icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails
Voir le site en Anglais
MENU
Français | Anglais
  • Avis et Communiqués
  • Déliberations-Décisions CCIN

Délibération n° 2022-150 du 19 octobre 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des échanges d'appartements au sein du secteur domanial d'habitation » dénommé « Registre des échanges du secteur domanial d'habitation » exploité par la Direction de l'Habitat présentée par le Ministre d'État.

  • N° journal 8615
  • Date de publication 04/11/2022
  • Qualité 100%
  • N° de page

Vu la Constitution ;

Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Vu l’Ordonnance Souveraine n° 16.605 du 10 janvier 2005 portant organisation des Départements ministériels ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu l’Ordonnance Souveraine n° 4.801 du 28 avril 2014 portant création d’une Direction de l’Habitat ;

Vu l’arrêté ministériel n° 2021-786 du 13 décembre 2021 relatif aux conditions d’attribution des logements domaniaux ;

Vu l’arrêté ministériel n° 2020-180 du 25 février 2020 relatif aux conditions d’échange d’appartements domaniaux ;

Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la délibération n° 2011-19 du 14 février 2011 portant avis favorable sur la demande présentée par le Ministre d’État relative à la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion en ligne des échanges d’appartements au sein du secteur domanial d’habitation » ;

Vu la demande d’avis modificative déposée par le Ministre d’État, le 27 juillet 2022, concernant la mise en œuvre d’un traitement automatisé ayant pour finalité « Gestion des échanges d’appartements au sein du secteur domanial » ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 19 octobre 2022 portant examen du traitement automatisé, susvisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Par délibération n° 2011-19 du 14 février 2011, la Direction de l’Habitat a reçu avis favorable à la mise en œuvre d’un traitement automatisé d’informations nominatives ayant pour finalité « Gestion en ligne des échanges d’appartements au sein du secteur domanial d’habitation ».

Le responsable de traitement souhaite désormais modifier ledit traitement et soumet cette modification à l’avis de la Commission, conformément à l’article 9 de la loi n° 1.165 du 23 décembre 1993.

I. Sur la finalité et les fonctionnalités du traitement

À titre liminaire, le responsable de traitement souhaite modifier la finalité initiale « Gestion en ligne des échanges d’appartements au sein du secteur domanial d’habitation » en « Gestion des échanges d’appartements au sein du secteur domanial d’habitation ».

Par ailleurs, alors qu’étaient initialement concernées par le traitement les seules personnes titulaires d’un bail locatif d’habitation ou d’un contrat habitation-capitalisation de l’Administration des Domaines, sont désormais inclus les membres des foyers de ces derniers, ainsi que les Agents de la Direction de l’Habitat en charge des dossiers.

Les fonctionnalités sont désormais les suivantes :

-  création des fiches par la Direction de l’Habitat ;

-  gestion et ajout à la liste des offres consultables en ligne ;

-  consultation par les personnes inscrites au Registre d’échanges des offres et des éléments relatifs à leur dossier ;

-  mise à jour du descriptif du foyer afin de pouvoir instruire la demande ;

-  établissement de statistiques à partir de données anonymisées ;

-  édition automatisée des correspondances et des rapports ;

-  analyse des dossiers.

La Commission constate que les modalités de consultation des offres en ligne suivent l’évolution techniques des traitements mis en œuvre par l’État. L’authentification des personnes éligibles aux échanges d’appartements s’effectue désormais par le biais de l’extranet locataire, même si le site concernant l’échange d’appartements est distinct du site gérant les relations locataires/ Administration.

La Commission s’interroge toutefois quant à la situation des personnes qui n’utilisent pas l’extranet locataire et qui souhaitent y adhérer uniquement pour la revue d’appartements disponibles à l’échange. Elle rappelle que l’adhésion de demandeurs d’échanges d’appartements aux CGUs de l’extranet locataire ne doit pas les pousser automatiquement à utiliser ce dernier s’ils ne souhaitent pas avoir une gestion dématérialisée de leurs échanges avec l’Administration.

Elle demande donc à ce que les personnes qui ne souhaitent accéder qu’aux échanges d’appartements ne soient pas enrôlées automatiquement dans le traitement ayant pour finalité « Gestion dématérialisée des relations entre les locataires et occupants avec l’Administration des Domaines ».  

La Commission relève néanmoins que les personnes peuvent, si elles ne veulent pas adhérer à cet extranet, « consulter les offres correspondant à la typologie à laquelle ils peuvent prétendre » directement auprès de la Direction de l’Habitat.

Sous cette réserve, la Commission constate que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

II.    Sur la licéité et la justification du traitement

La Commission relève que les conditions de licéité du présent traitement ont été précisées. L’Ordonnance Souveraine n° 4.801 du 28 avril 2014 portant création d’une Direction de l’Habitat dispose en son article 2 que cette dernière est chargée « d’assurer la gestion des procédures d’échange d’appartements » dans les immeubles dépendant du domaine de l’État. En outre, l’arrêté ministériel n° 2021-786 du 13 décembre 2021 relatif aux conditions d’attribution des logements domaniaux est venu se substituer à l’arrêté ministériel n° 2007-519 du 19 octobre 2007, et l’arrêté ministériel n° 2020-180 du 25 février 2020, qui s’inscrit dans une suite d’arrêtés modifiés annuellement, est la dernière modification en date du contexte réglementaire relatif aux conditions d’échanges d’appartements domaniaux.

La Commission constate toutefois qu’il résulte des dispositions réglementaires que les demandeurs doivent uniquement pouvoir « consulter les offres correspondant à la typologie à laquelle ils peuvent prétendre ». Elle rappelle donc que tant en consultation sur place que par le bais du site Internet dédié, il ne doit pas être possible de consulter des offres qui ne correspondraient pas à cette définition.

Sous cette réserve, la Commission considère que ce traitement est licite et justifié, conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165 du 23 décembre 1993.

III.   Sur les informations traitées

Les informations nominatives traitées concernant les usagers souhaitant échanger leur appartement et les personnes rattachées à leurs foyers sont désormais :

-  identité du demandeur et conjoint : civilité, nom patronymique, prénom, nom usuel, date de naissance, nationalité, numéro de compte, numéro de locataire, numéro de contrat ;

-  identité des personnes rattachées au foyer : nombre d’enfants, nom - prénom - date de naissance des enfants avec mention de leur situation (à charge ou en visite), nationalité, lien de parenté ;

-  situation de famille : marié, veuf, célibataire, vie maritale (concubinage, contrat de vie commune ou contrat civil de solidarité) ;

-  adresses et coordonnées : adresse, coordonnées téléphoniques, email ;

-  modalité de contact : horaire de contact souhaité, par courriel ou par téléphone ;

-  caractéristiques du logement proposé : situation, adresse, description du bien (immeuble, étage, type, photo du bien, code logement, surfaces internes et externes, loyer, charges, date de révision du loyer ;

-  mesures à caractère social : perception d’une Aide Nationale au Logement (ANL) et montant ;

-  caractéristiques financières : qualification des revenus, montant des ressources mensuelles, montant du loyer (occupé et à venir) ;

-  caractéristiques relatives au logement : type souhaité (F1, F2, etc.) ;

-  données liées à la demande : référence du dossier, type d’appartement validé (besoin normal), date d’inscription, date d’expiration de l’inscription, date de renouvellement ;

-  données liées à l’instruction d’une éventuelle demande d’échange : date de transmission du dossier d’échange, décisions associées ;

-  identifiant de connexion : login, mot de passe, lien de connexion ;

-  journaux de connexion : log de connexion (identifiant de session, date et heure de la connexion, éléments de traçabilité).

Il est indiqué que les informations ont pour origine le demandeur, mais également l’Administration des Domaines pour certaines caractéristiques du logement, la Direction de l’Habitat en ce qui concerne l’ANL et les données liées à l’instruction des dossiers, et enfin l’Extranet/système pour les données de connexion (identifiants, journaux).

En outre, la Commission relève que pour les foyers qui ne sont pas allocataires d’une ANL, sont également collectés, concernant les enfants à charge, un justificatif de filiation, éventuelle copie  d’un jugement de divorce ou de séparation mentionnant le mode de garde des enfants, copie recto-verso de la carte d’identité d’un enfant majeur, déclaration de grossesse en cas de naissance attendue, et concernant les enfants mineurs en visite, copie du jugement de divorce ou de séparation mentionnant le mode de garde des enfants. Il est également indiqué que des justificatifs relatifs aux ressources et à la composition du foyer seront exigés lors du dépôt d’une demande d’échange écrite. Elle en prend acte.

En outre, sont collectés vis-à-vis des Agents habilités de la Direction de l’Habitat en charge des dossiers :

-  identité : nom, initiale du prénom, code utilisateur (initiale + nom d’usage) ;

-  vie professionnelle : fonction (membre de l’équipe/responsable de l’équipe) ;

-  données d’identification électronique : token de la session ;

-  log de saisie et de mise à jour des informations : données d’horodatage (dont login) et actions effectuées (saisie et modification) ;

-  log de connexion à l’application : données de connexion, données d’horodatage.

Les informations relatives aux agents habilités proviennent soit de la Direction des Systèmes d’Information, soit du système.

La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.

IV.   Sur les droits des personnes concernées

  • Sur l’information préalable des personnes concernées

L’information préalable des personnes concernées est réalisée par le biais d’une rubrique propre à la protection des données accessible en ligne et d’une mention sur le document de collecte.

A été joint au dossier le formulaire d’inscription sur le registre des échanges du secteur domanial d’habitation et les CGUs du téléservice « mon espace Domaines ».

À cet égard, la Commission constate qu’en plus des informations prévues à l’article 14 de la loi n° 1.165, le demandeur se voit d’une part informé que « les informations auxquels [il] a accès au travers du registre ne peuvent être utilisées qu’afin de prendre contact avec une personne susceptible d’échanger son appartement » et qu’ « elles ne peuvent pas être utilisées à d’autres fins », mais il lui est également proposé selon quelle modalité il souhaite lui-même être contacté (courriel, téléphone fixe, mobile ou tous).

Elle estime qu’il serait souhaitable que le demandeur soit invité à informer les membres de son foyer de leur inscription dans le présent traitement.

La notice interne à destination des agents habilités n’est quant à elle pas jointe au dossier.

Aussi, la Commission rappelle que toutes les personnes concernées par le présent traitement doivent bénéficier d’une information préalable conforme aux dispositions de l’article 14 de la loi n° 1.165, modifiée.

  • Sur l’exercice du droit d’accès, de modification et de mise à jour

Le droit d’accès est exercé par courrier électronique, par voie postale et sur place.

S’agissant de l’exercice du droit d’accès par voie électronique, la Commission considère qu’une procédure devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations. À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières comme rappelé dans sa délibération n° 2015-116 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.

Sous cette réserve, la Commission constate ainsi que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.

V.    Sur les destinataires et les personnes ayant accès au traitement

Il est indiqué que les informations nominatives objet du présent traitement sont communiquées au Département des Finances et de l’Économie (Directeur Général, Secrétaire Général et le Conseiller Technique en charge de l’Habitat) par le biais d’un accès aux données en tant que Département de tutelle et dans le cadre de la procédure de validation des échanges.

Les personnes ayant accès au traitement sont désormais modifiées comme suit :

-  les personnels habilités de la Direction de l’Habitat : tous droits ;

-  les personnes habilitées de l’Administration des Domaines : tout accès sur les données relatives à l’État civil permettant l’établissement des baux : accès après validation de la procédure d’échange (pas d’accès aux données financières) ;

-  les personnels de la Direction des Systèmes d’Information (DSI) : accès techniques considérant les missions MCS et MCO et attributions de la DSI ;

-  le prestataire qui assure la maintenance applicative en lien avec la DSI ;

-  les usagers inscrits : les personnes inscrites au registre des échanges peuvent consulter les informations relatives aux appartements proposés à l’échange et accéder aux coordonnées de contact pour ce bien sur le site Web ou sur papier, à l’accueil de la Direction de l’Habitat.

En ce qui concerne le recours à des prestataires, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d’accès de ces derniers doivent être limités à ce qui est strictement nécessaire à l’exécution de leurs contrats de prestation de service. De plus, lesdits prestataires sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.

Sous ces réserves, la Commission considère que ces accès sont justifiés.

VI.   Sur les interconnexions

Le présent traitement est interconnecté avec les traitements légalement mis en œuvre suivants :

-  « Gestion des habilitations et des accès au Système d’information », afin de permettre aux personnes habilitées l’accès au traitement ;

-  « Gestion locative », afin de permettre au service de disposer des données permettant d’élaborer les baux et documents associés dans le prolongement de l’attribution du logement ;

-  « Gestion dématérialisée des relations entre les locataires et occupants avec l’Administration des Domaines » pour l’hébergement du site et la création d’un compte utilisateur au locataire souhaitant échanger son appartement.

Il est en outre rapproché avec les traitements légalement mis en œuvre suivants :

-  « Assistance aux utilisateurs par le Centre de Service de la DRSI » ;

-  « Gestion des accès dédiés au Système d’information du Gouvernement » ;

-  « Gestion de la messagerie professionnelle ».

La Commission constate que ces rapprochements et interconnexions sont réalisés dans le respect des finalités initiales et considère donc qu’ils sont conformes aux exigences légales.

VII. Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.

Toutefois, l’architecture technique du système repose sur des équipements de raccordement (switchs, routeurs, pare-feux) de serveurs et périphériques qui doivent être protégés par un login et un mot de passe réputé fort et les ports non utilisés doivent être désactivés.

De plus la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception.

En outre, les accès à l’application métier par la DSI (ainsi qu’aux sauvegardes), qui lui permettent de consulter des données sensibles au sens de l’article 12 de la loi n° 1.165, doivent générer des remontées d’alertes à des personnels habilités déterminés, ce qui devra permettre de vérifier si lesdits accès ont été préalablement justifiés ou devront l’être.

La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

VIII. Sur la durée de conservation

Le responsable de traitement indique qu’en ce qui concerne les demandeurs et leurs foyers, les informations sont conservées 1 an renouvelable à la demande de l’usager, sans tacite reconduction.

La Commission rappelle que par délibération n° 2011-19, elle relevait que le responsable de traitement indiquait que « Lorsque l’inscription se termine par un échange, l’anonymisation de la fiche de gestion est automatique et la Direction de l’Habitat anonymise manuellement la fiche de gestion des accès. Dans les autres cas, l’anonymisation est faite un an après la fin de l’inscription au Registre ».

Il est désormais indiqué que lorsque le dossier est clos, la demande et les documents associés sont conservés pendant 5 ans, et le formulaire d’inscription sur le registre du secteur domanial d’habitation est supprimé 5 ans après la clôture de la demande. Il est précisé que « la durée de conservation des données doit être envisagée en tenant compte du cycle de vie des données des locataires et allocataires, et du logiciel commun utilisé par la Direction de l’Habitat et l’Administration des Domaines pour mener à bien leur mission ».

La Commission ne relève toutefois aucune justification nécessitant d’étendre les durées de conservation préalablement admises, et conformes aux textes encadrant le registre. Elle demande donc à ce que la durée de conservation ne soit pas étendue.

Elle relève toutefois qu’il est légitime pour le responsable de traitement de reporter dans l’historique de la gestion locative (relevant de l’Administration des Domaines) le motif de l’entrée en logement d’un locataire comme relevant d’une proposition d’échange acceptée par la Direction de l’Habitat. De même, il est légitime que certaines données nouvellement collectées ne soient pas supprimées de la solution « puisqu’elles seront utilisées par l’Administration des Domaines pour l’établissement des nouveaux baux des locataires ayant échangé leurs appartements ».

Enfin, les informations relatives aux agents habilités sont conservées :

-  3 mois après le départ de l’agent en ce qui concerne son nom et sa vie professionnelle ;

-  tant que le dossier du demandeur est traité par l’agent dans le système en ce qui concerne le code utilisateur et les logs de saisie ;

-  le temps de la durée de la session pour les données d’identification électronique ;

-  12 mois en ce qui concerne les logs de connexion de l’application.

La Commission considère que ces délais sont conformes aux exigences légales.

Après en avoir délibéré, la Commission :

Prend acte que sont collectées des données complémentaires strictement nécessaires à l’établissement du profil des besoins locatifs des demandeurs qui ne bénéficient pas de l’ANL.

Recommande que le demandeur soit invité à informer les membres de son foyer de leur inscription dans le présent traitement.

Considère qu’une procédure relative au droit d’accès par voie électronique devra être mise en place afin que le responsable de traitement puisse s’assurer que l’expéditeur du courriel est effectivement la personne concernée par les informations.

Demande que :

-  le responsable de traitement s’assure que les personnes qui ne souhaitent qu’accéder aux échanges d’appartements ne soient pas enrôlées automatiquement dans le traitement ayant pour finalité « Gestion dématérialisée des relations entre les locataires et occupants avec l’Administration des Domaines » si elles s’inscrivent sur le téléservice ;

-  les accès à l’application métier par la DSI (ainsi qu’aux sauvegardes), qui lui permettent de consulter des données sensibles au sens de l’article 12 de la loi n° 1.165, génèrent des remontées d’alertes à des personnels habilités déterminés ;

-  les durées de conservations ne soient pas étendues à 5 ans à compter de la clôture d’un dossier, que l’échange soit réalisé ou que la demande soit clôturée, mais demeurent conformes aux délais mentionnés dans la délibération n° 2011-19, susvisée.

Rappelle que :

-  tant en consultation sur place que par le bais du site Internet dédié, en application du texte réglementaire, les demandeurs doivent uniquement « consulter les offres correspondant à la typologie à laquelle ils peuvent prétendre » ;

-  toutes les personnes concernées par le présent traitement doivent bénéficier d’une information préalable conforme aux dispositions de l’article 14 de la loi n° 1.165, modifiée ;

-  la copie ou l’extraction d’informations issues de ce traitement doit être chiffrée sur son support de réception ;

-  les équipements de raccordement (switch, routeurs, pare-feux) serveurs et périphériques doivent être protégés par un login et un mot de passe réputé fort et que les ports non utilisés doivent être désactivés.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, de la modification du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des échanges d’appartements au sein du secteur domanial d’habitation ».

Le Président de la Commission de Contrôle des Informations Nominatives.

Visualiser le journal
au format PDF 1,54 MB
Télécharger le journal
au format PDF 1,54 MB
Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14