Délibération SAN-2018-007 du 24 juillet 2018

Délibération de la formation restreinte n° SAN -2018-007 du 24 juillet 2018 prononçant une sanction pécuniaire à l’encontre de X

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Jean-François CARREZ, Président, de M. Alexandre LINDEN, Vice-président, M. Maurice RONAI, M. Philippe GOSSELIN et Mme Dominique CASTERA, membres ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 45 et suivants;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés du 25 mars 2007 ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la plainte n°17024253 du 27 octobre 2017 ;

Vu la décision de la Présidente de la Commission portant désignation d’un rapporteur devant la formation restreinte, en date du 19 avril 2018 ;

Vu le rapport de Monsieur Eric PERES, commissaire rapporteur, notifié par huissier de justice le 9 mai 2018 ;

Vu les observations écrites de X reçues le 11 juin 2018, ainsi que les observations orales formulées lors de la séance de la formation restreinte ;

Vu les autres pièces du dossier ;

Etaient présents, lors de la séance de la formation restreinte du 21 juin 2018 :

- Monsieur Eric PERES, Commissaire, en son rapport ;

- […] ;

- […];

- […] ;

Les représentants de X ayant pris la parole en dernier ;

A adopté la décision suivante :

I. Faits et procédure

X (ci-après X) a pour activité la construction, la gestion et la location de logements sociaux. Situé […], il emploie environ 200 personnes et a réalisé un chiffre d’affaires de 75 millions d’euros pour l’année 2016. X a désigné une Correspondante Informatique et Libertés le 28 février 2017.

Le 27 octobre 2017, la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission ) a été saisie d’une plainte concernant l’envoi, le 9 octobre 2017, d’un courrier par la Présidente de X, également maire de […], aux locataires de logements sociaux. Dans cette plainte, il était indiqué que le courrier critiquait la décision du gouvernement de diminuer le montant des aides personnalisées au logement (APL) pour l’ensemble des locataires du parc social et révélait une utilisation abusive du fichier des locataires de X à des fins politiques .

Par courrier du 18 décembre 2017, les services de la Commission ont demandé à X ses observations sur ce courrier et lui ont rappelé l’impossibilité d’utiliser des données à caractère personnel des locataires, collectées dans le cadre de son activité de bailleur social pour une autre finalité telle que de la communication de nature politique.

Le 9 janvier 2018, X a indiqué que le courrier du 9 octobre 2017 avait pour seule finalité d’informer les locataires sur les nouvelles dispositions réglementaires relatives au montant des APL et leur impact sur les ressources attribuées à X. En outre, X a précisé que cette information s’inscrivait dans le cadre de ses activités et des missions qu’il poursuit et notamment celles de gestion locative et de mise en œuvre des politiques publiques concernant l’habitat social.

Il était également précisé que le courrier avait été adressé à l’ensemble des locataires de X, qu’ils soient ou non bénéficiaires de l’APL.

Au regard de ces éléments et notamment de la réponse apportée par X sur la plainte, la Présidente de la Commission a désigné M. Eric PERES en qualité de rapporteur, le 19 avril 2018, sur le fondement de l’article 46 de la loi du 6 janvier 1978 modifiée relative à relative à l’informatique, aux fichiers et aux libertés (ci-après loi Informatique et Libertés ou loi du 6 janvier 1978 modifiée ).

A l’issue de son instruction, le rapporteur a fait notifier à X le 9 mai 2018 un rapport détaillant le manquement à la loi qu’il estimait constitué en l’espèce. Ce rapport proposait à la formation restreinte de la Commission de prononcer une sanction pécuniaire qui ne saurait être inférieure à 75.000 euros et qui serait rendue publique.

Etait également jointe au rapport une convocation à la séance de la formation restreinte du 21 juin 2018 indiquant à X qu’il disposait d’un délai d’un mois pour communiquer ses observations écrites.

Par courrier du 30 mai 2018, X a sollicité de la part du Président de la formation restreinte le report de la séance auquel il a décidé de ne pas faire droit le 1er juin 2018.

Le 11 juin 2018, X a produit des observations écrites sur le rapport, par l’intermédiaire de son conseil, réitérées oralement lors de la séance de la formation restreinte du 21 juin suivant.

II. Motifs de la décision

Sur le manquement à l’obligation de traiter les données de manière compatible avec les finalités pour lesquelles elles ont été collectées

Le 2° de l’article 6 de la loi du 6 janvier 1978 modifiée dispose que les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

Il appartient à la formation restreinte de décider si X a manqué à l’obligation lui incombant de traiter ultérieurement les données à caractère personnel des locataires de logements sociaux de façon compatible avec la finalité initiale de la collecte.

En défense, X fait principalement valoir que le courrier du 9 octobre 2017 revêt un caractère d’information et qu’il s’inscrit dans le cadre des finalités mentionnées dans les formalités déclaratives effectuées auprès de la CNIL.

X estime notamment que ce courrier est une communication externe non commerciale qui se rattache à la fiche n°19 du registre du Correspondant Informatique et Libertés concernant les traitements constitués à des fins d’information et de communication externe.

X considère ensuite qu’il s’inscrit dans le cadre des finalités définies dans son engagement de conformité du 6 décembre 2005 à la norme simplifiée n° 20 du 3 avril 2014 relative à la gestion des demandes de logement social et du parc immobilier, notamment dans le cadre de la mise en œuvre d’une nouvelle politique publique en matière de logement social. Sur ce point, il précise que le conseil d’administration, après avoir examiné les conséquences du projet de loi de finances 2018 sur son budget, a fait le choix de communiquer cette évaluation à l’ensemble de ses locataires.

X indique par ailleurs que ce courrier est une information qui relève de ses obligations contractuelles en qualité de bailleur. Il précise que la perte de ressources financières en lien avec le projet de réforme des APL pouvant entraver la bonne exécution de ses obligations en tant que bailleur (entretien des logements, immeubles, réalisation de travaux de réhabilitation ou de rénovation urbaine..), il était nécessaire d’informer ses cocontractants des impacts de cette réforme.

En ce sens, X considère que ce courrier se rattache à l’engagement de conformité du 22 mars 2017 à l’autorisation unique n° 3 du 3 avril 2014 concernant les traitements de données à caractère personnel mis en œuvre par les organismes de droit public ou de droit privé gérant un patrimoine immobilier à caractère social, aux fins de gestion du précontentieux et du contentieux, d'une part, et de mise en œuvre des décisions de justice ayant une incidence sur un lieu de résidence, d'autre part.

En premier lieu, sur la nature du courrier envoyé par X, la formation restreinte relève que le courrier du 9 octobre 2017 qualifie le projet de mesure gouvernementale d’ injustecar elle vise exclusivement les personnes logées dans le parc social et marque ainsi une vraie rupture d’égalité au sein de la population , cette orientation […] aurait des répercussions terribles sur la qualité de votre cadre de vie .

Il fait également mention d’une attaque contre les locataires HLM qui doit être stoppée.C’est pourquoi le conseil d’administration et moi-même avons décidé de nous opposer à ce projet […] Les locataires qui le souhaitent peuvent […] se renseigner et se mobiliser en répondant, notamment aux appels des associations de locataires qui ont lancé la campagne d’information Vive l’APL (https://vivelapl.org) .

Compte tenu des termes utilisés par ce courrier et de la teneur générale du message, qui a d’ailleurs été envoyé à l’ensemble des locataires qu’ils bénéficient ou non des APL, la formation restreinte considère qu’il n’est pas de nature purement informative.

En deuxième lieu, la formation restreinte rappelle que X ne peut utiliser les données à caractère personnel des locataires pour une finalité autre que les finalités initiales et notamment celles mentionnées dans les formalités déclaratives effectuées auprès de la Commission.

Elle rappelle également que, conformément aux missions générales qui lui incombent au titre des articles L.411-1 et L. 421-1 du code de la construction et de l’habitation, X collecte et traite les données à caractère personnel des locataires pour des finalités principales, déterminées, explicites et légitimes, à savoir la gestion de son patrimoine immobilier, l’instruction des demandes de logements sociaux et le suivi social personnalisé de certains locataires.

Or, en l’espèce, la formation restreinte estime que le courrier du 9 octobre 2017 ne peut se rattacher à cette finalité principale et notamment à celle de mise en œuvre d’une politique publique concernant l’habitat à caractère social, dès lors que l’objet de ce courrier n’était pas de traiter les données à caractère personnel des locataires afin d’appliquer une politique publique mais bien de prendre une position critique sur l’annonce de la baisse à venir des APL.

De la même façon, elle estime que ce courrier ne peut se rattacher à la finalité couverte par la fiche 19 du registre du Correspondant Informatique et Libertés, laquelle correspond à la délibération n° 2006-138 du 9 mai 2006 décidant de la dispense de déclaration des traitements constitués à des fins d’information ou de communication externe (décision de dispense de déclaration n° 7).

En effet, ne sont concernés par cette délibération que les traitements de données ayant pour finalité l’information ou la communication externe se rapportant au but ou à l’activité poursuivie par la personne physique ou morale qui met en œuvre le traitement . Sont ainsi, par exemple, exclus du champ de cette délibération l’utilisation de données à des fins politiques, électorales ou commerciales.

En l’espèce, la formation restreinte estime, compte tenu des termes utilisés par X et de la teneur générale du courrier du 9 octobre 2017, que la finalité poursuivie par le responsable du traitement excède l’objectif d’information ou de communication externe se rapportant au but ou à l’activité poursuivie par X au titre des missions légales qui lui sont confiées, au sens de la délibération du 9 mai 2006 mentionnée ci-dessus.

En dernier lieu, la formation restreinte considère que si, au titre de ses obligations en qualité de bailleur, X a la possibilité d’adresser un courrier aux locataires, y compris pour les informer sur les conséquences, avérées ou non, de la réforme du montant des APL, il ne pouvait en revanche légitimement pas utiliser les données à caractère personnel de l’ensemble des locataires du parc immobilier social, dès lors que le courrier adressé dépassait la simple finalité d’information.

A cet égard, la formation restreinte relève qu’une communication sur le projet de réforme des APL par voie d’affichage dans les entrées d’immeuble était également prévue, ce qui aurait permis le cas échéant d’aller au-delà de la simple information des locataires sur cette réforme sans utiliser de donnée personnelle et, par suite, sans méconnaître les principes fondamentaux de la protection des données à caractère personnel.

Il résulte de ce qui précède qu’en utilisant le fichier de ses locataires en leur adressant un courrier excédant manifestement la stricte information des personnes, X a traité lesdites données à caractère personnel de manière incompatible avec la finalité initiale de la collecte - à savoir la gestion des demandes de logement social ou du parc immobilier - en méconnaissance du 2° de l’article 6 de la loi Informatique et Libertés.

Sur la sanction et la publicité

Aux termes du I de l’article 45 de la loi du 6 janvier 1978 modifiée, dans sa version applicable aux faits de l’espèce :

Lorsque le responsable d'un traitement ne respecte pas les obligations découlant de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut le mettre en demeure de faire cesser le manquement constaté dans un délai qu'il fixe. En cas d'extrême urgence, ce délai peut être ramené à vingt-quatre heures.

Si le responsable du traitement se conforme à la mise en demeure qui lui est adressée, le président de la commission prononce la clôture de la procédure. Dans le cas contraire, la formation restreinte de la commission peut prononcer, après une procédure contradictoire, les sanctions suivantes :

1° Un avertissement ;

2° Une sanction pécuniaire, dans les conditions prévues à l'article 47, à l'exception des cas où le traitement est mis en œuvre par l'Etat ;

3° Une injonction de cesser le traitement, lorsque celui-ci relève de l'article 22, ou un retrait de l'autorisation accordée en application de l'article 25.

Lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure, la formation restreinte peut prononcer, sans mise en demeure préalable, et après une procédure contradictoire, les sanctions prévues au présent I.

Les alinéas 1er et 2ème de l’article 47 de la loi précitée, dans sa version applicable aux faits de l’espèce, précisent que :

Le montant de la sanction pécuniaire prévue au I de l'article 45 est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. La formation restreinte de la Commission nationale de l'informatique et des libertés prend notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d'atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission.

Le montant de la sanction ne peut excéder 3 millions d'euros .

X estime qu’aucune sanction ne doit être prononcée à son encontre.

La formation restreinte relève que X, au titre de ses missions de bailleur social, a mis en place plusieurs mesures appropriées quant aux traitements des données à caractère personnel de ses locataires (ex : registre des traitements, diagnostic de conformité des traitements, actions de sensibilisation et de formation auprès des collaborateurs de X sur la réglementation en matière de protection des données).

Toutefois, la formation restreinte considère que X a de façon intentionnelle décidé de traiter ces données de manière incompatible avec les finalités initiales de la collecte, méconnaissant ainsi l’un des principes fondamentaux de la loi Informatique et Libertés.

Elle estime par ailleurs que si les catégories de données à caractère personnel traitées (nom, prénom et adresse postale) ne sont pas de nature à porter une atteinte irrémédiable à la vie privée des locataires visés, en revanche, le nombre de personnes concernées est important, X indiquant gérer 16 000 logements sociaux.

Au regard des éléments développés ci-dessus, les faits constatés et le manquement constitué au 2° de l’article 6 de la loi du 6 janvier 1978 modifiée, justifient que soit prononcée une sanction pécuniaire à l’encontre de X d’un montant de 30.000 (trente mille euros).

Pour tous les motifs précités, et afin de rappeler à l’ensemble des acteurs du secteur social, le droit applicable à la protection des données à caractère personnel et l’interdiction d’utiliser des fichiers d’usagers pour des finalités autres et incompatibles avec les finalités initiales, la formation restreinte estime indispensable de rendre publique sa décision.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

- prononcer à l’encontre de X une sanction pécuniaire d’un montant de 30.000 (trente mille) euros ;

- rendre publique sa décision, qui sera anonymisée à l’expiration d’un délai de deux ans à compter de sa publication.

Le Président

Jean-François CARREZ

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification.

Retourner en haut de la page