RGPD ET CONFIDENTIALITÉ DANS LA GESTION DE LA DEMANDE DE LOGEMENT SOCIAL 

 

Les guichets enregistreurs traitent des données personnelles sensibles qui sont soumises au Règlement Général sur la Protection des Données (RGPD). 

I – le RGPD, qu’est-ce que c’est ?

C’est un règlement européen qui s’inscrit dans la continuité de la loi française « Informatique et Libertés » de 1978 et qui renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.

Il vise 3 objectifs :

  • renforcer les droits des personnes
  • responsabiliser les acteurs traitant des données
  • crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.

La mise en application du RGPD doit conduire à la minimisation de la collecte des données à traiter dans un périmètre correspondant à un usage déterminé. La conservation des données doit être strictement limitée à l’objectif de leur traitement. Elle doit par ailleurs se faire dans la transparence et dans un cadre sécurisé où la confidentialité de ces données doit être assurée tant d’un point de vue technique qu’organisationnel. 

Le RGPD a consacré le rôle du Délégué à la Protection des (DPD ou DPO pour Data Protection officer)  en mai 2018. Sa nomination a été rendue obligatoire dans 3 cas :

  • pour les organismes publics (ministères, collectivités territoriales, établissements publics…)
  • lorsqu’une organisation a des activités de base qui le conduit à procéder à un suivi régulier de personnes à grande échelle (Banques, compagnies d’assurance, …)
  • pour les activités de base d’une organisation qui traite un volume important de données sensibles (données médicales, biométriques…) ou des données concernant les condamnations pénales et infractions.

Dans les autres cas, il est tout de même fortement recommandé de désigner un DPD ou, à tout le moins, un référent qui aura pour fonctions, d’informer et de conseiller son organisation sur toute question relative au RGPD et de veiller à sa bonne application. Il est en outre, le point de contact entre l’organisation et les autorités de contrôle, en l’occurrence la CNIL.

II – la mise en œuvre dans le cadre du traitement de la demande de logement social

Le respect du RGPD s’inscrit dans la mission de service public dévolue aux guichets enregistreurs de la demande de logement social.

Les guichets doivent prendre en considération les dispositions suivantes :

  • recenser les données existantes dans votre système d’information local y compris celles relevant de la demande de logement social pour en analyser la pertinence, l’ancienneté et l’utilité. Ainsi, il conviendra d’effacer les données internes relatives à des demandes de logement social radiées depuis plus d’une année ;
  • supprimer les profils qui sont inactifs sur vos systèmes d’information ;
  • mettre en place des règles de gestion d’accès aux données en veillant à ce que seules les personnes dûment autorisées puissent accéder au SNE ;
  • procéder à la destruction des CERFA de la demande de logement social lorsque les éléments ont été saisis dans votre système d’information ou dans le SNE ;
  • un demandeur doit être informé de la raison et du fondement juridique de la collecte de ses données issues de pièces justificatives listées dans l’arrêté du 22 décembre 2020 relatif au nouveau formulaire de demande de logement locatif social et aux pièces justificatives fournies pour l'instruction de la demande de logement locatif social. Par ailleurs, il convient de demander les pièces justificatives que lors de l’instruction de la demande de logement social ;
  • accéder dans le délai d’un mois à la sollicitation d’un demandeur qui souhaite exercer ses droits :
    1. d’accès
    2. de rectification
    3. de suppression
    4. d’oubli
    5. de portabilité
    6. de limitation

III – Que faire en cas de violation des données ?

Le RGPD définit une violation de données à caractère personnel comme étant « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. »

En cas de violation des données, il faut tout d’abord en identifier la nature :

  • si elle est de nature technique, le prestataire de vos systèmes d’information a dû prévoir contractuellement les dispositions à prendre afin d’informer le guichet concerné des failles de sécurité constatées ainsi que le partage des responsabilités en pareille situation ;
  • si elle est de nature humaine, comme une intrusion dans le système ou un vol des documents papiers, la procédure interne devra prévoir comment contrecarrer, identifier et tracer cette violation. 

Ensuite, une notification à la CNIL doit être faite dans les 72h. En cas de dépassement du délai, il faudra en donner la justification à la CNIL.

Enfin, les personnes dont les données personnelles ont fait l’objet d’une violation doivent en être informées. Il doit leur être par conséquent communiqué a minima en des termes clairs et précis, les éléments suivants :

  • la nature de la violation ;
  • les conséquences probables de la violation ;
  • les coordonnées de la personne à contacter (DPD ou autre) ;
  • les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation.

S’il apparaît que c’est le SNE qui est concerné par une telle problématique, ce sont les services de l’État qui assureront l’information des guichets, qui effectuera la notification à la CNIL et qui prendra contact avec les personnes concernées.

IV – Quelques conseils pratiques de sécurité dans l’utilisation du SNE

Afin de limiter les fuites de données personnelles, les intrusions malveillantes dans le SNE ou vos SI ou encore de palier aux attaques informatiques, il convient de suivre les instructions suivantes :

  1. Sécurisation de l’accès au SNE
  • ne JAMAIS noter son mot de passe sur un papier ou l’enregistrer dans le navigateur. Il est plutôt conseiller d’utiliser un gestionnaire de mots de passe, tel Keepass ;
  • ne JAMAIS communiquer son mot de passe à ses collègues ;
  • veiller à ce que le mot de passe d’accès au SNE ne soit pas utilisé pour d’autres applications tant personnelles que professionnelles ;
  • changer le mot de passe régulièrement. Au moins 2 fois par an ;
  • quand le travail dans le SNE est terminé, penser à se déconnecter ;
  • verrouillez sa session en cas d’absence ;
  • ne jamais se connecter au SNE sur des ordinateurs mis à la disposition du public.

B) Sécurisation de vos communications

  • ne pas transférer ses courriels professionnels sur sa messagerie privée ;
  • ne pas communiquer par courriel des données issues d’une demande de logement social ;
  • durant les déplacements professionnels, il convient d’éviter de consulter en public les demandes de logement social ou d’accéder au SNE.

C) Sécurisation des documents papiers de la demande de logement social

  • noircir le NIR (numéro de sécurité sociale) inscrit sur les pièces justificatives dès leur impression ou leur numérisation ;
  • les documents papiers relatifs à la demande de logement social (CERFA et pièces justificatives) doivent être entreposés dans des armoires sécurisés et détruits après leur saisie dans le SNE
  • les visiteurs ne doivent pas avoir accès aux espaces de travail où sont traitées les demandes de logement social