Délibération n° 2017-60 du 19 avril 2017 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Déclarer la vacance ou la location d'un logement du Secteur protégé » de la Direction de l'Habitat présenté par le Ministre d'État.

Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.235 du 28 décembre 2000 relative aux conditions de location de certains locaux à usage d'habitation construits avant le 1er septembre 1947, modifiée ;
Vu la loi n° 887 du 25 juin 1970 portant limitation du champ de l'Ordonnance-loi n° 669 du 17 septembre 1959 modifiant et codifiant la législation relative aux conditions de location des locaux à usage d'habitation ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 4.801 du 21 avril 2014 portant création d'une Direction de l'Habitat ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la demande d'avis déposée par le Ministre d'État, le 5 janvier 2017, concernant la mise en œuvre d'un traitement automatisé ayant pour finalité « Déclarer la vacance ou la location d'un logement du Secteur protégé » ;
Vu la prorogation du délai d'examen de la présente demande d'avis notifiée au responsable de traitement le 2 mars 2017, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 avril 2017 portant examen du traitement automatisé susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
En 2011, le Ministre d'État a mis en œuvre le traitement ayant pour finalité « Gestion du compte permettant aux usagers d'entreprendre des démarches par téléservices », qui permet aux usagers de créer un compte unique utilisé comme point d'entrée à différents téléservices de l'Administration qui ont été mis en œuvre séparément.
Le présent traitement de la Direction de l'Habitat s'inscrit dans ce processus. Il est présent sur le guichet virtuel et permet aux usagers de déposer en ligne leurs demandes relatives aux logements compris dans les champs d'application des lois n° 1.235 et n° 887.
Ainsi, le traitement automatisé d'informations nominatives objet de la présente est soumis à l'avis de la Commission, conformément à l'article 7 de la loi n° 1.165 du 23 décembre 1993.
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « déclarer la vacance ou la location d'un logement du secteur protégé ».
Il concerne les propriétaires d'un logement concerné ou mandataire du propriétaire.
La Commission relève que sont aussi des personnes concernées les anciens occupants et les nouveaux occupants (ainsi que les membres de leur  foyer) des logements dont s'agit.
Ce traitement a pour fonctionnalités de permettre aux usagers de :
« - Déposer la déclaration d'offre de location d'un logement - loi n° 1.235 ;
- Déposer la déclaration de vacance d'un logement - loi n° 1.235 ;
- Déposer la déclaration de location d'un logement -loi n° 1.235 ;
- Déposer la déclaration de vacance d'un logement - loi n° 887 ;
- Déposer la déclaration de location ou occupation à titre gratuit d'un logement - loi n° 887  ».
Celui-ci étant interconnecté avec le traitement « Gestion des usagers » pour permettre l'accès à la démarche en ligne, il est précisé que pourront être effectués par ces derniers les fonctionnalités suivantes :
« - Saisie des informations sur le propriétaire et éventuellement sur le mandataire (si applicable) ;
- Saisie des informations sur le logement ;
- Saisie des informations sur l'ancien occupant ;
- Saisie des informations sur le nouvel occupant et son foyer (uniquement dans le cas des déclarations de location) ;
- Désinscription du téléservice ;
- Envoi d'un courriel de confirmation du dépôt de la demande ;
- Suivi du traitement de la demande ;
- Compléter une demande incomplète ;
- Envoi d'un courriel de confirmation de désinscription à la démarche en ligne ;
- Expiration et envoi d'un courriel d'expiration d'un accès à la démarche en ligne ».
La Commission constate ainsi que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le consentement des personnes concernées, le respect d'une obligation légale et un motif d'intérêt public.
En ce qui concerne le consentement, la Commission relève que les personnes concernées doivent, afin d'effectuer leurs formalités en lien avec la Direction de l'Habitat, s'inscrire et accepter les conditions générales d'utilisation, en conformité avec le traitement de « Gestion des usagers », légalement mis en œuvre. Aussi, recourir à la démarche en ligne repose sur la volonté des personnes concernées souhaitant remplir leurs obligations vis-à-vis de la Direction de l'Habitat par ce biais.
Par ailleurs, la Commission constate que la collecte d'informations nominatives dont s'agit est prévue par les textes suivants :
- l'Ordonnance Souveraine n° 77 du 22 septembre 1949 relative au classement et au prix de location des immeubles d'habitation ;
- l'Ordonnance Souveraine n° 2.057 du 21 septembre 1959 portant application de l'Ordonnance-loi n° 669 du 17 septembre 1959 modifiant et codifiant la législation relative aux conditions de location des locaux à usage d'habitation ;
- la loi n° 887 du 25 juin 1970 portant limitation du champ d'application  de l'Ordonnance-loi n° 669 du 17 septembre 1959, modifiant et codifiant la législation relative aux conditions de location des locaux à usage d'habitation ;
- l'Ordonnance Souveraine n° 4.261 du 29 décembre 1970 fixant les modalités d'exécution de la loi n° 887 du 25 juin 1970 portant limitation du champ d'application de l'ordonnance-loi n° 669 du 17 septembre 1959 modifiant et codifiant la législation relative aux conditions de location des locaux à usage d'habitation ;
- la loi n° 1.235 du 28 décembre 2000 relative aux conditions de location des locaux à usage d'habitation ainsi construits ou achevés avant le 1er septembre 1947, modifiée, et ses ordonnances d'application ;
- l'arrêté ministériel n° 2000-609 du 29 décembre 2000 portant application de la loi n° 1.235 du 28 décembre 2000 relative aux conditions de location de certains locaux à usage d'habitation.
La Commission considère donc que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
Les informations nominatives traitées sont :
- identité :
• en ce  qui concerne le propriétaire : nom, prénoms, raison sociale, nationalité ;
• en ce qui concerne le gérant/mandataire : nom, prénoms, raison sociale, nom de la personne à contacter ;
• en ce qui concerne l'ancien occupant : nom, prénoms, en qualité de ;
• en ce qui concerne le nouvel occupant : nom, prénoms, lieu de naissance, date de naissance, nationalité, en qualité de ;
• membre du foyer du nouvel occupant : nom, prénoms, lieu de naissance, date de naissance, en qualité de ;
- situation de famille :
• en ce qui concerne le nouvel occupant : situation de famille ;
• en ce qui concerne les membres du foyer du nouvel occupant : lien de parenté avec le nouvel occupant ;
- adresse et coordonnées :
• en ce qui concerne le propriétaire : téléphone, adresse ;
• en ce qui concerne le gérant/mandataire : téléphone, adresse ;
• en ce qui concerne le nouvel occupant : téléphone, ancienne adresse ;
• en ce qui concerne le logement concerné : adresse, quartier, étage, localisation, nombre de pièces, superficie, catégorie d'immeuble, commodités ;
- formations-diplômes-vie professionnelle : profession du nouvel occupant ;
- caractéristiques financières : loyer mensuel du nouvel occupant ;
- loisirs, habitudes de vie et comportement : historique de navigation de l'usager, pages visitées, temps resté sur la page visitée ;
- données d'identification électronique : identifiant technique de l'usager ;
- données de connexion : données d'horodatage, log de connexion de l'usager, données de messagerie de l'usager.
Les informations ont pour origine la personne effectuant la démarche en ligne en ce qui concerne l'identité, la situation de famille, l'adresses et coordonnées, la catégorie  formation-diplôme-vie professionnelle, les caractéristiques financières. Les autres informations proviennent du module web de la démarche en ligne ou du système lui-même.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV. Sur les droits des personnes concernées
- Sur l'information préalable des personnes concernées
L'information préalable des personnes concernées est réalisée à partir d'une mention particulière intégrée dans un document d'ordre général accessible en ligne et une mention dans les conditions générales d'utilisation de la démarche en ligne.
Ce document n'ayant pas été joint à la demande, la Commission rappelle que toutes les personnes concernées doivent être informées conformément aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès est exercé par courrier électronique, par voie postale et sur place.
Les droits de modification et de mise à jour des données sont réalisés selon les mêmes modalités.
S'agissant de l'exercice du droit d'accès par voie électronique, la Commission considère qu'une procédure devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d'un document d'identité était demandée, la transmission et le traitement de ce document devront faire l'objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d'identité officiels.
La Commission constate ainsi que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
La Commission constate qu'il n'y a pas de destinataire des informations objets du présent traitement.
Les accès sont définis comme suit :
- les personnels de la Direction de l'Habitat habilités à la gestion de ces logements dans le cadre des missions du Service ;
- les personnels de la Direction Informatique ou tiers intervenant pour son compte : tout accès dans le cadre des missions de maintenance, développement des applicatifs nécessaires au fonctionnement du site et de sécurité du site et du système d'information de l'État ;
- les Personnels de la Direction de l'Administration Électronique et de l'Information aux Usagers ou tiers intervenant pour son compte ayant un rôle d'assistance à maîtrise d'ouvrage sur la procédure.
En ce qui concerne les prestataires, la Commission rappelle que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d'accès doivent être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.
VI. Sur les interconnexions
Le présent traitement est interconnecté avec les traitements suivants :
- « Gestion du compte permettant aux usagers d'entreprendre des démarches par téléservices », légalement mis en œuvre, afin de permettre à la personne concernée d'accéder aux téléservices de l'Administration ;
- « Gérer les habilitations des agents et fonctionnaires de l'Etat aux téléservices contenus dans le « Guichet Virtuel » afin de permettre le suivi des demandes des usagers par les personnes autorisées », légalement mis en œuvre, afin de permettre aux personnels habilités d'accéder  au traitement dont s'agit.
La Commission relève également que le traitement est interconnecté avec le traitement ayant pour finalité « Gestion des techniques automatisées de communication » aux fins d'utilisation de la messagerie électronique de l'État.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
La Commission rappelle enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations nominatives collectées seront conservées 1 an, sauf celles liées aux habitudes et aux données de connexion qui sont conservées 3 mois.
La Commission considère que ces délais sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- toutes les personnes concernées doivent être informées conformément aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993 ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Considère qu'une procédure relative au droit d'accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s'assurer que l'expéditeur du courriel est effectivement la personne concernée par les informations.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d'État, du traitement automatisé d'informations nominatives ayant pour finalité « Déclarer la vacance ou la location d'un logement du Secteur protégé  » de la Direction de l'Habitat.

Le Président de la Commission
de Contrôle des Informations
Nominatives.