Amende RGPD à l'égard de l'office HLM de la métropole de Rennes
Le 5 octobre 2020, le Conseil d’Etat a validé la sanction de la Commission nationale de l'informatique et des libertés (CNIL) prononcée en juillet 2018 à l’encontre de l’Archipel Habitat, l’office HLM de la métropole de Rennes. L’amende s’élève à 30.000 €. Il lui était reproché la mauvaise utilisation du fichier de ses locataires. Pour aller plus loin, consultez notre article : 6 sanctions RGPD incontournables mais peu connues des TPE/PME et Associations
Amende à l'office HLM de la métropole de Rennes : contexte
La CNIL a été saisie en octobre 2017 par une plainte contre l’Archipel Habitat pour avoir adressé à cette période une lettre signée de sa présidente, également maire de la ville, aux 12 500 locataires en utilisant des données personnelles, en l’occurrence leur adresse. Dans cette communication, la Présidente de l’Archipel Habitat dénonce la baisse des APL (aides personnalisées au logement) et évoque une mesure injuste qui aura des répercussions sur la qualité de vie. De ce fait, la CNIL a sanctionné l’utilisation des données personnelles des locataires de manière incompatible avec le rôle du fichier en question, qui est d'attribuer des logements.
De plus, devant le Conseil d’Etat, la CNIL a conclu que « le courrier n’était pas uniquement de nature informative et comportait une critique virulente (…) d’une attaque contre les locataires et un appel à la mobilisation des locataires ».
Le Conseil d’Etat, compétant à se prononcer sur la validité des délibérations de la CNIL donne raison à celle-ci en rappelant que : "Eu égard au caractère intentionnel de l'utilisation des données personnelles des locataires des logements sociaux dans un but non conforme aux finalités du traitement, à la nature de la règle ainsi méconnue par cette personne publique et au nombre important des personnes concernées, la formation restreinte de la CNIL n'a pas infligé à l'office public de l'habitat une sanction disproportionnée".
Amende RGPD et l’obligation de définir les finalités pour chaque utilisation de données personnelles
Avec cette décision, se confirme l’obligation de définir les finalités pour chaque utilisation de données personnelles au sein de tout organisme, comme prévoit l’article 5 du RGPD. Dans ce texte ayant objectif d’encadrer tout acteur collectant et exploitant des données personnelles des individus, est ancré le principe suivant : “Les données à caractère personnel doivent être [...] collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités”.
Votre organisme soumis à cette règle. Chaque opération effectuée sur les données personnelles au sein de votre établissement doit poursuivre une finalité bien définie. La finalité d’une opération ou d’un ensemble d’opérations est l’objectif principal de l’utilisation de données personnelles.
Les questions à se poser pour définir la finalité d'un traitement :
- Quel est le but du fichier, logiciel ou formulaire ? (à quoi va-t-il servir ?)
- Est-ce légitime, notamment au regard des missions de l’organisme, du personnel qui se trouve à l’origine de l’opération en question et ceux qui vont avoir accès aux données dans le cadre de l’opération, ainsi que des droits et libertés des personnes ?
- Comment présenter cette finalité pour la rendre compréhensible par tous ?
Aussi, la CNIL travaille actuellement à la mise en évidence d'exemples de définition des finalités et du cadre procédural de ces finalités dans le secteur social. Ainsi, en octobre, la CNIL a lancé une consultation publique sur un projet de référentiel dédié au secteur social.
Focus sur le secteur social et médico-social
La CNIL met en avant une série d'exemples illustrant les finalités générales qu'un organisme du secteur social et médico-social peut poursuivre. Elles sont comme suit :
- Disposition de prestations définies dans le cadre d’un contrat conclu entre l’organisme et la personne concernée (usager) ou son représentant légal
- Instruction, gestion et le cas échéant, le versement des prestations sociales légales et facultatives
- Gestion administrative des usagers
- Accompagnement social et médico-social adapté aux difficultés rencontrées par l’usager
- Orientation des personnes vers les structures compétentes susceptibles de les prendre en charge
- Elaboration et suivi du projet personnalisé d’accompagnement des usagers
- Coordination et continuité de l’accompagnement et des suivis des usagers entre les intervenants sociaux, médicaux et paramédicaux
- Accompagnement et suivi des usagers dans l’accès aux droits
- Gestion administrative, financière et comptable de l’organisme
- Etablissement des statistiques, des études internes et des enquêtes de satisfaction.
En complément, ce guide souligne l'importance d'obtenir le consentement explicite de l'usager ou de rechercher l'obligation légale à laquelle l’organisme est soumis, pour la collecte de données sensibles à des fins de soins, de gestion des services de santé ou de délivrance d’une prestation sociale prévue par les textes.
L'importance des durées de conservation dans le secteur social et médico-social
La CNIL a par ailleurs souhaité attirer l'attention des acteurs du secteur social et médico-social sur la problématique de la définition de bonnes durées de conservation des données personnelles. Par principe, il est recommandé que les données ne soient pas conservées dans la base de données active de l'institution pendant plus de 2 ans à compter du dernier contact établi par la personne ayant fait l'objet d'un accompagnement. En fonction du statut de votre organisme, il vous est possible de décider du sort de ces données au-delà de ces périodes, notamment en tenant compte des dispositions légales du Code de l'action sociale et des familles (CASF) et du Code de la santé publique (CSP), qui sont plus spécifiques au secteur, ainsi que le Code du Patrimoine.
Nous vous encourageons vivement à initier très rapidement votre projet de mise en conformité avec le RGPD en travaillant sur la réalisation du Registre des traitements de données personnelles et en promouvant les bons reflexes.
Il est également attendu que vous ayez mis en place :
- les modalités d’informations adaptées aux usagers, à leurs représentants légaux et aux collaborateurs
- une sécurisation conforme à l’article 32 du RGPD des données, notamment celles relatives à la santé des usagers par un recours à des prestataires d’hébergement agréés ou certifiés “Hébergeur de Données de Santé.”
- les analyses d’impact sur la protection des données personnelles des usagers (connues sous les acronymes AIPD ou PIA).
Pour plus d'articles :
- Dois-je supprimer systématiquement le dossier d'un usager après son départ ?
- 6 erreurs RGPD à éviter lors d'utilisation de visioconférence