|
Informatique
et libertés : les normes de la CNIL I. La
norme CNIL simplifiée n° 21 applicable à la gestion immobilière II. commentaires
(rapport cnil 2003) 1. fichiers des impayés locatifs 2. recouvrement des créances locatives B. autres fichiers de débiteurs 1. Fichiers des opérateurs de téléphonie 2. fichiers des cabinets de recouvrement de
créances Les pouvoirs et l’organisation de la Commission Nationale pour l’Informatique et les Libertés (CNIL) vont être profondément remaniés par un projet de loi qui sera prochainement présenté au Parlement.. L’étude consacrée à l’incidence de la Loi Informatique et Libertés tiendra compte de ces modifications. Dès à présent nos lecteurs trouveront ci dessous le texte de la norme simplifiée n° 21 applicable désormais à la gestion immobilière (copropriété et gestion locative). Elle abroge la précédente norme du 26 mai 1981. I. La norme CNIL simplifiée n° 21 applicable à la gestion immobilière Délibération n°
99-055 du 18 novembre 1999 relative à la gestion et aux négociations des
biens immobiliers (Journal Officiel du 18 décembre 1999) La Commission nationale de l'informatique et des libertés Vu les articles 6, 17 et 21 (1 ) de la loi n 78-17 du 6 janvier 1978
relative à l'informatique, aux fichiers et aux libertés habilitant la
Commission nationale de l'informatique et des libertés à édicter, en vertu de
son pouvoir réglementaire, des normes simplifiées concernant certains
traitements automatisés d'informations nominatives ; Considérant que, pour l'application de l'article 17 susvisé, il faut entendre par norme simplifiée l'ensemble des conditions que doivent remplir certaines catégories les plus courantes de traitements pour être regardées comme ne comportant pas de risques d'atteinte à la vie privée et aux libertés et comme pouvant dès lors faire l'objet d'une déclaration simplifiée ; Considérant que certains traitements automatisés portant sur la gestion et les négociations des biens immobiliers sont de ceux qui peuvent, sous certaines conditions, relever de l'article 17 susmentionné, Décide : Norme simplifiée relative à la gestion et aux négociations des biens immobiliers. Article 1er Les dispositions de la présente
décision concernent les traitements automatisés d'informations nominatives
relatifs à la gestion et aux négociations des biens immobiliers mis en œuvre
par toute personne publique ou privée. Pour pouvoir faire l'objet de la procédure
de déclaration simplifiée, ces traitements doivent : · ne porter que sur des données objectives aisément contrôlables par les intéressés grâce à l'exercice du droit individuel d'accès ; · n'appliquer à ces données que des logiciels dont les résultats puissent être facilement contrôlés ; · ne pas procéder à des cessions ou locations des contenus des fichiers de l'organisme ; · ne pas donner lieu à des interconnexions ou échanges autres que ceux nécessaires à l'accomplissement des fonctions énoncées à l'article 2 ci-dessous ; · comporter des dispositions propres à assurer la sécurité des traitements et des informations et la garantie des secrets protégés par la loi ; . · satisfaire en outre aux conditions énoncées aux articles 2 à 6 ci-dessous. Article 2 Finalité du
traitement Le traitement ne doit pas avoir d'autres fonctions que : a) D'établir le quittancement des loyers : l'émission de titres de recettes des locations et la gestion des relances, le décompte des taxes et charges y afférentes, la régularisation des charges, les pièces comptables nécessaires au recouvrement et à la gestion des comptes des locataires concernés ; b) D'assurer la gestion des sociétés civiles immobilières, des sociétés ayant pour objet la construction, des coopératives et des syndicats de copropriété, des associations syndicales libres et des immeubles en jouissance à temps partagé : la comptabilité de ces organismes, la tenue des comptes des intéressés, la convocation aux assemblées générales, les lettres de relance, les appels de fonds ; c) D'établir la gestion des mandats de gérance : la comptabilité du mandat de gérance, la tenue des comptes des propriétaires la tenue des comptes des locataires, la déclaration des revenus fonciers ; d) D'assurer les opérations de négociation immobilière. Article 3 Catégories
d'informations traitées Dès lors que les dispositions de l'article 27 de la loi n 78-17 du 6 janvier 1978 ont été respectées lors du recueil des informations traitées, celles-ci doivent relever seulement des catégories suivantes : a) Nom, nom marital, prénoms, adresse, numéro de téléphone, code interne de traitement permettant l'identification du locataire ou du candidat à la location et, le cas échéant, de sa caution, de l'acquéreur ou du candidat à l'acquisition, du copropriétaire ou du propriétaire, de l'associé (à l'exclusion du numéro d'inscription au répertoire national d'identification) ; État civil complet, date et lieu de naissance, nationalité du copropriétaire, du propriétaire, de son conjoint s'il a des droits dans la copropriété, de chacun des coindivisaires en cas d'indivision, du ou des titulaires des droits visés à l'article 6 du décret du 17 mars 1967 ; coordonnées du mandataire commun en cas d'indivision ou du gérant qui gère les lots ; b) Identité bancaire ou postale ; c) Situation familiale et, le cas échéant, composition du foyer du candidat à la location et situation familiale du locataire ; d) Situation professionnelle, coordonnées de l'employeur du candidat à la location et du locataire ; e) Ressources du candidat à la location, du locataire et, le cas échéant, de sa caution ; f) Logement : caractéristiques du logement ou des biens immobiliers, conditions de location ou d'accession à la propriété, date d'entrée et de départ, montant du dépôt de garantie, calcul du droit de bail, montant du loyer, nature et montant des charges, des travaux d'entretien et d'amélioration et nature des prêts consentis et des modalités de remboursement, compagnie d'assurance, numéro de police du locataire ; g) Numéro d'inscription à la Caisse d'allocations familiales du bénéficiaire exclusivement pour permettre le versement de l'aide personnalisée au logement ; h) Disponibilités financières du candidat à l'acquisition d'un bien immobilier. Article 4 Durée de conservation Les informations nécessaires aux traitements automatisés d'informations nominatives définies aux articles 1er, 2 et 3 ne doivent pas être conservées après le règlement du solde de l'intéressé ou la rupture de la relation contractuelle, à l'exception des informations nécessaires à l'accomplissement des obligations légales. Les informations relatives au candidat à la location ne peuvent être conservées que si la location est effectivement réalisée. A défaut de location, ces informations doivent être supprimées en cas de non-renouvellement de la demande dans un délai de trois mois. Article 5 Destinataires des
informations Peuvent seuls, dans les limites de leurs attributions respectives, être destinataires des informations les concernant : · les services chargés de la gestion et de la comptabilité des immeubles ; · l'organisme financier teneur du compte du locataire, de l'accédant ou du propriétaire ; · les auxiliaires de justice et les officiers ministériels dans le cadre de leur mission de recouvrement de créances ; · les services publics, exclusivement pour répondre aux obligations légales. Article 6 La norme simplifiée instituée par la délibération n 81-54 du 26 mai 1981 est abrogée. II. commentaires (rapport cnil 2003) On trouve dans le rapport 2003 de la CNIL des indications utiles au sujet des prescriptions relatives à l’exploitation des données personnelles. Ces indications concernent aussi bien le secteur des professionnels immobiliers que des secteurs voisins mais astreints aux mêmes contraintes. 1.
fichiers des
impayés locatifs La CNIL traite à ce sujet du fichier des incidents de
paiement locatifs (FIPL) mis en place par une société privée, et de
l’extension du fichier d’incidents de paiement dénommé « fichier national des
incidents de paiement » (FNIP) de la société BGD aux créances civiles en matière de logement, de téléphonie et
d’assurances. Ces fichiers n’étaient accessibles qu’à des professionnels
de l’immobilier dotés d’une carte professionnelle. Les impayés ne pouvaient faire l’objet d’une inscription
que sur le fondement d’une clause du bail prévoyant cette possibilité. De
plus, les bailleurs du secteur social n’avaient pas accès au fichier. Le respect
de ces conditions par le FIPL avait incité la CNIL à constater la conformité
des fichiers aux dispositions de la loi du 6 janvier 1978. Le FNIP avait
bénéficié d’une position identique malgré le « caractère stigmatisant du
traitement » relevé lors du contrôle. Dans un
autre cas le fichier déclaré est accessible à « tout propriétaire loueur
d’immeuble ». L’accès n’est pas subordonné à l’existence d’une clause
dans le bail. De plus le fichier peut comporter mention de condamnations
civiles du locataire débiteur. Or la CNIL, en présence d’une déclaration
aussi surprenante, se déclare impuissante à sévir et regrette d’avoir dû
délivrer le récépissé prévu par l’article 19 de la loi, en se bornant à
avertir l’impétrant de ces anomalies. Elle fait valoir un éventuel
détournement de finalité et le défaut de loyauté de la collecte des données
en l’absence de clause dans le bail (articles 25 et 27 de la loi). C’est
l’incompétence de la CNIL à l’égard du secteur privé qui impose cette solution. 2.
recouvrement des
créances locatives La CNIL
reconnaît que les professionnels immobiliers peuvent en effet être tenus
responsables par les tribunaux du non-paiement du loyer par le locataire
qu’elles ont choisi si, selon les termes employés, « ils ne font pas
diligence pour vérifier la solvabilité du locataire »[1]. Elle
reconnaît également que la souscription d’assurances contre le défaut de
paiement des loyers et la lutte contre le blanchiment d’argent exige le recueil
et l’enregistrement de certaines données personnelles. a)
la
nouvelle norme Ces
constatations justifient l’adoption d’une nouvelle norme qui précise de nouvelles
finalités et permet le recueil d’un plus grand nombre d’informations. Le
rapport ajoute que « la norme a été étendue au minitel et à internet.
Ces nouvelles technologies, aujourd’hui largement répandues dans le secteur
de l’immobilier du fait de la généralisation des sites d’annonces
immobilières, de gestion d’immeubles ou encore des services intranet mis en
place par des syndicats de copropriétaires, peuvent désormais faire l’objet
d’une déclaration simplifiée. ». Enfin,
face à l’essor considérable des dispositifs de contrôle d’accès dans les immeubles
d’habitation (badges, cartes à puces ou « sans contact »), la Commission a
souhaité permettre un allègement des formalités relatives à la mise en oeuvre
de ces systèmes s’ils ne permettent pas l’enregistrement des traces de
passage des occupants. Elle a ainsi autorisé l’application de la norme à la
gestion de l’attribution des dispositifs de contrôle d’accès en excluant les
systèmes permettant la mémorisation des horaires d’entrée et de sortie des
occupants en raison des dangers qu’ils présentent au regard de la vie privée.
b)
l’analyse
de solvabilité Dans le
secteur locatif social, la finalité « recouvrement de créance » a été admise
par la Commission dès 1997 (modification de la norme simplifiée no 20). À la
demande des professionnels du secteur privé, et compte tenu de la
généralisation de tels traitements par les agences immobilières, la norme
simplifiée no 21 est aujourd’hui élargie, selon les termes demandés par les
professionnels eux-mêmes, à « l’analyse de solvabilité et au recouvrement de
créance ». Il s’agit de permettre aux bailleurs mandataires de s’entourer de
précautions et de garanties suffisantes pour s’assurer de la capacité de
financement du preneur d’un bien immobilier. Toutefois les traitements de «
calcul automatisé de l’appréciation du risque » demeurent interdits. La CNIL
insiste sur le fait que « les nouvelles informations autorisées sont la
conséquence directe des nouvelles finalités envisagées par la norme modifiée
: ainsi l’adresse électronique des intéressés résulte de la prise en
compte des nouvelles technologies, les coordonnées et l’identifiant des
porteurs de badges de l’extension aux dispositifs de contrôles d’accès.
Mais la plupart des informations désormais autorisées participent à un
renforcement de la sécurité des transactions s’agissant tant du contrôle
d’identité des co-contractants que de l’analyse de la solvabilité des
preneurs. « Ainsi
la Commission a considéré que les informations relatives à la nationalité
et aux date et lieu de naissance des candidats locataires et de leur
éventuelle caution sont utiles dans le cadre de l’extension de la norme au
recouvrement de créance (elles doivent notamment figurer dans l’acte
d’assignation). De telles données permettent en outre aux professionnels de
s’assurer de l’identité des intéressés selon les obligations qui leur
incombent en application des dispositions relatives à la lutte contre le
blanchiment de capitaux provenant du trafic de stupéfiants. À cet effet,
elles sont aussi recueillies s’agissant du vendeur ou encore de l’acquéreur
d’un bien immobilier. » Le régime
matrimonial du vendeur, de l’acquéreur, du propriétaire d’un bien immobilier
est une information qui peut être recueillie. Il s’agit là encore d’entourer
les actes de négociation ou de gestion immobilière de certaines garanties et
de s’assurer de la capacité des intéressés à contracter en vérifiant qu’ils
disposent de droits sur les biens immobiliers concernés. La
Commission n’a en revanche pas estimé pertinent le recueil du régime matrimonial
du locataire ou de sa caution du fait de la solidarité qui pèse sur les deux
époux en application de l’article 1751 du Code civil. La
conclusion d’un pacte civil de solidarité par le locataire,
l’acquéreur ou le propriétaire d’un bien immobilier pose un problème
spécifique. L’information relative à l’engagement du futur locataire dans un
pacte civil de solidarité constitue pour les bailleurs une garantie supplémentaire
dans la mesure où elle instaure un principe de solidarité s’agissant
notamment du paiement du loyer. Sur le
fondement de ce même principe de solidarité qui concerne aussi les charges de
copropriété ou encore les emprunts relatifs à l’achat de la résidence principale,
la Commission a autorisé le recueil de cette information s’agissant du
copropriétaire, du propriétaire ou encore de l’acquéreur d’un bien immobilier
mais l’a refusé s’agissant de la caution du locataire. La
Commission, consciente de la nécessité pour le professionnel de s’entourer de
certaines précautions, a néanmoins souhaité en fixer les limites dans le
cadre d’une norme simplifiée. Les informations non prévues dans ladite norme
peuvent, le cas échéant, être envisagées dans le cadre d’une déclaration
ordinaire, sous réserve d’une appréciation au cas par cas de leur pertinence.
B. autres fichiers de débiteurs Le rapport traite également des problèmes relatifs aux fichiers des opérateurs de téléphonie et des cabinets de recouvrement de créances. 1.
Fichiers des
opérateurs de téléphonie Le fichier Préventel a été créé par
le GIE Préventel
(GIE Prévention Télécommunications) avec pour finalité la prévention des
impayés, dans le secteur de la téléphonie mobile, et dans celui de la
téléphonie fixe. Les principales difficultés constatées étaient liées à
l’alimentation du fichier. La plupart des réclamations provenaient de clients
contestant le bien-fondé ou le montant de la somme mise en recouvrement. La
CNIL a recommandé, dans ce cas, que la situation des clients contestant le montant ou le
fondement juridique de la somme dont le paiement leur était réclamé, devait
faire
l’objet, par les opérateurs qui
sollicitaient leur inscription dans le fichier Préventel, d’une instruction
contradictoire conduite dans un délai raisonnable, de façon non automatisée,
assortie de la suspension du processus d’inscription dans le fichier
Préventel. En 2002,
la CNIL a constaté que les réclamations des débiteurs venaient à elle, faute
d’avoir reçu réponse des membres du GIE, en raison de « dysfonctionnements »
des services juridiques, commerciaux ou de recouvrement de leurs opérateurs
de téléphonie (absence de gestion et de coordination entre ces services).. D’autres
critiques portaient sur la consultation du fichier Préventel. Des confusions
de personnes étaient possibles. Le système indiquait que le fichier
permettait d’indiquer qu’il existait des réponses « phonétiquement approchée
» du nom recherché ou, se rapportant à un « homonyme né le même jour mais
dans un autre département ». La prise en compte de ces indications erronées
pouvait générer un refus de souscription du contrat ou l’exigence d’un dépôt
de garantie. Des améliorations importantes ont été constatées en 2003,
attestées par une baisse significative du nombre des réclamations. Il a été
vérifié que le paramétrage
de la fonction dite du « phonétiquement approché » était à l’origine
de l’afflux de telles réclamations pendant l’année 2002. Le nouveau
paramétrage de cette application informatique, demandé par la Commission,
paraît manifestement efficace. Mieux encore, pour la CNIL, ces résultats
tendent également à réfuter l’argument selon lequel il existerait une « part
incompressible d’erreurs » qui serait due à la mise en oeuvre d’un fichier
comportant un nombre important de personnes. Néanmoins
des critiques restent formulées au sujet de l’instruction contradictoire
des réclamations, et du maintien de l’enregistrement au fichier en
contradiction avec le « droit à l’oubli », la dette étant
payée ou le litige réglé. 2.
fichiers des
cabinets de recouvrement de créances Le rapport formule différentes observations relatives aux irrégularités constatées dans l’exploitation des fichiers de débiteurs par les cabinets de recouvrement de créances mandatés par des créanciers. Il admet toutefois que, d’une manière générale, les principes généraux de la loi sont respectés. a)
irrégularités
courantes La CNIL relève des difficultés relatives à l’exercice du droit d’accès et au droit de rectification des données enregistrées. Elle insiste sur le fait que la communication des données doit être effectuée en langage clair. Elle attire l’attention sur l’utilisation des zones dites « bloc-notes
». On y trouve pour chaque dossier la consignation de « l’ensemble
des événements affectant l’instruction des dossiers de recouvrement, souvent
de façon inutilement exhaustive. » Ce mode de saisie linéaire
n’est pas sans poser de problèmes au regard de la nécessaire pertinence des
données. Indépendamment des
observations formulées dans le rapport, on sait qu’une telle pratique est
courante dans les services de recouvrement des syndics de copropriété
professionnels. C’est ainsi qu’on avait trouvé dans des zones
« bloc-notes » des mentions comportant des appréciations
subjectives d’une préposée, souvent mal venues et parfois racistes. Ces zones
n’apparaissent pas dans les états « papier » qui peuvent être
établis à l’intention du dirigeant. Les infractions au droit à l’oubli posent le
problème de la conservation des archives. Pour la CNIL le maître du fichier a
« l’obligation de ne conserver les informations que le temps nécessaire
à l’accomplissement de la finalité poursuivie, c’est-à-dire jusqu’à la
clôture du dossier de recouvrement quel qu’en soit le motif. ». En
conséquence « la mise à disposition du créancier d’un historique des
dossiers confiés au travers d’un extranet, paraît admissible dès lors qu’elle
ne concerne que des informations limitées au numéro du dossier, à
l’identification des parties et montant de la créance recouvrée. Dans un tel
cas, la communication de l’historique ne fait que rendre accessible à un
destinataire légitime des informations conservées pour des raisons
comptables. » La conservation des autres données fait apparaître des
risques de détournement de finalité et de manquement à la sécurité et à la
confidentialité. Elle multiplie aussi les risques d’homonymie. Ces règles applicables à l’externalisation des tâches de
recouvrement semblent, pour la CNIL, s’appliquer de même manière en cas de
traitement interne. Le syndic de copropriété devrait éliminer les
« autres données » de son fichier. Or il peut en avoir besoin à
l’occasion d’un recouvrement ultérieur puisque les tribunaux retiennent
occasionnellement la répétition de situations débitrices pour caractériser
l’existence d’un préjudice particulier du syndicat créancier. Le syndic ne saurait,
en toute hypothèse, être empêché de conserver un dossier « papier »
de recouvrement. Le « droit à l’oubli » se présente alors comme une
mesure de protection du débiteur parfaitement illusoire. b)
Archivage
électronique La
Commission a été conduite à attirer l’attention des organismes sur les précautions
devant entourer les procédures d’archivage électronique afin de les rendre
comptables avec l’obligation de ne conserver les données que pour une finalité
déterminée. La Commission a notamment rappelé l’utilité de la séparation physique
des bases de données destinées à la gestion courante et celles destinées à
l’archivage. Elle a été conduite à évoquer ce que l’on pourrait considérer
comme les conditions optimales permettant de concilier le développement de
l’archivage électronique avec les principes posés par la loi du 6 janvier
1978, se matérialisant non pas en une copie (même sécurisée) de la base de
données à l’identique sur un autre support, mais en une extraction de la base
dans un format non indexé ne pouvant être lu que par une application
spécifique. c)
Sécurité
des traitements Le
rapport constate le caractère satisfaisant des moyens déployés pour assurer
la sécurité des systèmes informatiques et la confidentialité des
données enregistrées. En revanche,
les échanges d’informations sous forme électronique avec les clients
contenant (en pièces jointes ou non) les informations nominatives des débiteurs
présentent une vulnérabilité certaine : ils se font en général en mode non
crypté. Les représentants des organismes contrôlés, quelle que soit leur
taille, ont indiqué ne pas avoir la possibilité d’imposer à leurs clients les
formats et moyens de protection des données échangées. Un des organismes a développé
un logiciel, fourni gratuitement aux clients, destiné à sécuriser les
échanges et à permettre une meilleure intégration dans l’application. Le
développement de services aux clients par internet peut ainsi favoriser
l’acceptation par les clients de modes d’échanges sécurisés. d)
Recommandations
de la Commission La Commission, sur ces différents points, suggère : · l’établissement de règles d’archivage et la mise en oeuvre de mesures propres à assurer le caractère pertinent, adéquat et non excessif des informations collectées, la vérification du bon fonctionnement du dispositif d’accès aux dossiers par internet ; · l’effacement des données dénuées de pertinence ou des articles 30 et 31 de la loi du 6 janvier 1978 (données sensibles et informations relatives aux infractions et condamnations) et un renforcement des instruments destinés au contrôle du contenu des zones « bloc-notes » ; · la remise à plat de l’ensemble du processus de traitement des dossiers de recouvrement afin d’aboutir « à une configuration exemplaire » comprenant une procédure automatisée d’archivage des données, une purge systématique des zones bloc-notes, le renforcement des mesures destinées à assurer la sécurité des traitements, la mise en place d’un code de conduite en interne, d’un code de déontologie à destination des prestataires et de recommandations pour les mandants, et la régularisation des dossiers de formalités préalables ; · l’interdiction immédiate de l’utilisation des zones bloc-notes à l’ensemble des collaborateurs et la suppression manuelle des informations non pertinentes, dans l’attente de l’intégration d’une solution logicielle permettant de purger les zones bloc-notes des dossiers clôturés et remplaçant les zones bloc-notes par des champs de saisie préformatés. Les observations formulées méritent l’attention des professionnels immobiliers. |
Mise à jour |
[1] C’est à tort que le CNIL réserve ses observations aux seuls agents immobiliers. Nous l’avons donc étendue aux professionnels immobiliers assurant la gestion locative.