection délivrée par le juge aux affaires familiales dont il bénéficie et préalablement notifiée à l'autre membre du couple ;
⇒ la copie d'une décision de condamnation pénale pour des faits de violences commis à son encontre ou sur un enfant qui réside habituellement avec lui et rendue depuis moins de six mois.
⇒ Données relatives à des infractions pénales, condamnations et mesures de sûretés concernant des personne physiques auteur de violences exercées au sein du couple ou sur un enfant : copie de l'ordonnance de protection délivrée par le juge aux afaires familiales ou copie de la condamnation pénale pour des faits de violance rendue depuis moins de six mois.
Données personnelles pouvant être collectées à la résiliation et à l'expiration du bail:
Lorsque le locataire résilie le contrat, l'organisme traite les informations relatives au préavis et à l'état des lieux de sortie du logement.
Si le locataire souhaite bénéficier d'un délai réduit de préavis, l'organisme peut consulter des données justifiant :
⇒ d'un éventuel changement professionnel ;
⇒ de l'attribution d'un logement social;
⇒ de l'état de santé nécessitant un changement de domicile ;
⇒ de la perception du revenu de solidarité active ou de l'allocation adulte handicapé.
Cas dans lesquels des données personnelles relatives à des infractions pénales et l'état de santé du locataire peuvent être traitées:
Les données suivantes ne peuvent être collectées et traitées:
⇒ données sensibles, c'est-à-dire celles qui révèlent l'origine ethnique ou prétendument raciale, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne, les données génétiques, les données biométriques, les données concernant la santé ou celles concernant la vie sexuelle ou l'orientation sexuelle d'une personne. Ces données ne peuvent être collectées, sauf exceptions prévues par les textes.
⇒ données relatives aux infractions, condamnations pénales et mesures de sûreté connexes qui ne peuvent être traitées que dans certains cas, dans le respect des dispositions légales relatives aux données d'infraction.
Les exceptions:
Dans le cadre du traitement relatif à la réduction du préavis, des données relatives à la santé (certificats médicaux) peuvent être traitées:
⇒ lorsque le locataire demande une réduction du préavis au titre de la perception de l'allocation aux adultes handicapés (AAH).
⇒ lorsque l'état de santé du locataire nécessite un changement de domicile.
⇒ les données traitées dans le cadre de la fin de solidarité en raison de violence peuvent également comprendre des données relatives aux infractions, condamnations et mesures de sûreté concernant des personnes physiques (copie de l'ordonnance de protection délivrée par le juge aux affaires familiales ou copie d'une condamnation pénale pour des faits de violences rendue depuis moins de six mois)
Règles de sécurisation des données personelles collectées:
⇒ Les données à caractère personnel doivent uniquement être rendues accessibles aux personnes habilitées à en connaitre au regard de leurs attributions.
⇒ Les habilitations d'accès doivent être documentées par les organismes, et les accès aux différents traitements doivent faire l'objet de mesures de traçabilité.
⇒ Le responsable de traitement qui souhaite avoir recours à un sous-traitant doit veiller à ne faire appel qu'à des organismes présentant des garanties suffisantes. Un contrat définissant les caractéristiques du traitement ainsi que les différentes obligations des parties en matière de protection des données doit être établi entre elles.
⇒ Seules les personnes habilitées au titre de leurs missions ou de leurs fonctions peuvent accéder aux données à caractère personnel traitées, et ce dans la stricte limite de leurs attributions respectives et de l'accomplissement de ces missions et fonctions.
Mesures de sécurité:
⇒ L'organisme doit prendre toutes les précautions utiles au regard des risques présentés par son traitement pour préserver la sécurité des données à caractère personnel et, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.
⇒ l'organisme est invité à adopter les mesures suivantes ou à pouvoir sinon justifier de la mise en place de mesures équivalentes ou de leur absence de nécessité ou de possibilité tenant à leur situation particulière :
Catégories Mesures Sensibiliser les utilisateurs Informer et sensibiliser les personnes manipulant les données Rédiger une charte informatique et lui donner une force contraignante Authentifier les utilisateurs Définir un identifiant (login) unique à chaque utilisateur Adopter une politique de mots de passe utilisateur conforme aux recommandations de la CNIL Obliger l'utilisateur à changer son mot de passe après réinitialisation Limiter le nombre de tentatives d'accès à un compte Assurer la confidentialité des données Envoyer des courriels groupés à des destinataires en copie cachée Ne pas faire apparaître des identifiants et des mots de passe en clair sur les courriers d'appels de charges Détruire les documents « papier » de manière sécurisée, notamment en les déchiquetant avant de les jeter ou en ayant recours à des poubelles sécurisées Gérer les habilitations Définir des profils d'habilitation Supprimer les permissions d'accès obsolètes Réaliser une revue annuelle des habilitations Tracer les accès et gérer les incidents Prévoir un système de journalisation Informer les utilisateurs de la mise en place du système de journalisation Protéger les équipements de journalisation et les informations journalisées Prévoir les procédures pour les notifications de violation de données à caractère personnel Sécuriser les postes de travail Prévoir une procédure de verrouillage automatique de session Utiliser des antivirus régulièrement mis à jour Installer un « pare-feu » (firewall) logiciel Recueillir l'accord de l'utilisateur avant toute intervention sur son poste Sécuriser l'informatique mobile Prévoir des moyens de chiffrement des équipements mobiles Faire des sauvegardes ou des synchronisations régulières des données Exiger un secret pour le déverrouillage des ordiphones (smartphones) Protéger le réseau informatique interne Limiter les flux réseau au strict nécessaire Sécuriser les accès distants des équipements informatiques nomades par VPN Mettre en œuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi Sécuriser les serveurs Limiter l'accès aux outils et interfaces d'administration aux seules personnes habilitées Installer sans délai les mises à jour critiques Assurer une disponibilité des données Sécuriser les sites web Utiliser le protocole TLS et vérifier sa mise en œuvre Vérifier qu'aucun mot de passe ou identifiant n'est transmis dans les URL Contrôler que les entrées des utilisateurs correspondent à ce qui est attendu Recueillir le consentement des utilisateurs pour le dépôt des cookies qui ne sont pas strictement nécessaires à la fourniture du service Sauvegarder et prévoir la continuité d'activité Effectuer des sauvegardes régulières Stocker les supports de sauvegarde dans un endroit sûr Prévoir des moyens de sécurité pour le convoyage des sauvegardes Prévoir et tester régulièrement la continuité d'activité Archiver de manière sécurisée Mettre en œuvre des modalités d'accès spécifiques aux données archivées Détruire les archives obsolètes de manière sécurisée Encadrer la maintenance et la destruction des données Enregistrer les interventions de maintenance dans une main courante Encadrer par un responsable de l'organisme les interventions par des tiers Effacer les données de tout matériel avant sa mise au rebut Gérer la sous-traitance Prévoir une clause spécifique dans les contrats des sous-traitants Prévoir les conditions de restitution et de destruction des données S'assurer de l'effectivité des garanties prévues (audits de sécurité, visites, etc.) Sécuriser les échanges Chiffrer les données avant leur envoi S'assurer qu'il s'agit du bon destinataire Transmettre le secret lors d'un envoi distinct et via un canal différent Prévoir un canal sécurisé pour le dépôt des dossiers des candidats à la location (par exemple : formulaire de dépôt via HTTPS sur le site web de l'organisme) Protéger les locaux Restreindre les accès aux locaux au moyen de portes verrouillées Installer des alarmes anti-intrusion et les vérifier périodiquement Encadrer les développements informatiques Proposer des paramètres respectueux de la vie privée aux utilisateurs finaux Tester sur des données fictives ou anonymisées Utiliser des fonctions cryptographiques Utiliser des algorithmes, des logiciels et des bibliothèques reconnues Conserver les secrets et les clés cryptographiques de manière sécurisée
Durées de conservation des données:
⇒ Une durée de conservation précise des données doit être fixée en fonction de chaque finalité : ces données ne peuvent être conservées pour une durée indéfinie.
⇒ La durée de conservation doit être communiquée aux intéressés.
⇒ l incombe au responsable du traitement de déterminer cette durée ou ces critères en amont de la réalisation du traitement.
Les durées de conservation des données:
⇒ pour les données collectées préalablement à une candidature à la location traitées à des fins de prospection (données d'identification, coordonnées, critères de recherche), est considérée comme adéquate une durée de conservation de trois ans à compter du dernier contact des personnes concernées avec l'organisme.
⇒ Pour les données collectées au stade de l'appréciation de la solvabilité des candidats à la location, la durée de conservations de trois (3) mois en base active est en principe adéquate.
⇒ pour les données relatives au candidat à la location retenu : la durée contractuelle et jusqu'à la clôture des comptes du locataire en base active est en principe adéquate est en principe adéquate, puis en archivage intermédiaire pendant une durée ne pouvant en principe excéder : - trois ans en cas de gestion directe (délai de prescription en matière de baux) ; - cinq ans en cas de gestion déléguée ou semi-déléguée (délai de prescription en matière civile).
⇒ pour les données du locataire collectées depuis la conclusion du bail jusqu'à sa résiliation : la durée contractuelle jusqu'à la clôture des comptes du locataire est en principe une durée de conservation en base active adéquate. A l'issue de cette période, les données peuvent être archivées, en archivage intermédiaire. Les durées d'archivages intermédiaires considérées comme adéquates sont en principe les suivantes : - le temps de la prescription en matière de contrat de bail, à savoir trois ans dans le cadre d'une gestion directe ou semi-déléguée (selon la répartition des tâches entre le mandataire et le mandant) ; - le temps de la prescription civile, à savoir cinq ans dans le cadre d'une gestion déléguée ou semi-déléguée (selon la répartition des tâches entre le mandataire et le mandant). - les données collectées dans le cadre de la résiliation du contrat justifiant la fin de solidarité ou la réduction du préavis ne peuvent par principe pas faire l'objet d'une conservation par le propriétaire, sauf à justifier d'un besoin particulier. Elles peuvent en revanche être conservée jusqu'à la validation par le propriétaire de la réduction du préavis ou de la fin de solidarité en cas de gestion indirecte, sous réserve de mettre en œuvre des mesures fortes permettant d'en assurer la sécurité et la confidentialité.
Les données peuvent être conservées plus longtemps que les durées mentionnées ci-dessus, en archivage intermédiaire, si le responsable du traitement en a l'obligation légale (par exemple, pour répondre à des obligations comptables, sociales ou fiscales) ou s'il a besoin de se constituer une preuve en cas de contentieux et dans la limite du délai de prescription/forclusion applicable, en matière de discrimination par exemple. La durée de l'archivage intermédiaire doit cependant répondre à une réelle nécessité, dûment justifiée par le responsable de traitement après une analyse préalable de différents facteurs, notamment le contexte, la nature des données traitées et le niveau de risque d'un éventuel contentieux.
En cas de résiliation du mandat de gestion, le professionnel de l'immobilier, ancien mandataire, remet l'ensemble des informations relatives à la gestion locative au nouveau bailleur ou mandataire. Il peut garder copie de tout document nécessaire pour lui permettre de se prémunir d'un contentieux en archivage intermédiaire pendant une durée de cinq ans. Il est cependant recommandé de les anonymiser lorsque cela est possible ou de les pseudonymiser afin de réduire autant que possible le caractère directement identifiant.
Obligation d"'information des intéressés:
Un traitement de données à caractère personnel doit être mis en œuvre en toute transparence vis-à-vis des personnes concernées.
Contenu de l'information à délivrer:
⇒ L'information communiquée aux personnes concernées doit se faire dans les conditions prévues par les articles 12, 13 et 14 du RGPD.
⇒ Dès le stade de la collecte des données personnelles, les personnes concernées doivent être informées de l'existence du traitement et de ses caractéristiques essentielles (parmi lesquelles l'identité du responsable du traitement et l'objectif poursuivi) ainsi que des droits dont elles disposent.
⇒ Le contrat conclu entre le mandataire et le mandant peut préciser les modalités pratiques d'informations des personnes concernées, notamment si le propriétaire souhaite déléguer cette mission au mandataire.
Modalités de l'information:
⇒ les personnes doivent être directement informées au moment où les données sont collectées.
⇒ Afin que les informations devant être portées à la connaissance des candidats soient aisément accessibles, il est recommandé qu'une politique de confidentialité reprenant l'ensemble des mentions exigées à l'article 13 du RGPD soit jointe à la liste des pièces justificatives à fournir.
⇒ Un lien renvoyant vers la politique de confidentialité peut également être inséré dans l'annonce de location, dans les courriels à destination des candidats ainsi que sur le formulaire de contact sur le site web de l'agence immobilière à l'attention des personnes intéressées par une annonce.
Information des garants.
⇒ le responsable de traitement doit informer par tout moyen les personnes se portant garantes dans un délai raisonnable, ne pouvant pas dépasser un mois, à la suite de la réception du dossier de location.
⇒ Le responsable de traitement peut par exemple, dès lors qu'il est en mesure de le démontrer, informer directement les garants par voie postale, ou fournir un document informatif au candidat, à la condition que ce dernier s'engage à le communiquer à ses garants.
Droits des personnes:
Les personnes concernées disposent des droits suivants, qu'ils exercent dans les conditions prévues par le RGPD:
⇒ droit d'accès à leur dossier, ainsi qu'à toutes les données les concernant de manière générale ;
⇒ droit de rectification des données les concernant, si elles sont inexactes;
⇒ droit d'effacement des données qui les concernent;
⇒ droit à la limitation du traitement. Par exemple, lorsque la personne conteste l'exactitude de ses données, elle peut demander à l'organisme le gel temporaire du traitement de ses données, le temps que celui-ci procède aux vérifications nécessaires concernant sa demande;
⇒ droit à la portabilité dans les conditions prévues à l'article 20 du RGPD ;
⇒ droit de s'opposer au traitement de leurs données.
//
Comments