Rapport D'audit

Rappor t d'audit
! "Confor#it C$ % & "'

tabli par le Cabinet en excution de l'appel d'offres 2012/M0059 Loi 78-17 du 6 janvier 1978 modifie Article premier Linformatique doit tre au !ervice de c"aque cito#en$ %on dveloppement doit !oprer dan! le cadre de la coopration internationale$ &lle ne doit porter atteinte ni ' lidentit "umaine( ni au) droit! de l"omme( ni ' la vie prive( ni au) li*ert! individuelle! ou pu*lique!$+
Paris, 16 a ril 2012
www.cabinet-cilex.com info@cabinet-cilex.com tl. 04 67 21 45 85 fax. 04 67 21 57 95
5, rue du octeur !lemin" # $4500 %&ier'

()* +,(-*./001,*1(*+-2 !- 95 $90 88$ 288 3+-2( $90 88$ 288 000$2
Prsentation du contexte
Ce rapport a t tabli dans le cadre de la #ission pr ue par l'appel d'offres 2012/M0059, ! Prestations d'audit C$%& ', #is par Paris (abitat)*P( le 15 f ier 2012, et attribu au Cabinet Cilex par c+oix du Conseil d'ad#inistration du 2,/2/2012, notifi le 1er #ars 2012Cet appel d'offre faisait suite . la #ise en de#eure 2011)0/0, dcide . l'encontre de Paris (abitat)*P( par la Co##ission $ationale de l'%nfor#ati1ue et des &iberts 2C$%&3 le 22/12/2011- Cette #ise en de#eure a t rendue publi1ue par la C$%& dbut f rier 2012 suite . sa dcision 2012)01/ du 10 4an ier 2012- Ces dlibrations ont t trans#ises . Paris (abitat)*P( le 20 4an ier 2012Cette #ission a t ralise dans les locaux de Paris (abitat)*P( du 25 f rier au 19 #ars 2012$ous re#ercions l'ense#ble des personnes rencontres pour leur disponibilit, leur forte i#plication et leur 6rande transparence-
Cabinet C%&78
Rapport d'9udit : Paris (abitat
2/,/
Contenu
Prsentation du contexte----------------------------------------------------------------------------------------------------------------------------------------------------------2 Contenu--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------/ *b4ectifs de la #ission---------------------------------------------------------------------------------------------------------------------------------------------------------------,
) %dentification des causes----------------------------------------------------------------------------------------------------------------------------------------------------------------, ) ;alidation du plan d'actions---------------------------------------------------------------------------------------------------------------------------------------------------------,
Prsentation du contenu-----------------------------------------------------------------------------------------------------------------------------------------------------------5 <roule#ent de l'audit--------------------------------------------------------------------------------------------------------------------------------------------------------------6 =ection 1 : >refs rappels sur les notions de confor#it %nfor#ati1ue et &iberts -------------------------------------------0
1-1 ) *ri6ine---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------0 1-2 ) Cadre l6al-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------0 1-/ ) Cadre europen---------------------------------------------------------------------------------------------------------------------------------------------------------------------------5 1-, ) ?urisprudence-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------9 1-5 ) $otions de base-------------------------------------------------------------------------------------------------------------------------------------------------------------------------10
=ection 2 : =@nt+Ase des relations a ec la C$%&-----------------------------------------------------------------------------------------------------------11

2-1 ) Calendrier s@nt+ti1ue des ne#ents-----------------------------------------------------------------------------------------------------------------------11 2-2 ) 9nal@se de l'c+an6e initial--------------------------------------------------------------------------------------------------------------------------------------------------12 2-/ ) ContrBles--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------15 2-, ) Priode postrieure au contrBle----------------------------------------------------------------------------------------------------------------------------------------16 2-5 ) Mise en de#eure----------------------------------------------------------------------------------------------------------------------------------------------------------------------16 2-6 ) Publicit de la #ise en de#eure----------------------------------------------------------------------------------------------------------------------------------------15
=ection / : Causes des carts . la confor#it---------------------------------------------------------------------------------------------------------------20

/-1 ) Causes internes-------------------------------------------------------------------------------------------------------------------------------------------------------------------------20 /-2 ) Causes externes------------------------------------------------------------------------------------------------------------------------------------------------------------------------2/
=ection , : C aluation de la confor#it du traite#ent ! Destion locati e '-----------------------------------------------------2,

,-1 ) Eualification du traite#ent--------------------------------------------------------------------------------------------------------------------------------------------------2, ,-2 ) C aluation dtaille------------------------------------------------------------------------------------------------------------------------------------------------------------------26 ,-/ ) =@nt+Ase de l' aluation du traite#ent--------------------------------------------------------------------------------------------------------------------------// ,-, ) 9bsence de iolation de l'esprit et du fond de la loi--------------------------------------------------------------------------------------------------/,
=ection 5 : C aluation du plan d'action---------------------------------------------------------------------------------------------------------------------------/5

5-1 ) Mesures du plan d'action------------------------------------------------------------------------------------------------------------------------------------------------------/5 5-2 ) Pertinence 6lobale-------------------------------------------------------------------------------------------------------------------------------------------------------------------/6
Conclusion------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------/0 =ection 6 : 9nnexes------------------------------------------------------------------------------------------------------------------------------------------------------------------/5

6-1 ) <finitions du ocabulaire ! %nfor#ati1ue et &iberts '------------------------------------------------------------------------------------------/5 6-2 ) CritAres de confor#it des traite#ents de donnes . caractAre personnel---------------------------------------------------/9
Cabinet C%&78
//,/
*b4ectifs de la #ission
&a #ission confie . notre Cabinet est double F

identifier les causes des faits reproc+s, tels 1ue constats par la C$%&, alider le plan d'actions de Paris (abitat)*P(-
$ous prsentons ci)aprAs la #t+odolo6ie utilise lors de cette inter ention-
Identification des causes

&'identification des causes des faits reproc+s a t dcline en deux sries d'anal@ses F l'anal@se de la prise en co#pte 6nrale des ! probl#ati1ues C$%& ' par l'or6anis#e G l'anal@se des relations entre la C$%& et Paris (abitat)*P( sur le dossier spcifi1ue ! Destion locati e '
Validation du plan d'actions
Hne pre#iAre ersion du plan d'actions nous a t re#ise lors du pre#ier co#it de pilota6e du pro4et 225/2/20123- Ce plan d'actions a t co#plt lors de runions de l'*ffice a ec M e 9lain >ensoussan et ses collaborateurs, puis lors des deux runions de tra ail a ec la C$%&<e no#breuses #esures ont t #ises en application a ec clrit : notre aluation porte donc sur les #esures d4. appli1ues aussi bien 1ue sur les #esures en isa6es et prsentes . la C$%&-
Cabinet C%&78
,/,/
Prsentation du contenu
&a bonne connaissance et la bonne application de la loi du 6 4an ier 1905, dite ! loi %nfor#ati1ue et &iberts ', sont . la base de ce dossierIout contrBle, toute dcision de la C$%& porte sur le respect de ce texte et de ses principes G il n'est donc possible de co#prendre les points soule s par la Co##ission et d'en tirer des ensei6ne#ents 1u'. condition de connaJtre ces principes et les critAres de confor#it tablis par la loi
&a pre#iAre section de ce rapport co#porte donc un rapide rappel de ces principes et des critAres de confor#it G une prsentation plus dtaille de ces principes et critAres fi6ure en annexe G &a deuxiA#e section 2pa6es 11 et sui antes3 porte sur le rappel des c+an6es a ec la C$%& sur ce dossier depuis la de#ande d'a is initiale du 21 4uillet 200/ F courrier de la C$%& du 1, #ars 2011, rponse de Paris (abitat)*P( le 11 a ril 2011, sui is des contrBles d'octobre 2011 et des dcisions de #ise en de#eure et de publication de cette #ise en de#eure G &a troisiA#e section 2pa6es 20 et sui antes3 s'attac+e . identifier les causes de la non confor#it F causes 6nrales tout d'abord, principale#ent lies . un dficit de prise en co#pte des probl#ati1ues C$%&, 1ui ont entraJn un ni eau de raction initiale#ent insuffisant G &a 1uatriA#e section 2. partir de la pa6e 2,3 anal@se les causes spcifi1ues au traite#ent ! Destion locati e ', telles 1ue rele es par la C$%& F l'audit ise ici . expli1uer les points rele s par les contrBleurs de la Co##ission G &a cin1uiA#e et derniAre section 2. partir de la pa6e /53 anal@se le plan d'action dfini par Paris (abitat)*P( et prsent . la C$%&-
,ette mi!!ion ne porte pa! !ur l-anal#!e .lo*ale de la conformit de! traitement! de /ari! 0a*itat-1/0$ %i nce!!aire( cette anal#!e !era rali!e par l-1r.ani!me dan! la d#namique initie par le contr2le de la ,34L$
Cabinet C%&78
5/,/
<roule#ent de l'audit
&a p+ase principale d'audit de la #ission s'est droule du 25 f rier au 2 #ars, et a per#is . l'auditeur d'inter ieKer les personnes sui antes F <irecteur 6nral : <irecteur de cabinet ) =ecrtaire 6nral : <irecteur de la 6estion locati e : <irecteur des ressources +u#aines, responsable Lor#ation et deux for#ateurs dans le cadre du dploie#ent de l'infor#ati1ue dans les lo6es : <irecteur des s@stA#es d'infor#ation et c+efs de ser ices : <irectrice ad4ointe des 9ffaires 4uridi1ues : 4uriste c+ar6 de la confor#it infor#ati1ue et liberts : <irecteur ad4oint de l'audit interne ) : <eux 6ardiens : <eux c+ar6s de 6estion locati e : Hne conseillAre sociale : Hn responsable de pBle social : <eux rdacteurs 4uridi1ues&a p+ase de s@nt+Ase a co#port plusieurs audits co#pl#entaires, en particulier . la <irection de la Destion locati e et . la <irection des s@stA#es d'infor#ationCes entretiens ont port sur la politi1ue de 6estion des donnes personnelles, la prise en co#pte de la confor#it %nfor#ati1ue et &iberts dans l'or6anis#e, et sur les aspects or6anisationnels et tec+ni1ues du traite#ent Destion locati e- &ors1ue de#and par les personnes, ils ont co#port un olet d'infor#ation sur les concepts de la loi ! %nfor#ati1ue et &iberts ', les contrBles et la #ise en de#eure de la C$%&<es sances de tra ail co#pl#entaires, plus tec+ni1ues, ont anal@s l'or6anisation de Paris (abitat)*P( et les processus de 6estion de dossiers-
Cabinet C%&78
6/,/
=ection 1 : >refs rappels sur les notions de confor#it %nfor#ati1ue et &iberts

&a notion de ! Confor#it %nfor#ati1ue et &iberts ' ne rfAre pas . la #orale, . une t+i1ue pou ant arier d'une personne . une autre F elle est dfinie par un ense#ble de principes et de critAres prcis#ent tablis par la loiCette confor#it est dfinie par la loi ! %nfor#ati1ue et &iberts ' du 6 4an ier 1905 #odifie G lors de ses contrBles, la C$%& alue le respect de ces critAres-
1.1 Origine
&e 21 #ars 190,, un article du Monde, ! =afari ou la c+asse aux LranMais ' #atrialisa soudain les craintes et les fantas#es des dfenseurs des droits de l'+o##e F le #inistAre de l'%ntrieur pr o@ait d'utiliser un 6rand ordinateur, dont les crdits a aient t ots par le Parle#ent pour 6rer le fic+ier national des constructeurs, pour @ re6rouper les fic+iers de police, des i#pBts, du cadastre, de l'assurance ieillesse, de la carte d'identit : ces donnes de ant Ntre re6roupes sur la base du nu#ro ! de =curit =ociale '&es ris1ues de ! flica6e ' du fait de l'infor#ati1ue taient dnoncs depuis plusieurs annes F en 19,9, ! 195, ' d'*rKell i#a6inait un #onde sous la sur eillance d'un ! >i6 >rot+er ' G au dbut des annes 190/, les 4uristes s'taient saisis de ce ris1ue et en a aient dbattu<e scandale en co##ission d'en1uNte, puis en co##ission de l'9sse#ble $ationale, on aboutit en 1900 . un pro4et de loi, 1ui fut finale#ent ot le 6 4an ier 1905-
1.2 Cadre lgal

1-2-1 &oi du 6 4an ier 1905
<e par son i#portance, le titre de cette loi est rapide#ent de enu clAbre F ! &oi relati e . l'infor#ati1ue, aux fic+iers et aux liberts ' ) dite loi %L&, ou encore ! &oi %nfor#ati1ue et &iberts ', &%&1Mar1ue par ses ori6ines, la loi ri6e le principe de transparence en 6ardien des liberts indi iduelles et publi1ues F tout crateur de fic+ier sera donc tenu de le dclarer . un or6anis#e c+ar6 de eiller au respect de la loi F la Co##ission $ationale de l'%nfor#ati1ue et des &iberts 2C$%&39fin d'assurer cette transparence, toute personne peut de#ander . la C$%& la liste des fic+iers dclars par tout or6anis#e, sans aucune 4ustification&a loi dfinit 6ale#ent des critAres de confor#it F pour Ntre licite, tout fic+ier doit respecter ces critAres- &a C$%& est c+ar6e de rifier ce respect F les dclarations co#portent donc les indications per#ettant d'apprcier cette confor#it-
1-2-2 Rfor#e du 6 aoOt 200,

&a loi de 1905 tait rdi6e de #aniAre . rsister aux olutions tec+nolo6i1ues F elle n'a donc pas ncessit de #ise . 4our pendant de no#breuses annes, et n'a finale#ent t refondue 1u'en 200,, en transposition de la <irecti e 7uropenne 95/,6 C7 de 1995, prsente ci)aprAs-
/eu de loi! !ont ain!i *apti!e! +$
Cabinet C%&78
0/,/
Cette rfor#e de 200, apporte de no#breuses nou eauts9insi, la loi s'appli1ue dsor#ais . des traitement!, et non plus . des fic"ier!- &e traite#ent tant dfini par ses finalits et ses #o@ens, on s'attac+e dsor#ais . approfondir les finalit! du traite#ent, son pour1uoi profond, plutBt 1u'. re#plir des for#ulaires et des annexes co#plexes afin d'ali#enter la #ac+ine bureaucrati1ue de la C$%& G ainsi encore, le no# du lo6iciel #is en Pu re, na6uAre de#and par la C$%&, disparaJt F peu i#porte 1ue la boite du lo6iciel soit bleue ou rose, 1ue la ersion soit 12 ou 20, ce 1ui co#pte, c'est pourquoi on le fait , le reste : les donnes traites, les outilsQ en dcoulant naturelle#ent&a loi renforce 6ale#ent le pou oir de contrBle et de sanctions de la C$%& F d'or6anis#e ad#inistratif, elle olue pro6ressi e#ent ers une position de 4u6e de la confor#it . la loi&a loi per#et 6ale#ent aux or6anis#es de prendre en #ain leur confor#it de #aniAre responsable et autono#e F la rfor#e de 200, per#et de dsi6ner un ! Correspondant . la protection des donnes . caractAre personnel ', alant dispense de ralisation des dclarations . la C$%&- Ce correspondant de ient rapide#ent connu sous le no# de ! Correspondant %nfor#ati1ue et &iberts ' ou C%& G il prend corps a ec le dcret du 20 octobre 2005, 1ui pr oit les conditions de sa dsi6nation et liste ses pou oirs et ses de oirs&a con4onction de cette rfor#e, du renforce#ent des pou oirs de sanction, l'#er6ence de nou elles #enaces et craintes lies . l'explosion d'%nternet et de ses 6ants 2, et la personnalit trAs #diati1ue du Prsident de la C$%& d'alors, 9lex IRrS, aboutissent ainsi . partir de 200, . un renforce#ent considrable de l'acti it et de la isibilit de la C$%&- C'est . partir de cette rfor#e et des pre#iAres sanctions, en #ars 2005, 1ue le #ou e#ent de #ise en confor#it des ad#inistrations et des entreprises dbute relle#ent-
1-2-/ Rfor#es co#pl#entaires

&e droit des donnes personnelles a t co#plt par de no#breux textes F on citera les textes relatifs . la idosur eillance, . la conser ation des 4ournaux de connexion par les fournisseurs de droit d'accAs, . (9<*P% et &*PP=%, au <ossier Mdical Personnel 2<MP3, occasion d'une dfense ac+arne du nu#ro de =curit sociale par la C$%&&e dcret du 20 octobre 2005, 1ui prcisait de no#breux points de la rfor#e de 200,, a t co#plt en 2000Certains dcrets d'application, pr us par la loi de 200,, de#eurent non publis . ce 4our-
1.3 Cadre europen

1-/-1 <irecti e 95/,6 C7 du 2, octobre 1995
=i la Lrance a #is en place la loi ! %nfor#ati1ue et &iberts ' en 1905, elle n'tait pas seule dans ce cas F ainsi, l'9lle#a6ne dispose d'une l6islation de r6ulation depuis 1901, la =uAde depuis 190/%l est rapide#ent apparu 1ue cette protection tait une constante europenne, et une sin6ularit : d'autres r6ions du #onde ne se proccupant pas de ces 1uestions&'Hnion europenne a donc dcid de se doter d'un cadre #ini#al de protection des donnes personnelles, applicable dans tous les pa@s- &a <irecti e 95/,6 C7 de 1995 dfinit ce cadre7n cons1uence, c+acun des #e#bres de l'Hnion a dO transposer cette <irecti e dans son droit national, et dispose donc d'une l6islation de protection et d'une 9utorit de ContrBle-
La ,34L a ain!i parl dan! un rapport annuel du pa!!a.e de 5i. 5rot"er + au) Little %i!ter! +( le! compa.nie! internet qui veulent du *ien au) internaute!6 et ' leur! donne! per!onnelle!$
Cabinet C%&78
5/,/
Hne structure de coordination des 9utorits a 6ale#ent t #ise en place afin de dfinir des positions co##unes et de prendre des dcisions isant . ne pas li#iter le co##erce a ec les autres r6ions du #onde : ainsi les dispositions relati es . l'exportation de donnes personnelles en de+ors de l'Hnion sont)elles dfinies au ni eau de ce 6roupe de tra ail ! de l'article 29 '-
1-/-2 Rfor#e en cours

&a <irecti e de 1995, transpose en droit franMais par la loi de 200,, est actuelle#ent en cours de r ision par la Co##ission 7uropenne- Cette rfor#e pourrait entrer en i6ueur en 201/ ou 201,7n l'tat actuel, cette r ision pr oit d'i#portantes rfor#es, telles 1ue l'obli6ation de dsi6ner un Corres) pondant %nfor#ati1ue et &iberts, le renforce#ent des obli6ations de contrBle et de docu#entation des traite#ents, l'obli6ation d'infor#er la C$%& de tout atteinte aux donnes personnelles, et un net renforce#ent des sanctions encourues : 4us1u'. 2T du c+iffre d'affaires annuel&es obli6ations de l'*r6anis#e en #atiAre de protection des donnes personnelles 1ui lui sont confies seront donc renforces G il est opportun de se prparer . ce renforce#ent au plus tBt-
1.4 Jurisprudence
1-,-1 Dnrale
9u fil des ans, la l6islation %nfor#ati1ue et &iberts a donn lieu . 1uel1ues contentieux et dcisions des tribunaux : en particulier la Cour de Cassation et le Conseil d'CtatCes dcisions de#eurent trAs rares au re6ard des autres do#aines du contentieux, et n'ont 1u'un i#pact li#itC'est certaine#ent l'une des causes de la pau ret de l'ensei6ne#ent de la #atiAre dans les coles et uni er) sits F la for#ation des 4uristes ne co#porte 6uAre plus de 20 +eures d'ensei6ne#ent de la #atiAreQ en 5 ans-
1-,-2 <cisions de la C$%&

<epuis la rfor#e de 200,, la C$%& a produit un abondant olu#e de dcisions F ses opinions, ses dcisions d'tablisse#ent de nor#es si#plifies, ses dcisions d'acceptation ou de refus d'autorisation, les sanctions prononces enfin sont ric+es d'ensei6ne#ents sur la doctrine de la Co##ission F on en dduit ainsi ce 1ui est possible ou pas, au re6ard des principes de confor#it poss par la loi%l faut noter 1ue l. encore, ce corpus de dcisions n'a pas donn pas lieu . des tra aux de s@nt+Ase de la doctrine de la Co##ission- %l de#eure donc fort peu connu-
Cabinet C%&78
9/,/
1.5 Notions de base

1-5-1 Principes
1.5.1.1 rticle !re"ier de la loi
! &'infor#ati1ue doit Ntre au ser ice de c+a1ue cito@en- =on d eloppe#ent doit s'oprer dans le cadre de la coopration internationale- 7lle ne doit porter atteinte ni . l'identit +u#aine, ni aux droits de l'+o##e, ni . la ie pri e, ni aux liberts indi iduelles ou publi1ues- ' Cet article constitue la base profonde de la loi et des dcisions de la C$%&- %l arri e 1ue la Co##ission s'@ rfAre, #N#e en l'absence d'article plus prcis /-
1.5.1.2 !roprit des donnes personnelles

Hn second principe, indirect, est 1ue les donnes relati es . des personnes p+@si1ues appartiennent . ces personnes p+@si1ues F elles doi ent pou oir contrBler en per#anence l'utilisation 1ui en est faite , : et 4u6er ainsi si l'utilisation de l'infor#ati1ue porte atteinte . leur identit, . leur ie pri e ou . leurs libertsIout dpositaire de donnes personnelles : une ad#inistration, un e#plo@eur, un or6anis#e de loisirsQ doit dAs lors pou oir expli1uer dans 1uels buts il collecte et traite ces donnes 2les finalit!3, et pou oir prou er aux personnes 1u'il prend soin de leurs donnes- %l doit #anifester son respect des critAres de confor#it dfinis par la loi %nfor#ati1ue et &iberts-
1-5-2 CritAres de confor#it

&a loi dfinit 1ue le 7e!pon!a*le d'un traitement 6rant des donne! per!onnelle! est l'or6anis#e 1ui dfinit ses finalit! et ses mo#en! G il a l'obli6ation d'tablir et de dclarer cette finalit, 1u'il est l.itime . #ettre en Pu re Gil dfinit les donnes stricte#ent nce!!aire! et proportionne! . l'acco#plisse#ent de cette finalit, et ne les collecte 1ue de #aniAre lo#ale et licite G il eille . leur qualit F ces donnes doi ent Ntre exactes, co#plAtes et #ises . 4our&e Responsable de traite#ent assure la !curit des donnes personnelles et ne les conser e 1ue pendant la dure ncessaire . l'acco#plisse#ent des for#alits G il s'assure du strict respect des conditions d'utilisation des donne! !en!i*le!, li#itati e#ent nu#res par la loi G il assure enfin son obli6ation de tran!parence, en dclarant les traite#ents 1u'il #et en Pu re . la C$%&, et en assurant l'accAs des personnes . leurs donnes dans le cadre de l'exercice de leurs droits d'accAs, de rectification et d'opposition&'annexe 1, pa6e /5 et sui antes, dtaille ces dfinitions de base et critAres de confor#it . la loi- &a C$%& et les tribunaux se basent sur ces critAres pour aluer la confor#it des traite#ents-
Ain!i dan! la dci!ion ,748( 9::6 - "ttp;<<===$le.ifrance$.ouv$fr<affic",nil$do> oldAction?rec"&)p,nil@id?,34LA&BA::::176C1919 ( refu! d-autori!ation de mi!e en Duvre par le con!eil repr!entatif de! in!titution! juive! de 8rance d-un traitement automati! de donne! ' caractEre per!onnel de!tin ' con!tituer un c"antillon de !onda.e ' partir d-un tri !ur le nom de! intre!!!$$ Fe m me que le client d-une *anque peut contr2ler tou! le! jour! le contenu du coffre qu-il loue$
Cabinet C%&78
10/,/
=ection 2 : =@nt+Ase des relations a ec la C$%&

2.1 Calendrier s#nt$ti%ue des &ne"ents
2-1-1 $otification initiale . la C$%& et #odifications de dclaration
&e traite#ent a t dclar en dtail . la C$%& en 200/, selon la procdure d'9 is 2cette procdure a olu en 9utorisation lors de la rfor#e de 200,3'ate :1<:1<9::1 (&ne"ent Fmarra.e de 4G1% Hltrieurement ; mi!e! ' jour de ver!ion!( in!tallation de nouvelle! fonction! et de nouveau) module!( dploiement ' de nouveau) t#pe! d-utili!ateur! I plan ,apitale +( pui! rforme de pro)imit +J$ Hn module Ke!tion tec"nique + in!tall en 9::L a impo! l-lar.i!!ement de! "a*ilitation! <e#ande d'a is . la C$%&, alant $otification du traite#ent ! Destion &ocati e ', nu#ro 56/206 <libration 200/)1,2 du Conseil d'9d#inistration, dcidant de la #ise en place du traite#ent ! Destion &ocati e ', enre6istre . la Prfecture de Paris le 19/12/200/ et publie aux Petites 9ffic+es
21/00/200/ 15/12/200/
A partir de 9::C Fploiement e)primental de! outil! informatique! dan! le! lo.e! /ui! ' partir de 9:1: Fploiement ' .rande c"elle en C va.ue! IauprE! de! volontaire!J 2//02/2010 06/06/2011 Courrier de Paris (abitat)*P( . la C$%&, #odification de la <claration 56/206, prcisant le contenu et les conditions de ralisation d'en1uNtes . des fins statisti1ues 2&R9R3Courrier dtaill de Paris (abitat)*P( . la C$%&, infor#ant la Co##ission de la rflexion de l'*ffice 1uant . la #ise en place d'un *bser atoire social du lo6e#ent, et . la #ise en place d'une expri#entation papier G une dclaration sera adresse ultrieure#ent en cas de dcision de #ise en Pu re relle du traite#ent 2&R9R3-
2-1-2 Plaintes, contrBles et #ise en de#eure

'ate 11/02/2011 1,/0//2011 11/0,/2011 date inconnue de Paris (abitat *P( (&ne"ent Plainte de locataires 2nU C$%& 1100,/2/3 Vaucune trace de courrier de locataires antrieurs ou relatifs . cette plainte . Paris (abitat)*P(W Courrier de la C$%& . Paris (abitat)*P(, affaire 1100,/2/ Rponse du <irecteur de Paris (abitat)*P( Plainte de locataires nU 11026/0,, non co##uni1ue . Paris (abitat)*P( par la C$%&, ! s'in1uitant d'un pro4et isant . per#ettre . tous les 6ardiens de l'*P( d'accder . des donnes personnelles relati es . la ie pri e des locataires ' Vaucune trace de courrier de locataires antrieur ou relatif . cette plainte . Paris (abitat)*P(W<cision C$%& 2011)261C de procder . un contrBle ContrBle de la C$%& au =iA6e de Paris (abitat)*P(, P; 2011)290 ContrBle de la C$%& . la <irection Ierritoriale $ord *uest, P; 2011)/0, Runion a ec le cabinet d'a ocats 6nraliste ContrBle de la C$%& . la lo6e ;illiot, P; 2011)/1, ContrBle de la C$%& . la lo6e C+Xteau des Rentiers, P; 2011)/15 <cision C$%& 2011)0/0, #ise en de#eure . Paris (abitat)*P(Cette dcision rfAre . la <claration 56/206 : #ais indi1ue co##e a@ant t enre6istre le 12 4uillet 2010 2la dclaration initiale date du 21/0/200/3<cision C$%& 2012)01/, la #ise en de#eure est rendue publi1ue Rception si#ultane de la #ise en de#eure et de la dcision de la rendre publi1ue 2rception par
20/09/2011 0,/10/2011 19/10/2011 2,/10/2011 20/10/2011 25/10/2011 22/12/2011
10/01/2012 20/01/2012
Cabinet C%&78
11/,/
'ate le =ecrtaire Dnral3 /0/01/2012 15/02/2012 2,/02/2012 25/02/2012 06/0//2012 12/0//2012 19/0//2012
(&ne"ent <but de l'inter ention du cabinet >ensoussan &ance#ent de l'appel d'offres d'audit et de conseil, pour rponses au plus tard le 22/2/2012 =lection du cabinet Cilex <but de la #ission d'audit Pre#iAre runion de tra ail de Paris (abitat)*P( a ec la C$%& : . l'initiati e de celle)ci =econde runion de tra ail de Paris (abitat)*P( a ec la C$%& Lin de la #ission d'audit
2.2 nal#se de l'c$ange initial

2-2-1 Courrier de la C$%&
Hn courrier du 1, #ars 2011 de la C$%&, suite . une plainte de locataires, a #ar1u le dbut des c+an6es entre la Co##ission et Paris (abitat)*P( Vle! 2rfrences3 ci-de!!ou! !ont ajoute! par nou! W Ce courrier relA e 1ue ! 213 les 6ardiens #ettraient en Pu re des traite#ents auto#atiss de donnes, 223 @ enre6istrant des infor#ations relati es aux locataires, et 2/3 disposeraient 6ale#ent d'un accAs . leur co#pte '&e courrier rappelle ensuite les dispositions de l'article /, sur la scurit des donnes, i#posant de 2,3 prendre toutes prcautions utiles ! pour e#pNc+er 1ue des tiers non autoriss n'aient accAs aux donnes personnelles '- %l indi1ue 1ue ! 253 les 6ardiens d'i##eubles ne paraissent pas +abilits . accder . ces infor#ations ', et 1ue 263 la dclaration du traite#ent auprAs de la C$%& ! ne #entionne pas les 6ardiens au titre des destinataires de donnes relati es aux locataires '&e courrier rappelle enfin 203 les obli6ations de co##unication du responsable de traite#ent en ers les personnes dont les donnes sont traites : sans toutefois prciser le1uel de ces points relatifs . l'infor#ation des personnes n'aurait pas t respect&a C$%& de#ande une rponse sous un #ois-
2-2-2 Rponse de Paris (abitat)*P(

&e 11 a ril 2011, l'or6anis#e a rpondu sous la si6nature de son <irecteur Dnral&a rponse portait sur les points sui ants F
2a3 prsentation du pro4et d'infor#atisation des lo6es, afin 1ue 2b3 les salaris 6ardiens de Paris (abitat *P( puissent 2c3 traiter de #aniAre rapide les de#andes d'infor#ation des locataires et 2d3 co##uni1uer les entuelles rcla#ations au 6estionnaire du dossier&es salaris ont 2e3 reMu une for#ation, rappelant nota##ent la dontolo6ie . obser er en ter#es de confidentialit et 2f 3 sont +abilits confor##ent 263 . leur contrat de tra ail et 2+3 . l'accord collectif d'entreprise relatif aux 6ardiens&a dclaration du traite#ent ! Destion locati e ' indi1ue bien 1ue 2i3 les destinataires sont ! les personnes +abilites en interne ', dont font partie les 6ardiens-
2-2-/ Contexte de la rponse

&a rponse a t labore par la <irection des 9ffaires ?uridi1ues en collaboration a ec la <irection de la Destion locati e et la <irection des s@stA#es d'infor#ation, et trans#ise au <irecteur pour si6nature et en oi . la C$%&-
Cabinet C%&78
12/,/
2-2-, 9nal@se dtaille de la rponse

)uestion de la CNI* 213 les 6ardiens #ettraient en Pu re des traite#ents auto#atiss de donnes 223 ils enre6istrent des infor#ations relati es aux locataires 2a3 prsentation du pro4et d'infor#atisation des lo6es, afin 1ue 2b3 les salaris 6ardiens de Paris (abitat *P( puissent 2c3 traiter de #aniAre rapide les de#andes d'infor#ation des locataires et 2d3 co##uni1uer les entuelles rcla#ations au 6estionnaire du dossierCette prsentation ne rpond pas prcis#ent aux interro6ations de la C$%& F : 1ui #et en Pu re le traite#ent Y &'or6anis#e ou les 6ardiens 2ce 1ui est sous)entendu par le courrier3 Y : pour1uoi infor#atiser les lo6es Y Euel est le contenu de ce pro4et Y : est)ce un traite#ent . part, ou une extension naturelle de la 6estion locati e Y : 1uelles sont prcis#ent les ! infor#ations enre6istres ' Y &es 6ardiens n'enre6istrent pas d'infor#ations sur les locataires, ils saisissent des donnes de 1uel1ues t@pes prcis pour des #issions prcises!as de rponse . ce point 9ucune prcision n'est apporte sur la porte 6o6rap+i1ue de la isibilit, ni sur les donnes isiblesRien n'indi1ue 1ue les 6ardiens n'ont pas accAs . toutes les donnes d'un locataire%l n'@ a pas de prcision G l'+abilitation se#ble de fait, dcoulant de leur statut- Pas d'extrait pertinent des textes ou de rfrence au pro4et CapitalePas de rser es sur l'interprtation de la C$%& 1uant aux fonctions des 6ardiens d'i##eubles, telles 1ue dter#ines par l'or6anis#e pour les besoins spcifi1ues de son or6anisation et de sa #ission de ser ice public&'article /)%% de la loi donne une dfinition trAs particuliAre du ! destinataire ' F il ne peut s'a6ir 1ue d'une entit ou personne extrieure . l'or6anis#e- &es 6ardiens n'ont pas cette 1ualit, ils ne peu ent Ntre des destinataires!as de de"ande de prcisions de !aris ,abitat-O!, . la CNI* !as de rponse . ce point +ponse de !aris ,abitat-O!, +e"ar%ues
2/3 ils disposeraient 6ale#ent d'un accAs au co#pte des locataires 2,3 le responsable de traite#ent doit prendre toutes prcautions utiles ! pour e#pNc+er 1ue des tiers non autoriss n'aient accAs aux donnes personnelles ' 2art- /,3 253 les 6ardiens d'i##eubles ne paraissent pas +abilits . accder . ces infor#ations
&es salaris ont 2e3 reMu une for#ation, rappelant nota##ent la dontolo6ie . obser er en ter#es de confidentialit et 2f 3 sont +abilits confor##ent 263 . leur contrat de tra ail et 2+3 . l'accord collectif d'entreprise relatif aux 6ardiens-
263 la dclaration du traite#ent auprAs de la C$%& ! ne #entionne pas les 6ardiens au titre des destinataires de donnes relati es aux locataires '203 rappel des obli6ations de co##unication du responsable de traite#ent en ers les personnes dont les donnes sont traites 2art- /23
&a dclaration du traite#ent ! Destion locati e ' indi1ue bien 1ue 2i3 les destinataires sont ! les personnes +abilites en interne ', dont font partie les 6ardiens-
2-2-5 9nal@se 6nrale de la rponse

Cette rponse est trop i#prcise et rpond de #aniAre trop 6lobale : elle ne rpond pas spcifi1ue#ent aux points soule s7lle donne l'i#pression sui ante F ! 3ou! avon! dcid d-informati!er le! lo.e!( le! !alari! !ont "a*ilit! et le! interro.ation! de la ,34L ' ce !ujet !ont !an! fondement( le! !alari! !ont form! et la !curit e!t a!!ure - ' &a p+rase finale, ! Au vu de ce qui prcEde la mi!e en place de l-informati!ation pro.re!!ive de! lo.e! e!t conforme ' la dclaration prcite ', e#piAte lar6e#ent sur les prro6ati es de la C$%& F seule la Co##ission peut statuer sur la confor#it d'un traite#ent G le responsable de traite#ent ne peut 1u'esti#er ou aluer 1ue son traite#ent est confor#e-
2-2-6 9nal@se des conditions de rponse

&'audit note les points sui antsF

le courrier de de#ande de la C$%& n'a pas reMu l'attention 1u'il #ritait 2! le tocsin n'a pas t sonn ', selon l'expression d'une personne audite3 G il n'@ a pas eu de contacts de tra ail ou d'claircisse#ent a ec la C$%& sur le dossier 2le point 203 aurait 4ustifi un tel contact F 1uelle obli6ation est ise prcis#ent Y3 G il n'@ a pas eu de relation directe entre la <irection et la 4uriste de la <9? en c+ar6e de la rponse G la rponse a t labore en incorporant des l#ents de la <irection de la Destion &ocati e et de la <=% 2c+an6es par #essa6erie3 G pas de recours . un conseil tiers G sur ces trois derniers points, un 6roupe de tra ail de prparation de la rponse aurait t une #esure adapte G aucune piAce co#pl#entaire n'a t 4ointe . la rponse-
9u final, le courrier de rponse n'est pas asseZ circonstanci, et ne rpond pas point . point aux interro6ations de la C$%&Par ailleurs, les plaintes 1100,/2/ et 11026/0, ises par la C$%& dans la #ise en de#eure 2011)0/0 du 22/12/2011 n'ont fait l'ob4et d'aucun courrier reMu par Paris (abitat)*P( de la part des plai6nants- Ceci peut s'anal@ser par des plaintes directes des locataires . la C$%&, ou par un #au ais traite#ent de ces courriers- &es personnes audites considArent toutefois cette seconde +@pot+Ase +aute#ent i#probable-
2-2-0 %#pact de la rponse

%l est raise#blable 1ue cette rponse trop i#prcise a contribu . la dcision 2011)2061 de dili6enter le contrBle 220/9/20113Ioutefois, #N#e une rponse plus prcise et ar6u#ente n'aurait peut)Ntre pas suffi . iter le contrBle de la C$%&, la plainte initiale 1100,/2/ du 11/2/2011 a@ant t renforce par la plainte 11026/0, 2non co##uni1ue ni date3- &a C$%& indi1ue par ailleurs 5 1u'elle a contrBl Paris (abitat)*P( dans le cadre d'une srie de plus de 1uarante contrBles dans le secteur du lo6e#ent et du lo6e#ent social : annoncs dAs #ars 2010-
"ttp;<<===$cnil$fr<en<la-cnil<actu-cnil<article<article<controle!-dan!-le-!ecteur-de-limmo*ilier-quel!-con!tat!<
Cabinet C%&78
1,/,/
2.3 Contr/les
,ette !#nt"E!e de! contr2le! et de! procE!-ver*au) comporte de! Mannotation! entre croc"et!N( de!tine! ' une meilleure lecture et compr"en!ion du te)te$
2-/-1 =iA6e
ContrBle du , octobre 2011 au =iA6e : deux contrBleursResponsable des lieux F c+ar6e de confor#it %nfor#ati1ue et &iberts, 4uriste9prAs une prsentation de l'or6anis#e et du pro4et d'infor#atisation des lo6es des 6ardiens, ont utilis le traite#ent de 6estion locati e %[*= a ec un profil ! Dardien ' et ont constat les points sui ants F

accAs . la liste de tous les locataires de l'*ffice, co#portant les no#, prno#s, date de naissance, adresse postale, date d'entre dans les lieux 2et entuelle#ent de sortie3 pas d'accAs au dtail de 6estion locati e des locataires d'une autre direction territoriale accAs aux infor#ations relati es aux assurances des locataires dont il a la c+ar6e, et #ission de #ettre ces infor#ations d'assurance . 4our accAs aux infor#ations financiAres F relati es aux exe#ptions de rA6le#ent, . la situation, profession et R%>, facturation et prl e#ents accAs au sui i des rcla#ations et c+an6es a ec les locataires 2on6let Destion des contacts, D<C3G co#portant des aleurs ! suret/inscurit ' et ! a6ression p+@s- ou erb- ' Vdan! de! li!te!W l'existence de Zones de texte libre ! co##entaires ' et ! bloc)notes '- &es contrBleurs de#andent une extraction de ces deux Zones pour l'ense#ble des locataires V cette demande e!t qua!i automatique dE! qu-un c"amp de te)te li*re e!t con!tat W
&'tude du s@stA#e d'infor#ation concerne l'arc+itecture rseau, les postes e#plo@s, les applications utilises, le #canis#e de 6estion des codes utilisateurs, des #ots de passe, des annuaires tec+ni1uesHne tentati e d'accAs . un routeur d'accAs est re4ete&'tude de la 6estion des traces dans %[*= indi1ue des traces exclusi e#ent tec+ni1ues, . l'exclusion de traces sur les oprations de consultation et #ise . 4our des enre6istre#ents &ocataires9ucune obser ation n'est porte par le responsable des lieux a@ant accueilli et 6uid les contrBleurs-
2-/-2 <irection territoriale $ord *uest 2<I$*3

ContrBle du 19 octobre 2011 : deux contrBleurs 2#N#e 1uipe 1ue pour le contrBle au =iA6e3 Responsable des lieux F responsable du pBle ressources 2correspondant infor#ati1ue3 9prAs une prsentation de la <irection territoriale, anal@se de la co#position et des piAces des dossiersG rification de l'X6e des dossiers stocSs en <I a ant transfert aux 9rc+i es du =iA6e, pr u . l'issue d'un dlai d'un an G constatation d'existence d'un sous)dossier d'un locataire a@ant 1uitt le lo6e#ent en 199,;rification de la politi1ue de #ots de passe9nal@se de la 6estion des rcla#ations et du contentieux inter)occupants 2sui i dans %[*=39nal@se de la 6estion du contentieux 2%[*=)contentieux3, prise de docu#ents9nal@se du fonctionne#ent du pBle social de la <I$*, incluant la #ission de sOret assure par un conseiller sOret en liaison a ec les 6ardiens de son secteur, a ec l'entreprise de scurit interprofessionnelle DP%= 2Droupe Parisien %nter)>ailleur de =ur eillance3 et les forces de police : sans trans#ission de donnes no#inati es relati es . des co##ettants prsu#s9ucune obser ation n'est porte par le responsable des lieux a@ant accueilli et 6uid les contrBleurs-
Cabinet C%&78
15/,/
2-/-/ &o6es
ContrBle du 20 octobre 2011 : un contrBleur et un obser ateur Responsable des lieux F 6ardien ContrBle des dossiers papier, dans une ar#oire fer#e . cl : les dossiers sont ran6s par nu#ro de lo6e#ent9nal@se de l'utilisation d'%[*= par le 6ardien 2saisie et #ise . 4our des assurances +abitation des locataires3, ralisation de copies d'cran&e responsable des lieux a@ant accueilli le contrBleur de#ande et obtient une copie des docu#ents pris 2copies d'cran #ontrant 1ue le 6ardien peut accder . des locataires de la <I dont il n'a pas la c+ar6e, extraits de la #essa6erie3Hn contrBle effectu dans une autre lo6e n'a pas per#is l'accAs . l'ordinateur de la lo6e, le 6ardien prsent tant re#plaMant et ne connaissant pas les codes d'accAs du titulaire-
2-/-, Destion du contrBle par Paris (abitat)*P(

&'audit relA e les points sui antsF
le contrBle au =iA6e a t encadr par un 4uriste spcialis sur le secteur ! %nfor#ati1ue et &iberts ' G les contrBles en <irection Ierritoriale et dans les lo6es ont toutefois eu lieu sans encadre#ent 4uridi1ue de la part de l'or6anis#e&es or6anis#es les #ieux prpars acti ent une cellule de sui i, acco#pa6nant c+a1ue #e#bre de l'1uipe de contrBle, et tenant un co#pte)rendu interne des points us, des 1uestions et des rponses apportes9ucune obser ation n'a t porte sur les procAs) erbaux-
la prsence d'un conseil aurait t ncessaire F refor#ulations 4uridi1ues, explications dtailles sur les raisons des c+oix or6anisationnels et tec+ni1ues, for#ulation de rser es, bloca6e de de#andes non 4ustifies, raction aux entuels ! tests ' des contrBleurs sur la scuritQ Hne runion a ec le <irecteur Dnral par intri# et les a ocats de Paris (abitat)*P( a t or6anise le 2,/10, aprAs le deuxiA#e contrBle, #ais a abouti . la conclusion 1u'on ne pou ait 1ue laisser les c+oses sui re leur cours-
la prsence d'un Correspondant %nfor#ati1ue et &iberts internes, sensibilis . ces 1uestions, aurait per#is de 6rer le contrBle plutBt 1ue de le subir-
2.4 !riode postrieure au contr/le

9ucune #esure spcifi1ue n'a t #ise en place au ni eau 6lobal de l'or6anis#e F pas de debriefin6, d'anal@se des i#pacts possibles ou de prparation pr enti es de #esures d' aluation de la confor#it&e contrBle de la C$%& a t . l'ordre du 4our de runions de pilota6e du pro4et d'%nfor#atisation des lo6es-
2.5 0ise en de"eure

&a #ise en de#eure du 22 dce#bre 2011 F

retrace l'+istori1ue du dossier 2plainte 110,/2/ Vanal@se ci)dessusW, rponse de l'*ffice, seconde plainte, dcision de contrBle3 G rsu#e les principales constatations de la #ission de contrBle F
les 6ardiens peu ent accder . la liste de l'ense#ble des locataires de l'*P( par saisie d'un no# G cette liste co#porte le no#, prno#, date de naissance, adresse, date d'entre et entuelle#ent date de sortie du lo6e#ent G
Cabinet C%&78
16/,/
les 6ardiens peut accder aux donnes de 6estion locati e des locataires situs dans leur <irection Ierritoriale 2#N#es donnes, plus situation fa#iliale, profession, R%>, +istori1ue des #ou e#ents du co#pte locatif, infor#ations relati es . l'exe#ption de rA6le#ent ou de relance3 G l'anal@se de dossiers papier a trou un dossier papier de 199, dans le dossier d'un locataire actuel G les de#andes de tra aux et les rcla#ations tec+ni1ues et pour troubles du oisina6e sont recueillies par les 6ardiens et trans#ises . leur +irarc+ie par #essa6erie ou ia l'application %[*= G des extraits des Zones de texte libre de l'application font apparaJtre des infor#ations relati es . la sant des personnes ou . des infractions G les accAs . l'application ne sont pas tracs, il n'est pas possible d'identifier les diteurs ou lecteurs des oprations de 6estion des fic+es de locataires-
&a #ise en de#eure anal@se ces constatations, alue leur confor#it ou non confor#it aux obli6ations dfinies par la loi, et retient les 1ualifications sui antes F
absence de dclaration F pour la partie ! 6estion des infractions, conda#nations et #esures de sOret relati es aux locataires dans le cadre des #issions de scurit et de tran1uillit des locaux '&a #ise en de#eure se#ble ad#ettre 1ue ce traite#ent est en isa6eable au u de l'ob4et social de l'or6anis#e, #ais constate 1ue la for#alit applicable : la de#ande d'une 9utorisation . la C$%& : n'a pas t ralise-
#an1ue#ent . l'obli6ation de eiller au caractAre ad1uat, pertinent et non excessif des donnes F ! certains co##entaires apparaissent co##e non pertinents et inad1uats au re6ard de la finalit de 6estion locati e '&es principes de proportionnalit et de ncessit ne sont pas respects-
#an1ue#ent . l'obli6ation de dfinir une dure de conser ation &e dossier papier de 199,, conser dans un dossier actuel, constitue une iolation de la dure de conser ation d'un an a ant erse#ent aux arc+i es, dure fixe par Paris)(abitat *P(-
#an1ue#ent . l'interdiction de collecter ou de traiter des donnes relati es . la sant des personnes 2donnes sensibles3 &a #ise en de#eure indi1ue 1ue l'enre6istre#ent dtaill de pat+olo6ies ou de traite#ents #dicaux de locataires ou de leur entoura6e fa#ilial, sous for#e de co##entaires dans des fic+es de locataires, outrepassent les infor#ations 1ui seraient ad#issibles pour l'attribution de lo6e#ents en cas de #obilit rduite des personnes-
#an1ue#ent . l'obli6ation de scurit F accAs des 6ardiens &es 6ardiens ont accAs au dossier de 6estion locati e de locataires G bien 1ue Paris (abitat considAre les 6ardiens co##e ! personnel +abilit ', la #ise en de#eure ne retient pas cette anal@se et indi1ue 1ue c'est . tort 1ue les 6ardiens dtiennent des +abilitations d'accAs . l'application de ! tiers autoriss '-
#an1ue#ent . l'obli6ation de scurit F non traMabilit des accAs &'application %[*= ne co#porte pas de traMabilit des actions, et ne per#et donc pas de dtecter a po!teriori un accAs frauduleux aux donnes- &a #ise en de#eure retient 1ue l'absence de cette fonction contre ient . l'obli6ation de scurit, isant . e#pNc+er 1ue les donnes ! soient dfor#es, endo##a6es, ou 1ue des tiers non autoriss @ aient accAs '-
Cabinet C%&78
10/,/
&a #ise en de#eure porte sur les points sui antsF

de#ander une autorisation de #ise en Pu re du traite#ent relatif aux infractions, conda#nations et #esures de sOret G suppri#er les co##entaires non ad1uats, non pertinents ou excessifs, et enre6istrer G eiller . ne plus en
ne plus enre6istrer d'infor#ations dtailles sur la sant des locataires et de leur entoura6e fa#ilial G arc+i er les donnes dont la conser ation n'est pas 4ustifie, en particulier les dossiers ! papier ' G retirer l'accAs aux 6ardiens aux infor#ations relati es . la 6estion locati e, et #ettre en place un dispositif de traMabilit des accAs dans l'application G 4ustifier de la #ise en Pu re et du respect de ces points, dans le dlai de deux #ois-
Cette #ise en de#eure a t trans#ise par la C$%& aprAs 1u'elle aie dcid de la publier, et reMue par Paris (abitat *P( le 20 4an ier 2012-
2.1 !ublicit de la "ise en de"eure

2-6-1 <cision de publicit
7n application de l'article ,5 de la loi de 1905 #odifie, le bureau de la C$%& a dcid le 10 4an ier 2012 de rendre publi1ue la #ise en de#eure dcide le 22 dce#bre 2011 . l'encontre de Paris (abitat *P(Ce #canis#e de publicit de la #ise en de#eure est effecti e#ent pr u par les textes G toutefois il n'a ait 4a#ais t utilis a ant ce 10 4an ier 2la #ise en de#eure . l'encontre de la socit *ceatec+, suite . une sur eillance constante et per#anente des salaris par ideosur eillance, a 6ale#ent rendue publi1ue ce #N#e 4our3&a C$%& expli1ue cette dcision de publicit par la 6ra it des #an1ue#ents rele s, le statut et la taille de l'or6anis#e, ainsi 1ue le no#bre de locataires concernsCette dcision de publier la #ise en de#eure #ar1ue un tournant dans la politi1ue de la Co##ission9insi, en a ril 2012, la C$%& n'a rendu publi1ue la sanction d'9 ertisse#ent . l'encontre d'9cado#ia 1u'. l'issue de la procdure de trans#ission du rapport de la C$%& et de dfense crite et orale de la socit, et suite . des co##entaires publics de la socit contestant les obser ations de la Co##ission&es co##entaires de ce dossier taient #anifeste#ent inappropris, excessifs et insultants 29cado#ia 6Are 6ale#ent en iron 100-00 personnes3-
2-6-2 ! $ou elle ' sur le site de la C$%&

&a #ise en de#eure et la dcision de publication ont fait l'ob4et d'un article sur le site de la C$%&, dat du 2 f rier 2012Cet article reprend les principaux 6riefs en ers Paris (abitat et indi1ue 1ue ! cette publicit per#et 6ale#ent . la C$%& d'infor#er l'ense#ble des locataires des droits dont ils disposent et de rappeler aux offices (&M leurs obli6ations concernant le respect de la ie pri e des personnes dont ils assurent l'+ber6e#ent- '&'article rappelle 6ale#ent 1u'aux ter#es de la loi, la #ise en de#eure n'est pas une sanction : la procdure restera sans suite si Paris)(abitat *P( se confor#e . la #ise en de#eure dans le dlai de deux #ois-
2-6-/ Cons1uences #diati1ues

&a publication de la #ise en de#eure sur le site internet de la C$%&, le 2 f rier, a fait l\ob4et d\une abondante cou erture #diati1ue, entraJnant des ractions publi1ues-
Cabinet C%&78
15/,/
<As le 2 f rier, Paris (abitat *P( a diffus un co##uni1u de presse indi1uant 1u\il prenait les #esures ncessaires afin de rpondre, dans le dlai i#parti, . la #ise en de#eure de la C$%&&e / f rier 2012, le Maire de Paris a de#and par courrier . ?ean)] es Mano, prsident de Paris (abitat *P(, de prendre toutes les #esures ncessaires pour rpondre . la #ise en de#eure prononce par la C$%& concernant la tenue des fic+iers de locataires- &e 0 f rier 2012, le Prsident de Paris (abitat)*P( de#andait au <irecteur 6nral de dili6enter les procdures per#ettant de slectionner le cabinet en c+ar6e de cet audit- 9prAs consultation de plusieurs cabinets, Paris (abitat)*P( slectionnait le Cabinet Cilex le 2, f rier7n rponse, par lettre en date du 1/ #ars, ?]- Mano infor#ait le Maire de Paris de l'ense#ble des #esures prises et du tra ail en cours au sein de Paris (abitat *P( afin de se #ettre en confor#it a ec la #ise en de#eure de la C$%&7nfin, le 2, f rier 2012, une runion des #e#bres du Conseil d\9d#inistration de Paris (abitat a t or6anise spcifi1ue#ent sur ce su4et- &es #esures conser atoires d4. effecti es @ ont t prsentes, ainsi 1ue les #odalits de tra ail pour rpondre . la #ise en de#eure- &a d#arc+e de lance#ent d\un audit a 6ale#ent t annonce-
Cabinet C%&78
19/,/
=ection / : Causes des carts . la confor#it

3.1 Causes internes
Co##e sou ent, seule l'obli6ation de ralisation des ! for#alits C$%& ' tait bien identifie et a t ralise par la de#ande d'a is de 200/- &'i#pact des #odifications du pri#Atre d'utilisation de l'application %[*= sur ces dclarations existantes n'a pas t alu>ien 1ue nul ne soit cens i6norer la loi, nous constatons fr1ue##ent lors de nos #issions 1ue les dtails et l'essence de la protection des donnes personnelles de#eurent trAs lar6e#ent #connus9insi, de no#breuses or6anisations n'i#a6inent pas 1ue la loi s'appli1ue . eux, ne se reprsentent pas les obli6ations de confor#it, ne s'or6anisent pas de #aniAre adapte, ou enfin ne planifient pas les #o@ens ncessaires6 0Mal6r un bon ni eau de confor#it et de bonnes co#ptences en interne, la confor#it ! %nfor#ati1ue et &iberts ' de Paris (abitat : *P( n'est pas opti#ale-
/-1-1 %nstances de <irection F sensibilit aux obli6ations et aux ris1ues insuffisante

Ioutes les personnes audites au ni eau du Co#it de <irection a aient une connaissance de base sur le su4et %nfor#ati1ue et &iberts F existence de la loi et de la C$%&, obli6ations de dclaration, possibilit de contrBleIoutefois, des su4ets rele ant de la 6estion du ris1ue, tels 1ue les obli6ations de l'or6anis#e au)del. de la seule dclaration, les cons1uences possibles d'un contrBle ou le dtail des sanctions encourues taient insuffi ) sa##ent connus- 7n cons1uence, l'obli6ation de confor#it . la loi %nfor#ati1ue et &iberts n'a pas t priorise . un ni eau suffisa##ent le dans la 6ou ernance et l'or6anisation de l'entreprise 5Cette prise en co#pte insuffisante est par exe#ple isible dans la Carto6rap+ie des ris1ues tablie par la <irection de l'9udit F le ter#e ! C$%& ' n'@ apparaJt 1ue deux fois, sur deux traite#ents distincts- &e su4et n'est pas identifi co##e trans erse et 6nral<e #N#e, le ris1ue a t sous) alu lors des olutions de l'or6anisation et de ses cons1uences prati1ues, les olutions du lo6iciel et l'a4out de #odules d'%[*=9ucun des co#pte)rendus de Co#it de direction ou de Co#it de pilota6e consults dans le cadre de la prparation du pro4et ! %nfor#atisation des lo6es ' 2. partir de 20093 ne #entionne le su4et de la protection l6ale des donnes personnelles&e ris1ue a 6ale#ent t sous) alu dans la 6estion du courrier de la C$%& du 1, #ars 2011, ainsi 1ue pendant et aprAs les contrBles9u final, ce ris1ue s'est #atrialis . la rception de la #ise en de#eure de la C$%&-
3ou! avon! ain!i frquemment l-occa!ion d-e)pliquer que le c"antier de mi!e en conformit e!t lourd6 parce qu-il faut rattraper le retard accumul depui! de nom*reu!e! anne!$ Hn contr2le de la ,34L e!t toujour! l-occa!ion d-une pri!e de con!cience de! o*li.ation!6 et de la mi!e en place d-une conformit relle et !rieu!e$ La conformit parfaite n-e)i!te toutefoi! pa!$$$
0 5
A titre d-e)emple( le! O:8 contr2le! rali!! en 9:1: par la ,34L ont a*outi ' 111 mi!e! en demeure$ ,e tau) d-environ 1<O e!t con!tat c"aque anne$ La manife!tation la plu! couramment rencontre e!t l-a*!ence de dtermination claire de la re!pon!a*ilit de la conformit entre le! Firection! Ptier( la F%4( la Firection juridique et la Firection .nrale$
Cabinet C%&78
20/,/
Le! raction! de l-or.ani!me et le! action! forte! mi!e! en Duvre et planifie! dan! le cadre de la mi!e en conformit atte!tent d!ormai! d-une relle !en!i*ilit ' ce! !ujet!$
/-1-2 <irection des 9ffaires ?uridi1ues F bonne co#ptence, insuffisa##ent sollicite

&es 4uristes, c+ar6s de confor#it C$%& dans l'or6anisation de Paris (abitat)*P(, ont une bonne connaissance des principes de la loi, tels 1ue dfinis dans ses ersions de 1905 et de 200,- &e ni eau de co#ptence est bon sur les obli6ations de l'or6anis#e, sur les critAres de confor#it et sur l'anal@se 4uridi1ue des traite#ents&a ! bonne co#ptence ' est ici alue co##e celle des 20T des c+ar6s de confor#it les plus expri#ents sur ce su4et9G i% ne s'a6it toutefois pas d'une e2pertiseCo##e dans la plupart des or6anis#es, les 4uristes de Paris (abitat)*P( ont une fonction d'assistance aux fonctions Mtier, aux fonctions =upport 2<=%3 ou . la <irection : sous rser e 1u'ils soient saisis du su4et, ou 1ue leurs anal@ses soient entendues<ans ce dossier, les c+ar6s de confor#it ont t correcte#ent saisis lors de la #ise en place d'%[*= ) la de#ande d'a is de 200/ pour le traite#ent Destion locati e a alors t prpare a ec des a ocats disposant d'un ni eau d'expertise<eux olutions de la Destion locati e ont t identifies co##e #a4eures, et ont donn lieu . des courriers de de#ande de #odification de dclaration auprAs de la C$%& 2en1uNtes . des fins statisti1ues, 02/2010, expri#entation papier d'un *bser atoire social du lo6e#ent, 06/2011 : pro4et suspendu3Ioutefois, les olutions sui antes n'ont pas fait l'ob4et d'une saisine interne ou de #esures adaptes F

#odification des +abilitations dans le cadre de la #ise en place d'un #odule %[*= 2200,3 G utilisation des bloc)notes et des c+a#ps ! texte libre ' pour la saisie occasionnelle de donnes sou#ises . 9utorisation G dploie#ent de l'application dans les lo6es 2. partir de 2005, puis 20103 G passa6e au for#ulaire C7RL9 220113-
Plus lar6e#ent, toute "odification d'un traite#ent rele ant du r6i#e de l'9utorisation de rait Ntre s#st"ati%ue"ent tudie sur le plan de sa confor#it %nfor#ati1ue et &iberts, pralable#ent . sa #ise en Pu re&es traite#ents rele ant d'autres r6i#es tels 1ue la <claration nor#ale peu ent n'Ntre r alus 1ue lors de #odifications #a4eures&es c+ar6s de confor#it ont rare#ent la capacit de se saisir de dossiers de leur propre c+ef- C'est le cas . Paris (abitat : *P(-
L-c"elle complEte d-valuation e!t la !uivante; A*!ence de connai!!ance! ou de comptence! + Q ,omptence in!uffi!ante +; connai!!ance! de *a!e acqui!e!( comptence! ne permettant pa! l-anal#!e de la conformit d-un traitement ou !a mi!e en conformit correcte Q ,orrecte + ; permet l-anal#!e juridique et la mi!e en conformit d-un traitement !imple( relevant de la Fclaration ou d-un r.ime !implifiQ 5onne + ; permet la mi!e en conformit de l-or.ani!me !ur le! traitement! relevant de la Fclaration( la diffu!ion de la culture informatique et li*ert! +( la .e!tion de! niveau) de ri!que Q &)pert + ; capacit ' mettre en conformit l-en!em*le de! traitement!( # compri! le! plu! comple)e! Q peut dpa!!er la !eule anal#!e juridique$ MRc"elle interne au ,a*inet de l-auditeurN
Cabinet C%&78
21/,/
&'+@pot+Ase de la dsi6nation d'un Correspondant %nfor#ati1ue et &iberts 2C%&3, au1uel la rfor#e de la loi en 200, confAre une position proacti e et un accAs direct au Responsable des traite#ents, a ait t o1ue . la <irection des 9ffaires ?uridi1ues en 2005 G toutefois le #an1ue d'intrNt ressenti des instances de <irection pour le su4et et le #an1ue de #o@ens et d'coute 1ui en auraient rsult a aient abouti . la #ise en so##eil du pro4et&e ris1ue n'a pas t correcte#ent identifi ni re#ont lors du courrier de la C$%& du 1, #ars 2011, ni pendant les contrBles-
/-1-/ <irections Mtier F rBle . clarifier

<ans une or6anisation opti#ale, les ! <irections Mtier ' portent la responsabilit oprationnelle de la confor) #it %nfor#ati1ue et &iberts- Cette confor#it n'appartient pas aux c+ar6s de confor#it%l re ient dAs lors aux <irections Mtier de saisir le2s3 c+ar62s3 de confor#it lors de #odifications d'or6anisation ou de conditions de #ise en Pu re des traite#ents : a ec l'appui des <irections =upport pour l'anal@se des i#pacts et des solutions%l leur appartient 6ale#ent de eiller . une utilisation confor#e des outils #is en place : principale#ent ia la for#ation oprationnelle et la responsabilisation des utilisateursCette responsabilit or6anisationnelle10 n'est pas i#plante de #aniAre s@st#ati1ue dans l'or6anis#e-
/-1-, <irections =upport F rBle . clarifier

<ans une or6anisation opti#ale, le rBle des <irections =upport 2s@stA#es d'infor#ation, audit, 1ualit---3 dans la confor#it %nfor#ati1ue et &iberts est de eiller . la saisine du c+ar6 de confor#it

lors des olutions d'or6anisation et / ou de lo6iciels, lors de la dtection d'ano#alies ou d'carts aux critAres l6aux de confor#it-
&es <irections =upport apportent 6ale#ent du conseil aux <irections Mtier dans le cadre des olutions de l'or6anisation et des outils, a ec le renfort du c+ar6 de confor#it si ncessaireCette or6anisation n'est pas i#plante de #aniAre s@st#ati1ue dans le cadre des procdures de 6estion-
/-1-5 Htilisateurs de l'application Destion &ocati e

&es utilisateurs de l'application n'ont pas reMu de consi6nes claires sur les t@pes de #entions interdites ou autorises G les donnes relati es . la sant ou aux infractions et conda#nations n'tant pas interdites, ils ont saisi les infor#ations 1u'ils esti#aient pertinentes pour la 6estion des dossiers, en leur appli1uant une t+i1ue forte 1ui a per#is de li#iter le olu#e d'infor#ations- &a C$%& n'a ainsi pas constat de olont de #al faire-
/-1-6 <ficit d'infor#ation aux locataires

Paris (abitat)*P( a principale#ent infor# les locataires du pro4et de dploie#ent de l'infor#ati1ue dans les lo6es ia les associations de locataires 2conseil de concertation locati e3 et ia un affic+a6e dans les +alls, selon l'an6le d'une #odernisation et d'une rationalisation de la co##unicationCertains locataires ont pu a oir le senti#ent 1ue les ne#ents relatifs . leur contrat 2dfaut de paie#ent, perte d'e#ploi, de#ande de #utation--- : ou problA#e de sant3, 4us1ue)l. 6rs par des personnels ad#inistratifs 1uasi)anon@#es, de enaient soudaine#ent des ne#ents de leur ie pri e exposs . une personne proc+e : leur 6ardien 11G d'autant plus 1u'ils n'a aient pas t pr enus explicite#ent de cette nou elle exposition et n'a aient pas la possibilit de le alider ou de s'@ opposer-
10 La re!pon!a*ilit juridique demeurant attac"e ' la per!onne morale$
Cabinet C%&78
22/,/
Ce senti#ent peut #anifeste#ent a oir t asseZ fort pour conduire des personnes . porter plainte . la C$%&-
3.2 Causes e2ternes

/-2-1 Conseil 4uridi1ue
Paris (abitat : *P( esti#e ne pas a oir bnfici de conseils adapts sur le su4et 6lobal de sa confor#it %nfor#ati1ue et &iberts de la part de son cabinet +abituel d'a ocats lors des pre#iers c+an6es a ec la C$%& ni lors des contrBles&'*ffice a donc #obilis les ser ices d'un Cabinet d'a ocats spcialis pour l'assister . partir de la #ise en de#eure-
/-2-2 Cditeurs de lo6iciels

&es auditeurs sont trAs fr1ue##ent a#ens . noter la 6rande #connaissance des probl#ati1ues de protection des donnes personnelles par les diteurs de lo6iciels9insi, sur la 1uestion de la ralisation des for#alits F de no#breux fournisseurs ou sous)traitants proposent . leurs clients de les raliser ! afin de 6a6ner du te#ps '--&es lo6iciels facilitant la ralisation des politi1ues de protection des donnes personnelles dcides par les entreprises sont extrN#e#ent rares F de tels lo6iciels pr oiraient dAs leur conception des #canis#es para#) trables de 6estion des dures de conser ation, d'anon@#isation, d'arc+i a6e, de dtection d'acti it anor#ale, de non)exportation du nu#ro de scurit socialeQ&'existence de tels para#tra6es serait au #ini#u# l'occasion pour les or6anis#es de se poser les 1uestions de base&e pro6iciel %[*= est ainsi dans la #o@enne de la confor#it propose sur le #arc+- &a isibilit lar6e par dfaut sur les infor#ations, la #ise . disposition de Zones de saisie non contrBles, sont des outils fr1ue##ent proposs par les d eloppeurs afin de rendre ser ice aux utilisateurs G toutefois, en l'absence de #canis#es de contrBle tec+ni1ues, or6anisationnels ou procduraux, ces fonctions peu ent Ntre la source de problA#es 12%l est 6ale#ent . noter 1ue les tec+nolo6ies utilises par %[*= sont relati e#ent anciennes et ne facilitent pas le para#tra6e fin des autorisations : ni l'i#plantation rapide de nou elles fonctions&a proc+aine et profonde r ision de la r6le#entation de protection des donnes person nelles, ia le RA6le#ent en cours de discussion, pr oit une obli6ation de /rivac# *# Fe!i.n des lo6iciels 2article 2/ du pro4et3- %l est sou+aitable 1ue les diteurs se prparent au plus tBt aux nou elles obli6ations l6ales de leurs clients : ce 1ui peut passer par du conseil expert . ces clients-
11 Fe m me( de trE! nom*reu) !alari! de *anque font virer leur !alaire et .Erent leur! dpen!e! dan! une autre *anque( afin de prot.er du ri!que qu-une per!onne proc"e pui!!e avoir ' traiter leur! opration! ou leur dcouvert alor! m me que cette opration peut leur coSter de! avanta.e! de .e!tion$ 1n peut .alement citer le ca! de! conjoint! de mdecin! qui prfErent e)po!er leur anatomie ' un tier! inconnu plut2t qu-' leur conjoint ou ' un confrEre proc"e$ 12 L-affaire Acadomia et de nom*reu!e! autre! ont .alement mi! en cau!e de! c"amp! de t#pe te)te li*re +$
Cabinet C%&78
2//,/
=ection , : C aluation de la confor#it du traite#ent ! Destion locati e '

Cette section s'attac+e . aluer la confor#it du traite#ent . l'ense#ble des obli6ations dfinies par la loi G Paris)(abitat *P( pourra ainsi anal@ser co#plAte#ent les causes de la #ise en de#eure de la Co##issionCette aluation de confor#it a t ralise par Paris (abitat lors de la dclaration initiale du traite#ent, en 4uillet 200/- 7lle a constitu la base de la de#ande d'a is et de la dlibration 200/)1,2 du Conseil d'ad#inistration, dcidant de la #ise en place du traite#ent='a6issant d'un traite#ent rele ant d'une de#ande d'9utorisation 2ancienne#ent de#ande d'a is pralable#ent . la rfor#e de 200,3, cette aluation de confor#it aurait du Ntre ralise lors de c+a1ue #odification du traite#ent, afin de s'assurer de la poursuite de cette confor#it&es textes indi1uent 1ue la dclaration . la C$%& 2ou au Re6istre du C%&3 doit Ntre #ise . 4our . c+a1ue #odification substantielle du traite#entHn or6anis#e est 6nrale#ent en rA6le lors1u'il ralise sa dclaration G cependant toute olution i#portante de l'application peut briser cette confor#it>ien 1ue les textes ne ne prcisent pas, il est raisonnable de considrer 1ue les traite#ents sou#is . 9utorisation, #anipulant des donnes sensibles, sont sou#is . une obli6ation renforce d'anal@se de confor#it F dAs lors, toute #odification du traite#ent, et non seule#ent les #odifications substantielles, doit Ntre alue et alide, en per#anence, durant toute la ie de l'applicationC+a1ue #odification de l'application, c+a1ue nou elle fonction, c+a1ue nou elle utilisation, c+a1ue #odification dans les droits, les interfaces--- doit ainsi Ntre alue : en collaboration entre les fonctions Mtier, ?uridi1ue et %nfor#ati1ue, sous le contrBle de la <irectionCette obli6ation n'a pas t appr+ende par Paris)(abitat *P( et constitue l'une des causes #a4eures de la situation constate par la C$%& dans sa #ise en de#eure-
4.1 )ualification du traite"ent

,-1-1 Iraite#ent de donnes personnelles
%l existe un traite#ent auto#atis, #atrialis par l'application %[*=Ce traite#ent porte sur des donnes relati es . des personnes au sens de l'article 2 de la loi, telles 1ue leur identit, leur adresse ou leurs coordonnes bancairesCe traite#ent est dcid et #is en place par Paris (abitat)*P(, et opr par le #N#e or6anis#e%l existe donc bien un traite#ent auto#atis de donnes personnelles, au1uel la loi de 1905 est applicableCe traite#ent a fait l'ob4et d'une de#ande d'9 is . la C$%& 24uillet 200/3, accorde sous le nu#ro 56/206-
,-1-2 Cat6ories de donnes traites

&es donnes personnelles traites sont les sui antes F
4.1.2.1 Catgories de donnes relati&es au2 locataires

<onnes d'identification F $o#, prno#s, sexe, date de naissance, nationalit 2LR / H7 / (ors H73, code national de de#andeur, nU locataire =ituation fa#iliale Coordonnes courrier, tlp+one, lectroni1ues Rapport d'9udit : Paris (abitat 2,/,/
Cabinet C%&78
<onnes d'adresse F 9dresse de contact, adresse du lo6e#ent Caractristi1ues du lo6e#ent de#and, propos, attribu G dates d'entre et de sortie $cessit et caractristi1ues d'un lo6e#ent adapt au +andicap Motifs de la de#ande de lo6e#ent social 2selon for#ulaire C7RL9 1,0693 %nfor#ations sur les re enus, inde#nits et allocation %nfor#ations bancaires, d'assurance %nfor#ations relati es . la facturation 2dont conso##ations d'eau3 et aux rA6le#ents des crances <e#andes de rparation et d'inter ention, rcla#ations, constats et plaintes C+a#p Co##entaires 7n cas de contentieux sur les crances F nature du contentieux, tat des crances et des i#pa@s, prNts consentis et #odalits de re#bourse#ent, #ise en place d'une procdure de surendette#ent-
4.1.2.2 'onnes relati&es . d'autres personnes ou organis"es 3

aux autres +abitants du lo6e#ent F $o#, prno#, sexe,date de naissance, nationalit 2LR / H7 / (ors H73, lien de parent 6arants tiers pa@eurs des lo@ers e#plo@eur or6anis#es de prestations sociales : nu#ros d'allocataire 2+ors nu#ro de scurit sociale3 si en1uNte pour l'instruction de la de#ande F coordonnes, rapport et conclusions de l'en1uNteur si Contentieux F inter enants dans la procdure F +uissiers, notaires, a ocats---
4.1.2.3 'onnes relati&es au2 utilisateurs de l'application

Code utilisateur, adresse %P, date de connexion-
,-1-/ *r6anisation et outils

&e traite#ent est #is en Pu re sous la responsabilit et le contrBle de la <irection de la Destion &ocati e%l est opr par les ser ices de cette <irection au =iA6e, en particulier pour les de#andes d'attribution et de #utation de lo6e#ent, ainsi 1ue par les utilisateurs dpendant de cette <irection dans les <irections Ierritoriales et dans les 96ences et leurs =ections 2dans le cadre du pro4et ! Capitale '3&e pro4et d'infor#atisation des lo6es est entr en p+ase de dploie#ent de #asse en 2010, suite . une p+ase d'expri#entation a ec des ! pionniers ' dAs 2005- Ce pro4et ! Rfor#e de la proxi#it ' co#porte des outils bureauti1ues 2accAs . l'intranet, . internet, dition d'affic+ettes, des ti1uettes de boJtes aux lettres---3 et l'outil #tier %[*=&e lo6iciel %[*= est #is en Pu re directe#ent par l'*r6anis#e en interne, sur ses propres ser eurs et sous le contrBle de ses propres ad#inistrateurs&'outil central %[*= est co#plt par des outils de re1uNta6e et de ralisation de statisti1ues, ainsi 1ue par des outils courants d'diti1ue et de bureauti1ue- &es fic+iers produits lors de ces oprations sont des sous)produits de la base centrale et ne sont pas constitus pour une finalit diffrente de celle du traite#ent principal- Ces fic+iers secondaires ne peu ent donc Ntre 1ualifis de traite#ents de donnes personnelles-
,-1-, 9cteurs
&es utilisateurs participant . la c+aJne de 6estion des oprations locati es sont les sui ants F

ser ices d'instruction 2=iA6e3 F attribution de lo6e#ents a ant la si6nature initiale du bail ou le c+an6e#ent de lo6e#ent 2! #utation ' dans le lan6a6e de l'tablisse#ent3 ser ices d'ad#inistration 2C+ar6s de 6estion locati e en 96ence, Dardiens en &o6e, sous le contrBle de leur <irection Ierritoriale3
Cabinet C%&78
25/,/
ser ices d'assistance aux personnes F conseillers sociaux, en collaboration a ec les tra ailleurs sociaux externes <irection des 9ffaires 4uridi1ues, en <irection territoriale et au =iA6e, pour la 6estion des liti6es F retards de rA6le#ent, troubles de oisina6e, a6ressions sur les salaris de l'*fficeQ
4.2 (&aluation dtaille

,-2-1 Linalit
&a finalit principale du traite#ent a t tablie co##e suit F 4 5estion locati&e 6. Cette finalit a t dO#ent dclare . la C$%& lors de la de#ande d'a is de 4uillet 200/- &'annexe 0 de la de#ande d'a is dtaille les finalits&e contrBle de la C$%& n'a pas rele d'cart sur ce point&'audit n'a rele aucun cart sur ce point*[ Ce point ne prsente pas d'cart-
,-2-2 &6iti#it
<u fait de son ob4et social, du 6rand no#bre de lo6e#ents et de locataires, de la taille de la Zone 6o6rap+i1ue concerne, des caractristi1ues de ses locataires, fr1ue##ent en situation de difficult sociale, Paris (abitat)*P( est l6iti#e . #ettre en Pu re un traite#ent de donnes personnelles ddi . la 6estion des baux d'+abitation et des baux co##erciaux&e contrBle de la C$%& n'a pas rele d'cart sur ce point&'audit n'a rele aucun cart sur ce point*[ Ce point ne prsente pas d'cart-
,-2-/ $cessit et Proportionnalit

Confor##ent . la loi, seules les donnes ncessaires . l'acco#plisse#ent des finalits du traite#ent doi ent Ntre collectes et traites 2cf obli6ations l6ales pa6e ,03-
4.2.3.1 'onnes de gestion 7 partie infor"atise

&e traite#ent porte tout d'abord sur la 6estion locati e G les donnes ncessaires sont ici celles ncessaires . tout bailleur- &es donnes 1ue la C$%& esti#e ncessaires sont s@nt+tises dans ses $or#es si#plifies 20 1/ et 21, et re#ise en perspecti e dans une rcente s@nt+Ase de la Co##ission 1, Concernant la stricte partie ! Destion ', l'audit de la partie infor#atise des dossiers n'a rele aucune de ces donnes, ni aucune donne non ncessaire . l'acco#plisse#ent des for#alits-
1/ "ttp;<<===$cnil$fr<en<en-!avoir-plu!<deli*eration!<deli*eration<acce!!i*le<non<deli*<1C7< I1997( mi!e ' jour 9::1J 1, "ttp;<<===$cnil$fr<en<la-cnil<actu-cnil<article<article<controle!-dan!-le-!ecteur-de-limmo*ilier-quel!-con!tat!<
Cabinet C%&78
26/,/
&e contrBle de la C$%& n'a pas rele d'cart sur ce point*[ Ce point ne prsente pas d'cart-
4.2.3.2 'onnes relati&es au bail social 7 partie infor"atise

&e traite#ent de Paris (abitat : *P( est spcifi1ue du fait du caractAre social de l'or6anis#e- Cette spcificit i#pose . l'*r6anis#e de collecter des donnes relati es aux difficults sociales des personnes%l est nor#ale#ent interdit de traiter ces donnes relati es aux difficults sociales des personnes &a de#ande d'a is de 200/, alide par la C$%&, isait . obtenir l'9utorisation de la Co##ission pour la #ise en place de ce traite#ent, dans le cadre de son acti it de bailleur social&a Co##ission a donc alu le dossier re#is par Paris (abitat)*P(, a anal@s le caractAre proportionn des donnes re1uises pour l'instruction des dossiers . la finalit du traite#ent et . sa di#ension sociale, et a accord l'9utorisationC'est suite . cette 9utorisation 1ue Paris (abitat)*P( est autorise . collecter et traiter les donnes relati es aux difficults sociales des personnes, leur ni eau de ressourcesQ Iout autre bailleur 1ui n'a pas obtenu cette 9utorisation 2ou un 9 is dans la procdure antrieure . la rfor#e de la loi en 200,3 ne peut #ettre en place de traite#ent si#ilaire&e contrBle de la C$%& n'a pas rele d'cart sur ce point&'audit n'a rele aucun cart sur ce point*[ Ce point ne prsente pas d'cart-
4.2.3.3 8ones de te2te libre 3 9loc-notes et Co""entaires

<e telles Zones de texte libre, dans les1uelles l'utilisateur peut saisir tout infor#ation sans contrBle du lo6iciel, prsentent tou4ours un ris1ue de dtourne#ent et donc de ris1ues pour la ie pri e des personnes7lles font donc tou4ours l'ob4et d'un contrBle attentif de la C$%&<ans les applications utilises, ces Zones peu ent Ntre saisies et lues par toute personne +abilit . accder aux crans
de 6estion du co#pte 2consultation des +abitants dclars, saisie des certificats d'assurancesQ3- %l n'existe 1u'un co#pte par lo6e#ent, associ au locataire- Hn locataire peut a oir eu plusieurs lo6e#ents : l'application 6Are donc cet +istori1ue- <e #N#e, un lo6e#ent peut a oir eu plusieurs locataires : l'+istori1ue de ces occupations successi es est 6ale#ent conser ede 6estion des contacts 2! D<C '315
15 Fan! le conte)te de /ari! 0a*itat 1/0( cette fonction 5'C con!i!te ' noter et !uivre l-en!em*le de! c"an.e!( ou contact! +( avec le! locataire!$ 4l ne !-a.it pa! de .rer et !uivre l-en!em*le de! per!onne! avec l-or.ani!me !erait en contact dan! le cadre d-un do!!ier$ Le terme KF, e!t plu! cla!!iquement utili! dan! cette acception de Ke!tion de! ,lient!$
Cabinet C%&78
20/,/
>ien 1ue ces Zones aient t dclares . la C$%& en 200/ 16, elles concentrent plusieurs carts . la confor#it F
(cart &ors du contrBle de la C$%&, les bloc)notes associs . c+a1ue fic+e Co#pte, destins . noter des l#ents relatifs au bail, taient isibles par tous les utilisateurs, dAs lors 1u'ils taient +abilits . accder . cet cran de l'application&es 6ardiens taient identifis par Paris)(abitat *P( co##e +abilits . cette fonction &ors du contrBle de la C$%&, les bloc)notes associs . certaines fic+es Co#pte contenaient des donnes 1ue la loi dfinit ! sensibles ', pou ant concerner la sant des locataires ou de leurs proc+es, ou leurs difficults 4udiciaires+ele& par la CNI* *ui 21ualifie de dfaut de !curit3 )ualification :1 ; "ineur< 4 ; "a=eur 1>? <faut de proportionnalit 2 et dfaut de scurit 3
*ui
Iraite#ent de donnes 1ualifies de =ensibles par la loi, en l'absence d'autorisation spcifi1ue ou l6ale- 3
@O
&e contrBle de la C$%& a rele un cart sur ce point F non)ncessit de certains textes nots en Zones de texte libre 15
&'audit a rele 1ue les donnes de sant sont collectes en application de l'article R ,,1)2), du code de la construction et de l'+abitat, en accord a ec le C7RL9 1,069 d'attribution de lo6e#ent F cet article et ce for#ulaire pr oient explicite#ent les #otifs de sant co##e #otifs de la de#ande de lo6e#ent social-
4.2.3.4 5estion des dossiers 7 partie papier

Co##e rappel en 9nnexe 1, la loi du 6 4an ier 1905, bien 1ue co##un#ent appele ! %nfor#ati1ue et &iberts '19, concerne aussi le papier9:, dAs lors 1u'il est or6anis en ! fic"ier! !tructur! et !ta*le! '&es dossiers papier traits par Paris (abitat : *P( prsentent ces caractristi1ues d'or6anisation G ils sont donc sou#is . la loi<epuis 2010, les dossiers des de#andeurs sont tablis . partir d'un docu#ent C7RL9 1,069, nor#alis, utilis par l'ense#ble des or6anis#es (&M- Ce docu#ent a t tabli par l'ad#inistration en application de l'article R ,,1)2), du code de la construction et de l'+abitatPralable#ent au contrBle de la C$%&, l'*ffice trans#ettait aux <irections Ierritoriales et aux 96ences concernes l'ense#ble du dossier papier a@ant ser i . l'instruction du dossier et . son passa6e en Co##ission d'9ttribution- &es de#andeurs de lo6e#ents 4oi6nent fr1ue##ent des piAces co#pl#entaires . leur dossier, telles 1ue des extraits de leur dossier #dical 2alors 1ue le C7RL9 ne de#ande 1u'une certificat #dical3Par ailleurs, l'*r6anis#e a dcid de ne plus trans#ettre de dossiers papier aux 96ences- Cette dcision est entre en i6ueur au 1er #ars 2012-
16 L-or.ani!me demeure toujour! re!pon!a*le de la conformit du traitement( m me !i la ,34L a accord une autori!ation de mi!e en Duvre$ 10 %elon le cla!!ement de ri!que! ta*li par notre ,a*inet ; 1 ? mineur ; cart formel Q 2 ; cart involontaire ' une o*li.ation du re!pon!a*le de traitement Q 3 ; cart involontaire ' une o*li.ation !ur de! point! !pcialement prot.! par la loi Itel! que le traitement !an! autori!ation de donne! !en!i*le!J( ri!quant de porter atteinte ' la vie prive de! per!onne! Q 4 ; cart volontaire ' la loi( ou cart a#ant rellement mi! en dan.er la vie prive de! per!onne!$ 15 Ain!i qu-un cart important ' l-interdiction de traitement de donne! !en!i*le!( anal#! en L$9$C pa.e 99 19 Le titre ori.inel de la loi e!t *el et *ien 4nformatique( fic"ier! et li*ert! + 20 La loi ne prvoit toutefoi! de !anction! pnale! que pour certaine! de ce! non-conformit! papier +
Cabinet C%&78
25/,/
&es docu#ents papier relatifs . l'instruction et l'attribution du lo6e#ent sont dsor#ais erss aux 9rc+i es de l'*r6anis#e sous la #N#e cote de dossier- %l est ncessaire de conser er ces piAces afin de rpondre . toute 1uestion ou r1uisition dans le cadre du contentieux de l'attribution ou de l'accAs aux docu#ents ad#inistratifs 2 rifications d olues . la M%%&*=3, et en application des rA6les d'accAs aux dossiers ad#inistratifs 2C9<93&'*ffice a 6ale#ent pris la dcision d'appli1uer la #N#e slection aux dossiers d4. prsents en 96ence- Hn c+antier de rification de c+acun des 120-000 dossiers papier a Ntre lanc, afin d'arc+i er en central les docu#ents non ncessaires . la 6estion locati e ralise en a6ence 21&e contrBle de la C$%& n'a pas rele d'cart sur ce point de l'existence de docu#ents papier non ncessaires . la 6estion du dossier&'audit n'a rele aucun cart sur ce point de la ncessit *[ Ce point ne prsente pas d'cart-
,-2-, &o@aut et licit

&a collecte des donnes est transparente&'*r6anis#e ne collecte pas de donnes ou des infor#ations sur les de#andeurs ou les dtenteurs de lo6e#ents par des #o@ens ill6aux ou dont les personnes n'auraient pas connaissance&e contrBle de la C$%& n'a pas rele d'cart sur ce point&'audit n'a rele aucun cart sur ce point*[ Ce point ne prsente pas d'cart-
,-2-5 =ensibilit
1n appelle !en!i*ilit + du traitement le fait de .rer de! information! fai!ant partie de la li!te e)"au!tive de donne! qualifie! de !en!i*le! + par la loi Ivoir en anne)e( pa.e L1J$ &es fic+es des locataires ne co#portent pas d'infor#ations l6ale#ent sensibles de t@pe politi1ues, s@ndicales, reli6ieuses, ou et+ni1ues&es fic+es des locataires ne co#portent d'infor#ations, l6ale#ent sensibles, relati es aux prfrences sexuelles des personnesCertaines fic+es des locataires co#portent des donnes, l6ale#ent sensibles, relati es aux difficults sociales de personnes 2entre 20 et ,0T des fic+es selon notre audit3Ce traite#ent est l6al du fait de l'9 is de la C$%&, dli r en 4uillet 200/ 2relA e de la for#alit de l'9utorisation depuis la rfor#e de 200,3Certaines fic+es des locataires co#portent des donnes relati es . la sant des personnesCet aspect n'est pas confor#e . la loi %nfor#ati1ue et &ibertsG cet cart est renforc par la isibilit lar6e de ces donnes- $i le no#bre relati e#ent faible de fic+es concernes, ni l'existence de ces cat6ories d'infor#ations au Code de la construction et de l'+abitat et au C7RL9 de 6estion locati e n'autorisent Paris)(abitat *P( . dtenir ces donnes G seule une 9utorisation de la C$%& peut per#ettre l6ale#ent ce traite#ent, dans des conditions propres . li#iter tout ris1ue d'atteinte . la ie pri e des personnes 2par exe#ple, utilisation de ni eaux de fra6ilit de sant et en aucun cas saisie de dia6nostic3-
21 ,e c"antier de !lection appliquera .alement le! dure! de con!ervation de! document! papier( note! en cart par la mi!e en demeure de la ,34L IcritEre de conformit Fure de con!ervation +( pa.e O:J$
Cabinet C%&78
29/,/
@O
Ce point prsente un cart de ni eau /
Certaines fic+es des locataires co#portent des donnes relati es . des infractions ou conda#nations&'ob4et social de Paris)(abitat *P( ne correspond pas . cette conser ation d'infor#ations, elles doi ent donc Ntre suppri#es- >ien 1ue ces infor#ations soient parfois co##uni1ues par les locataires ou leurs proc+es, elles ne doi ent plus Ntre saisies, #N#e . l'appui d'une de#ande de #utation&es infor#ations relati es . des infractions ou conda#nations trou ent une 4ustification dans le cadre de la 6estion du Contentieux, 6r par la <irection des 9ffaires ?uridi1ues 2au siA6e et de #aniAre dconcentre dans les <irections Ierritoriales3 F la C$%& #et en de#eure Paris)(abitat *P( de dposer une de#ande d'9utorisation afin d'exercer cette fonction de #aniAre l6ale et contrBle@O Ce point prsente un cart de ni eau /
,-2-6 Eualit
&e contrBle de la C$%& n'a pas rele d'cart sur ce point&'audit n'a rele aucun cart sur ce point*[ Ce point ne prsente pas d'cart-
,-2-0 <ure de conser ation

@O &a C$%& a rele une conser ation excessi e de docu#ents papier-
,-2-5 =curit
&e contrBle de la C$%& a rele un cart de ni eau / sur ce point F selon l'anal@se de la Co##ission, les 6ardiens ne seraient autoriss . accder aux dossiers d'aucun locataire9u re6ard de l'anal@se du courrier de rponse du 11,/2011, esti#ant 1ue les 6ardiens ne sont pas des tiers, on peut anal@ser cet cart co##e un cart de proportionnalit : dans ce cadre, il n'est pas anor#al 1ue les 6ardiens aient accAs . des dossiers si ce sont ceux des locataires dont ils ont la c+ar6e dans le cadre de leur affectation 2r6uliAre, en re#place#ent pr u ou d'ur6ence3Par contre, le fait 1ue les 6ardiens aient accAs . des donnes de locataires +ors de leur Zone de co#ptence, 1ue ces donnes soient co#plAtes ou partielles, constitue #anifeste#ent un cart de confor#it@O Ce point prsente un cart de ni eau /
,-2-9 Ierritorialit
&'audit n'a rele aucun cart sur ce point*[ Ce point ne prsente pas d'cart-
Cabinet C%&78
/0/,/
,-2-10 Iransparence
4.2.1A.1 cco"plisse"ent des for"alits
L$9$1:$1$1 Fclaration initiale &a dclaration est inter enue en 4uillet 200/, selon la procdure d'9 is 22, en r6ularisation : le traite#ent a ait t #is en Pu re dbut 2001ILa mi!e en demeure fait rfrence ' la date du 19 juillet 9:1: pour cette dclaration il !em*le !-a.ir d-une erreur tec"niqueJ$ L$9$1:$1$9 Rvolution! du traitement &es #odifications sur les donnes traites inter enues depuis cette date : telles 1ue l'a4out de l'adresse e)#ail ne se#blent pas de oir Ntre 1ualifies de substantielles : elles n'i#posent donc pas de de#ande d'autorisation co#pl#entaire&es #odifications sur les conditions d'e2ercice du traite"ent : telles 1ue le c+an6e#ent partiel d'arc+itecture infor#ati1ue ou la #ise en place de nou elles a6ences ne se#blent pas de oir Ntre 1ualifies de substantielles : elles n'i#posent donc pas de de#ande d'autorisation co#pl#entaire&e dploie"ent de l'infor"ati%ue en loges n'a pas donn lieu . une infor#ation . la C$%& ni . une de#ande for#elle de de#ande d'autorisation- Paris)(abitat *P( ne se#ble pas s'Ntre interro6 sur l'opportunit ou la ncessit de raliser une telle de#ande>ien 1u'on puisse s'interro6er sur la ncessit de de#ander une olution de l'autorisation, le fait de consulter la C$%& aurait pu soule er les 1uestions de fond sur l'opportunit de dplo@er les appli ) cations, sur le rBle des 6ardiens et leur +abilitation . consulter ces donnes, et sur l'tendue de la isibi ) lit sur ces donnes&e contrBle de la C$%& n'a pas rele d'cart sur ces points relatifs . l'acco#plisse#ent des for#alits&'audit n'a rele aucun autre cart sur ces points*[ Ce point ne prsente pas d'cart-
L$9$1:$1$O 8inalit! non dclare! &e contrBle de la C$%& a 4uste#ent rele 1ue le fait de noter dans les Zones de texte libre les infor#ations relati es . la sant des locataires ou de leurs proc+es, ou les infor#ations relati es aux difficults 4udiciaires de ces #N#es personnes, constituait un traite#ent de ! donnes sensibles ' au sens de l'article 5 de la loi : 1uand bien #N#e ces infor#ations ont t libre#ent co##uni1ues par les personnes aux c+ar6s de 6estion locati e ou, plus rce##ent, aux 6ardiens, dans le but de fournir des 4ustificatifs . des de#andes de c+an6e#ent de lo6e#ent ou dans le cadre de difficults de paie#ent des lo@ersCette finalit doit donc Ntre encadre et dclare : ia une de#ande d'9utorisation*[ Ce point prsente un cart de ni eau /-
4.2.1A.2 Infor"ation au2 personnes

&e for#ulaire C7RL9 1,069, nor#alis, co#porte les #entions l6ales ncessaires au respect de l'article /2 de la loi F finalits du traite#ent, identit du responsable de traite#ent, existence de droits d'accAs, rectification et opposition, et #o@ens d'exercice de ces droits-
22 Fepui! la rforme de 9::L( la procdure applica*le pour ce t#pe de traitement e!t la demande d-Autori!ation$
Cabinet C%&78
/1/,/
&es locataires concerns ont t infor#s du dploie#ent de l'infor#ati1ue dans la lo6e de leur 6ardien par une ca#pa6ne d'affic+a6e #entionnant briA e#ent la 6estion locati e*[ Ce point ne prsente pas d'cart-
Cabinet C%&78
/2/,/
4.3 B#nt$Cse de l'&aluation du traite"ent

,-/-1 Iableau de s@nt+Ase
CritCre de confor"it (cart indi%u par la CNI* (cart co"pl"entaire rele& aucun aucun aucun +e"ar%ues de l'auditeur
Linalit $otification initiale 2de#ande d'a is3 $otifications co#pl#entaires
aucun aucun aucun
aucune aucune &a 1uestion de la #ise . 4our de la dclaration n'a pas t s@st#ati1ue lors de c+a1ue #odification du lo6iciel 2 ersion, #odule, para#tra6e3 aucune
%nfor#ation aux personnes 7xercice des droits d'accAs, rectification et opposition &6iti#it &o@aut et licit Proportionnalit $cessit des donnes =curit <ure de conser ation Destion des donnes sensibles Politi1ues, reli6ieuses, et+ni1ues, s@ndicales, p+ilosop+i1ues $u#ro de scurit sociale =ant ;ie sexuelle <ifficults sociales %nfractions et conda#nations %nterconnexion
<ans le courrier du 1,///2011, non dans la #ise en de#eure aucun
aucun
aucun
<es personnes ont exerc ce droit
aucun aucun aucun (cart (cart (cart Rcart! !ur le! donne! de !ant et relative! au) infraction! aucun
aucun aucun
aucune aucune ces carts rele s par la C$%& peu ent 6ale#ent Ntre anal@ss co##e rele ant d'une utilisation ou d'une diffusion non proportionne aucune
aucun
aucun
aucun
aucune
aucun (cart aucun pas d'cart du fait de l'a is (cart aucun
aucun aucun aucun aucun aucun aucun aucun aucun
aucune Cet cart n'a ait pas t identifi par Paris (abitat)*P( aucune 2cette 6estion est l6iti#e et dO#ent dclare3 Cet cart n'a ait pas t identifi par Paris (abitat)*P( aucune aucune aucune
$cessit d'un lo6e#ent aucun adapt au (andicap Ierritorialit aucun
Cabinet C%&78
///,/
4.4 bsence de &iolation de l'esprit et du fond de la loi

%l est #anifeste 1ue Paris (abitat)*P( a #connu ses responsabilits for#elles et de fond, aboutissant ainsi . plusieurs situations de non)confor#it : en particulier dans le do#aine de la collecte d'infor#ations sensibles relati es . la sant des personnes ou des infractions et conda#nationsIoutefois, l'auditeur relA e F

1ue cette #connaissance est courante, et 1ue ces carts de confor#it n'ont pas rsult d'une olont dlibre de ioler la loi ou de l'i6norer G 1u'. notre connaissance, et sous rser e de nou elles dcou ertes, l't+i1ue des utilisateurs les a conduits . s'auto)r6uler, sur la base de leur anal@se #orale de la situation- Ceci a it toute iolation de la ie pri e des personnes F aucun cas de fuite #ineure ou #assi e de donnes ers l'extrieur, aucune discri#ination, aucun 4u6e#ent de aleur sur les personnes n'ont t rele s ou all6us9insi F

les conseillAres sociales ont refus d'utiliser l'application de 6estion lors1ue la confidentialit des infor#ations n'tait pas 6arantie, les infor#ations des bloc)notes ou ! c+a#ps co##entaires ', suppri#es en ur6ence, ne portaient 1ue sur des infor#ations #esures, non excessi es, co##uni1ues par les locataires eux)#N#e-
&a C$%& n'a pas rele de iolation du principe fonda#ental pos par l'article 1 de la loi : le respect de la ie pri e des personnes- ='il a ait eu lieu de #aniAre #assi e et or6anise, le traite#ent de donnes sensibles aurait certaine#ent conduit la Co##ission . rele er et sanctionner cette iolation<e #N#e, les finalits du traite#ent Destion locati e : instruction, attribution, 6estion, #utations, fin de contrat et contentieux : dclares . la C$%& en 200/ n'ont pas t dtournes- $otre #ission a audit ces finalits et n'a pas rele d'cart-
Cabinet C%&78
/,/,/
=ection 5 : C aluation du plan d'action

5.1 0esures du plan d'action
!oint de la "ise en de"eure <e#ander une autorisation de #ise en Pu re du traite#ent relatif aux infractions, conda#nations et #esures de sOret ction Dtat au 1EF3F2A12 (&aluation <e#ande concernant les 7n cours de prparation pour %l s'a6it de #esures de dossiers 6rs par le Contentieux dpBt . la C$%& a ant le 26//- r6ularisation : celle)ci est 2article 25)/3 parta6e par un 6rand no#bre de <irections 4uridi1ues <e#ande concernant les infor#ations relati es . des infractions ou conda#nations, int6res dans la 6estion des contacts et ne#ents 7n cours de prparation pour dpBt . la C$%& a ant le 26//-
=uppri#er les C+a#ps ! bloc)notes ' du Ious les c+a#ps ont t &es #esures ont t #ise en co##entaires non co#pte 9ffaire / 6estion locati e suppri#s #anuelle#ent Pu re . 6rande c+elle et ad1uats, non pertinents dans la se#aine sui ant la sans dlaiou excessifs, et eiller . ne #ise en de#eureplus en enre6istrer G Hne #ention ! saisie te#poraire#ent interdite ' est inscrite dans tous les c+a#ps toutes les nuitsHn pro6ra##e de pur6e tourne toutes les nuits et force cette #ention de saisie interdite Lic+es 9ttribution clBtures Pur6e #anuelle ralise Pro6ra##e auto#atis de suppression #anuelle F en cours
>loc)notes et co##entaires des Pur6e #anuelle ralise pour dossiers contentieux les dossiers closPro6ra##e auto#atis de suppression F en cours <ossiers actifs F en cours de r ision au fil de l'eau par les rdacteurs contentieux $e plus enre6istrer ^ones de texte libre de D<C d'infor#ations dtailles sur la sant des locataires et de leur entoura6e fa#ilial Mise en place de consi6nes isuelles aux utilisateurs Mise en place d'un filtre en te#ps rel interdisant les #ots interdits Cat6orisation en cours, re#place#ent de la saisie par la slection de aleur2s3 dans une liste =pcifications en cours de rdaction et de co##ande . l'diteur =pcifications en cours de rdaction et de co##ande . l'diteur
$ote interne d'infor#ation aux Lait utilisateurs, rappelant les bonnes prati1ues 9rc+i er les donnes dont <cision de rifier tous les la conser ation n'est pas dossiers papier et d'arc+i er en C aluation de la c+ar6e en cours, planification sur &e c+antier reprsente plusieurs annes)+o##e :
Cabinet C%&78
/5/,/
!oint de la "ise en de"eure 4ustifie, en particulier les central dossiers ! papier '
ction
Dtat au 1EF3F2A12 plusieurs #ois
(&aluation un appel d'offres ers des prestataires externes sera ncessaire
Retirer l'accAs aux Retrait des autorisations aux 6ardiens aux infor#ations 6ardiens relati es . la 6estion locati e, et #ettre en place un dispositif de traMabilit des accAs dans l'application 9cti ation de 4ournaux s@stA#e co#pl#entaires Co##ande . l'diteur pour des olutions de l'application GH+DB 0DBG+DB
(ors la 6estion des incidents tec+ni1ues
7n place en #a4eure partie 7n cours
<si6nation d'un Correspondant %nfor#ati1ue et &iberts et 7n cours de dcision #ise en place d'une structure de sui i continu de la confor#it
Cette #esure est 6nrale#ent une 6arantie forte du #aintien de la confor#it suite . une prise de conscience-
5.2 !ertinence globale

&es #esures #a4eures rpondant . la #ise en de#eure ont t bien identifies par le Co#it de Pilota6e et ont t affectes de ni eaux de priorit adapts&es #esures ur6entes ont t ralises a ec une rapidit 1ue nous a ons rare#ent l'occasion d'obser er- &es dates de ralisation planifies pour les #esures de fond, ou ncessitant des tra aux de la part de l'diteur, nous se#blent pertinentes et adaptes9u)del. de la rponse ponctuelle . la #ise en de#eure, l'*r6anis#e paraJt dsor#ais conscient de ses responsabilits en #atiAre de 6estion des donnes personnelles et en6a6 dans une relle politi1ue de #ise en confor#it prenne- &a dcision de dsi6ner un Correspondant %nfor#ati1ue et &iberts, 1ui posera claire#ent les responsabilits en #atiAre de confor#it, est un l#ent #a4eur de cette prise de conscience-
Cabinet C%&78
/6/,/
Conclusion
9 l'issue de cette #ission, nous considrons 1ue l'ense#ble des causes des carts #is en lu#iAre par la C$%& ont t identifies- %l ressort 6ale#ent des runions de prsentation, en particulier au Conseil d'9d#inistration, 1ue ces causes ont t relle#ent co#prises par Paris (abitat *P(&'audit a 6ale#ent constat 1ue les #N#es 1uestions, 1ui se posaient en 190, et ont conduit . la cration de la loi %nfor#ati1ue et &iberts, ont resur6i lors de cette situation de crise, en particulier au Conseil d'9d#inistration du 22 #ars 2012 F l'infor#ati1ue a)t)elle conduit . un fic+a6e 6nralis des locataires Y 9)t) elle t utilise pour des attributions de lo6e#ents selon des critAres sub4ectifs ou ill6aux Y Ces 1uestions sont tou4ours l6iti#es, elles posent la 1uestion de la finalit des outils et de la transparence&'audit rpond par la n6ati e . ces deux 1uestions- $i l'audit ni la C$%& n'ont constat d'cart du traite#ent par rapport aux finalits du s@stA#e F le s@stA#e ne sert 1u'. la 6estion locati e, de l'attribution au dpart du locataire G il n'a aucune fonction cac+e- &e principe de transparence pos par la loi, fondant le libre accAs des locataires . l'ense#ble de leur dossier, per#et . c+acun de le rifier&es actions ralises par l'*ffice : trAs rapide#ent, dAs la rception de la #ise en de#eure pour les actions de netto@a6e des fic+iers, puis de #aniAre plus planifie suite aux c+an6es a ec la C$%& : ont per#is d'appli1uer la loi au)del. de la lettre des textes, dans l'ob4ectif d'un #eilleur respect du principe de la protection de la ie pri e- &es actions pr ues pour les proc+ains #ois, et en particulier la dsi6nation d'un Correspondant . la Protection des donnes . caractAre personnel, participent . la prennisation des actions de #ise en confor#itCette protection des donnes personnelles et cette confor#it n'taient pas positionnes . un bon ni eau de priorit G nous ne doutons pas 1u'elles seront dsor#ais plus prsentes dans c+acun des pro4ets d' olution de Paris (abitat *P(-
Cabinet C%&78
/0/,/
=ection 6 : 9nnexes
1.1 'finitions du &ocabulaire 4 Infor"ati%ue et *iberts 6
6-1-1 C+a#p d'application de la loi
&a loi nU05)10 du 6 4an ier 1905 #odifie le 6 aoOt 200, tablit les rA6les de protection des donnes . caractAre personnel a ec pour ob4ectifs F

la protection de la ie pri e des personnes concernes 2#oi)#N#e, les salaris, les clients, Q3 la scurit des personnes 2int6rit p+@si1ue, biens, Q3
6-1-2 <onnes . caractAre personnel

Hne donne . caractAre personnel est une infor#ation 1ui identifie directe#ent ou indirecte#ent une personne p+@si1uePar exe#ple F nu#ro identifiant, no#, adresse lectroni1ue, adresse %P, i#a6e de la personne, son de la oix, e#preintes di6itales, i##atriculation +icule, nu#ro carte bleue etcHne donne de ient . caractAre personnel lors1u\elle per#et de connaJtre l\identit d\un indi idu ou de reconstituer sa personnalit-
6-1-/ Iraite#ent
&e traite#ent est un ense#ble d\oprations portant sur des donnes . caractAre personnel ralis dans le cadre d\une finalit/ob4ectif dter#ine/ar e)emple ; la .e!tion de! proce!!u! 70( le! .e!tion de! accE! au) locau)( la vidoprotection( la .olocali!ation de! v"icule!( la c#*er!urveillance( la con!ervation de! donne! de conne)ion( etc$ 9u sens de la loi, le traite#ent n\est pas un outil infor#ati1ue #ais un processus- &e lo6iciel n\est 1ue l\outil per#ettant de #ettre en Pu re le traite#ent&a loi s\appli1ue aussi aux traite#ents de donnes . caractAre personnel #is en Pu re #anuelle#ent et or6aniss de #aniAre structure et stable 2fic+ier papier, classeurs, rpertoiresQ3>ien 1ue les traite#ents ! papier ' ne doi ent pas Ntre dclars . la C$%&, cette derniAre peut aussi les contrBler-
6-1-, Responsable de traite#ent

&e responsable de traite#ent est, en 6nral, l\entreprise, personne #orale, reprsente par son diri6eant ou toute personne a@ant eu une dl6ation de pou oirs%l ne faut pas confondre le responsable 2l6al3 du traite#ent et le responsable oprationnel du traite#ent- &e pre#ier supporte la responsabilit 4uridi1ue, le deuxiA#e est celui 1ui excute concrAte#ent le traite#ent : et 6nrale#ent celui qui paie, 1ui 6Are le bud6et d'i#putation&e responsable des traite#ents reste responsable des traite#ents 1u\il sou+aite confier . un sous)traitant-
6-1-5 <onnes sensibles

&es donnes . caractAre personnel dites ! sensibles ' sont des infor#ations 1ui relA ent de l\inti#it de l\indi idu-
Cabinet C%&78
/5/,/
Par exe#ple F l\ori6ine et+ni1ue, la reli6ion, les opinions politi1ues et p+ilosop+i1ues, l\appartenance s@ndicale, la sant, l\orientation sexuelle, les infractions et les conda#nations, la bio#trie, le nu#ro de scurit sociale 2$%R3, les difficults sociales&a loi interdit de traiter les donnes . caractAre personnel sensibles, sauf autorisation accorde par une autre loi ou par la C$%&-
1.2 CritCres de confor"it des traite"ents de donnes . caractCre personnel

&a loi de 1905 dfinit plusieurs critAres de confor#it des traite#ents de donnes . caractAre personnel : la iolation de c+acun de ces critAres est passible de sanctions pnalesCes critAres sont 6ale#ent la base l6ale de l'apprciation de la confor#it par la C$%& lors de l'instruction des dclarations ou des de#andes d'autorisation des traite#ents : ou du Correspondant %nfor#ati1ue et &iberts, lors1u'un or6anis#e dcide de 6rer pleine#ent sa confor#it en interneCes critAres per#ettent enfin de rifier la confor#it des traite#ents lors d'un contrBle de la C$%&-
6-2-1 Linalit
&a finalit est le fil directeur du dispositif l6al de la protection des donnes . caractAre personnel- &'article 6)2U de la loi dispose 1ue la finalit doit Ntre ! dter#ine, explicite et l6iti#e '9insi, ces donnes ne peu ent pas Ntre collectes sans un but prcis 2/ G cette finalit du traite#ent doit 6ale#ent respecter l'1uilibre entre les intrNts du responsable du traite#ent et ceux de la personne concerne&a finalit est l'l#ent fonda#ental d'apprciation du principe de proportionnalit F donnes collectes, dure de conser ation, scuritQ7lle dter#ine 6ale#ent le responsable du traite#ent F il est celui 1ui dter#ine la finalit et les #o@ens du traite#ent&e responsable du traite#ent a l'obli6ation de co##uni1uer cette finalit F au #o#ent de la collecte des donnes, ainsi 1ue sur ses dclarations . la C$%& ou au Re6istre du C%&&e dtourne#ent de finalit est une infraction pnale punie de /00 000 _ d'a#ende et de 5 ans de prison 2Code pnal art- 226)213-
6-2-2 &6iti#it
&'article 0 de la loi i#pose au responsable du traite#ent de 4ustifier du bien fond de la #ise en Pu re du traite#ent&e principe de base est ici 1ue toute personne concerne doit consentir pralable#ent au traite#ent de ses donnes . caractAre personnel&'article 2 de la directi e europenne du 2, octobre 1995 dfinit le consente#ent co##e ! toute manife!tation de volont li*re( !pcifique et informe par laquelle la per!onne concerne accepte que de! donne! ' caractEre per!onnel la concernant fa!!ent l-o*jet d-un traitement '- Eu'il soit si#ple 2acceptation tacite3 ou exprAs 2un acte crit3, l'obtention du consente#ent de la personne concerne est une condition essentielle de confor#it du traite#ent-
2/ 3anmoin!( dan! la me!ure oT l-utili!ation de! donne! e!t multiple( le l.i!lateur a prvu que le! donne! dj' collecte! et traite! pouvaient tre utili!e! pour de nouveau) traitement!( !ou! r!erve que l-utili!ation ne !oit pa! incompati*le avec le! finalit! initiale! + IL$1978( article 6-9UJ$
Cabinet C%&78
/9/,/
Cependant, cette obli6ation 6nrale de consente#ent pralable fait l'ob4et de cin1 dro6ations, nota##ent lors1ue la personne concerne ne peut pas l'expri#er #atrielle#ent&a l6iti#it du traite#ent peut alors rsulter F

<u respect d'une obli6ation l6ale G <e la sau e6arde de la ie d'une personne concerne G <e l'excution d'une #ission de ser ice public G <e relations contractuelles G <e la ralisation d'un intrNt l6iti#e du responsable du traite#entCette derniAre exception per#et l'existence de la plupart des ! traite#ents #tier ' #is en en Pu re par le responsable du traite#ent dans le cadre de son acti it, en respectant le principe de propor) tionnalit F il ne peut constituer un fonde#ent 4uridi1ue du traite#ent 1ue s'il ne #connaJt pas les liberts et les droits fonda#entaux des personnes concernes-
6-2-/ $cessit et Proportionnalit

&e principe de proportionnalit, appel aussi ! principe de la minimi!ation de! donne! ', obli6e le responsable des traite#ents . ne collecter 1ue des donnes personnelles ! ad1uates, pertinentes et non excessi es au re6ard de la finalit du traite#ent ' 2article 6)/U2,39utre#ent dit, le pri#Atre dfini par la finalit du traite#ent dter#ine la 1uantit, la nature 2sensible ou non3 et l'exactitude des infor#ations personnelles recueillies&e principe de ncessit s'oppose au principe d'utilit F le responsable de traite#ent doit distin6uer entre les donnes absolu#ent ncessaires, telles 1ue le no# d'une personne, et les donnes si#ple#ent utiles, telles un adresse e)#ail- Ce principe conda#ne les collectes de donnes ! au cas o` '&a C$%& fait, par exe#ple, application du principe de proportionnalit 1uand elle restreint l'usa6e du nu#ro de scurit sociale ou de la bio#trie- %l est proportionn d'utiliser des serrures bio#tri1ues dans une centrale nuclaire G #ais leur utilisation pour contrBler l'accAs aux c+a#bres d'une fo@er de 4eunes tra ailleurs est #anifeste#ent disproportionn-
6-2-, &o@aut et licit

&'article 6)1U i#pose 1ue les donnes soient ! collectes et traites de #aniAre lo#ale et licite '&a notion de collecte ren oie aux diffrents #odes de recueil de la donne personnelle F auto#atiss ou #anuels, 6nrale#ent sui is d'un enre6istre#ent infor#ati1ue- &a 4urisprudence considAre 1ue la collecte est constitue #N#e en l'absence d'un enre6istre#ent dans un fic+ier 25&a lo@aut de la collecte est le corollaire du principe de transparence F les donnes . caractAre personnel ne doi ent pas Ntre collectes . l'insu de la personne concerne 2espionna6e ia des ca#ras cac+es3 ou par des prati1ues dlo@ales ou frauduleuses 2! ac+at ' de donnes auprAs de fonctionnaires de police3&'exi6ence de licit ise . la fois la finalit du traite#ent 26, les donnes . caractAre personnel et les #o@ens de collecteProcder . une collecte dlo@ale ou illicite est une infraction pnale punie de /00 000 _ d'a#ende et de 5 ans de prison 2Code pnal art- 226)15 3-
2, Voir au!!i ,A /ari!(1Le c"$( 9C juin 9::8( %ocit 3ote9*e$com c< %3&%-8%H 25 ,our de ,a!!ation( ,"$ ,rim( 1L mar! 9::6 26 Ain!i la li!te de! client! d-un dealer de dro.ue !erait-elle par nature illicite
Cabinet C%&78
,0/,/
6-2-5 =ensibilit
&a loi 1ualifie certaines donnes . caractAre personnel de ! sensibles 'F leur traite#ent peut porter atteinte au respect du droit de la ie pri e et aux liberts fonda#entales des personnes concernes- &e l6islateur a ainsi sou+ait iter tout traite#ent pou ant fa oriser d' entuelles discri#inations7n principe et sauf cas exceptionnels, la loi interdit donc en son article 5)% de collecter ou de traiter les donnes . caractAre personnel du do#aine de l'inti#it F donnes 1ui font apparaJtre, directe#ent ou indirecte#ent, les ori6ines raciales ou et+ni1ues, les opinions politi1ues, p+ilosop+i1ues, reli6ieuses ou l'appartenance s@ndicale des personnes, ou 1ui sont relati es . la sant ou . la ie sexuelle des personnes&e traite#ent des donnes personnelles sensibles sans autorisation est une infraction pnale punie de /00 000 _ d'a#ende et de 5 ans de prison 2Code pnal art- 226)19 3<'autres cat6ories de donnes . caractAre personnel sont 1ualifies de sensibles F leur nature peut porter 6ra e#ent atteinte aux droits et liberts des personnes concernes F
&e nu#ro d'inscription au rpertoire 2$%R3 ou nu#ro de scurit sociale G le traite#ent du $%R sans autorisation est une infraction pnale punie de /00 000 _ d'a#ende et de 5 ans de prison 2Code pnal art- 226)16)13 G &es donnes relati es aux infractions, conda#nations et #esures de sOret G &es donnes bio#tri1ues G &es donnes co#portant des apprciations sur les difficults sociales des personnes G &es fic+iers . finalit n6ati es 2alertes professionnelles3 ou listes noires G &es interconnexions de fic+iers-
=i l'utilisation de ces donnes n'est pas i#pose ou autorise par un texte de loi spcifi1ue, le responsable sou+aitant #ettre en Pu re un traite#ent portant sur de telles donnes sensibles ou a@ant un caractAre sensible doit alors obtenir une autorisation de la C$%& pralable#ent . la #ise en place du traite#ent-
6-2-6 Eualit
&'article 6),U i#pose au responsable de traite#ent de ! tout #ettre en Pu re pour 1ue les donnes . caractAre personnel soient exactes, co#plAtes et #ises . 4our au re6ard des finalits pour les1uelles elles sont collectes 'Cette obli6ation est . #ettre en lien a ec l'obli6ation de rectification des donnes pr ue . l'article ,0 de la loi-
6-2-0 <ure de conser ation

&'article 6)5U dispose 1ue ! Vles donnesW sont conser es sous une for#e per#ettant l\identification des personnes concernes pendant une dure 1ui n\excAde pas la dure ncessaire aux finalits pour les1uelles elles sont collectes et traites- ' &e responsable du traite#ent doit li#iter dans le te#ps la conser ation des donnes . caractAre personnelCette obli6ation est parfois rebaptise ! droit . l'oubli '&a dure de conser ation des donnes personnelles est fixe en tenant co#pte de la ou des finalits du traite#ent en isa6 2Principe de proportionnalit3&a C$%& a adopt une reco##andation 20 1ui dfinit des t@pes d'arc+i es propres . assurer l'1uilibre entre les obli6ations l6ales et le droit . l'oubli-
20 Fli*ration nU9::C-91O du 11 octo*re 9::C
Cabinet C%&78
,1/,/
&a Co##ission distin6ue trois t@pes d'arc+i es F
&es arc+i es courantes F il s'a6it des donnes d'utilisation courantes par les ser ices concerns du responsable de traite#ent- Par exe#ple F la 6estion de la paie, la 6estion des clients, les traite#ents #tier&es arc+i es inter#diaires F il s'a6it des donnes 1ui prsentent encore pour les ser ices concerns un intrNt ad#inistratif- Par exe#ple F la 6estion du contentieux, le calcul des droits . la retraite&es arc+i es dfiniti es F il s'a6it des donnes prsentant un intrNt +istori1ue, scientifi1ue ou statisti1ue- 7lle ne font pas l'ob4et d'une destruction-
&es arc+i es courantes et inter#diaires ncessitent de dter#iner une dure de conser ation proportionnelle aux finalits des traite#ents&e fait de conser er des donnes . caractAre personnel au)del. d'une li#ite raisonnable est une infraction punie de /00 000 _ d'a#ende et de 5 ans de prison 2Code pnal 9rt-226)203-
6-2-5 =curit
&'article /, de la loi i#pose au responsable du traite#ent ! de prendre toutes les prcautions utiles, au re6ard des ris1ues prsents par le traite#ent 2principe de proportionnalit3, pour prser er la scurit des donnes . caractAre personnel- %l doit e#pNc+er 1ue ces donnes soient dfor#es, endo##a6es, ou 1ue des tiers non autoriss @ aient accAs- ' 9prAs a oir identifi les ris1ues potentiels, il est reco##and de #ettre en place une politi1ue de scuritCette politi1ue doit infor#er les personnes a@ant accAs aux donnes personnelles de la #arc+e . sui re pour prot6er l'int6rit et la confidentialit 2scurit des locaux, politi1ue de #ots de passe, sur eillance du rseau, sau e6ardes, plan de reprise d'acti it, etc3&'article /5 propa6e l'obli6ation de scurit en #atiAre de sous)traitance- &e contrat liant le sous)traitant au responsable du traite#ent doit co#porter l'indication des obli6ations inco#bant au sous)traitant en #atiAre de protection de la scurit et de la confidentialit des donnes G le sous)traitant doit a6ir sur instruction du responsable de traite#ent&a C$%& utilise , critAres25 pour identifier le sous)traitant F

CritAre de transparence 2le no# du sous)traitant n'apparaJt pas3 $i eau d'instruction 2de6rs d'autono#ie3 $i eau de contrBle 2possibilit d'auditer le sous)traitant3 7xpertise 21ui dcide des #o@ens . #ettre en Pu re3
&e non respect de l'obli6ation de scurit est une infraction punie de /00 000 _ d'a#ende et de 5 ans de prison 2Code pnal art-226)103
6-2-9 Ierritorialit
&a loi s'appli1ue aux traite#ents dont le responsable est tabli sur le territoire franMais G l'article 69 interdit le transfert de donnes personnelles en de+ors de l'Hnion 7uropenne, sauf . obtenir une autorisation de la Co##ission ou bnficier des exceptions pr ues par d'autres 2et co#plexes3 dispositions&e transfert de donnes non autoris est une infraction punie de /00 000 _ d'a#ende et de 5 ans de prison 2Code pnal art-226)22)13-
25 Kuide de la ,34L !ur tran!fert de! donne! ' caractEre per!onnel ver! de! pa#! tier! ' l-union europenne
Cabinet C%&78
,2/,/
6-2-10 Iransparence
&'article 22 de la loi i#pose au Responsable de Iraite#ents de raliser le traite#ent de #aniAre transparente : et pr oit donc 1ue le Iraite#ent soit notifi . la C$%&, selon plusieurs ni eaux de for#alit- 7n application de l'article /1 de la loi, toute personne peut de#ander . la C$%& la liste des traite#ents #is en Pu re par toute entreprise ou or6anisation, sans 1u'il soit besoin d'aucune 4ustificationCette obli6ation de notification peut prendre plusieurs for#es, en fonction du ris1ue pour la ie pri e des personnes F
dispense de dclaration F la C$%& peut dispenser certains traite#ents, tels la Paie, de dclaration, du fait de l'absence de ris1ue pour la ie pri e%l faut bien co#prendre 1ue a3 cette dispense n'est applicable 1ue si le traite#ent se confor#e en tous points au cadre fix par la Co##ission dans sa dcision de dispense, et 1ue b3 la dispense ne s'appli1ue 1u'. la for#alit de dclaration : pas aux autres critAres de confor#it F l'or6anis#e de#eure donc responsable des critAres de ncessit, de scurit, de dure de conser ation, de proportionnalit--- dfinis par la loi et prciss par la C$%& dans ses dcisions de dispense-
dclaration selon une nor"e si"plifie 2$=3, dite aussi <claration si#plifie F la C$%& peut dfinir une nor#e si#plifie pour les traite#ents courants, si#plifiant la for#alit F il suffit 1ue le responsable de traite#ent s'en6a6e . respecter la nor#e pour Ntre en confor#itCet en6a6e#ent ncessite ide##ent d'a oir pralable#ent rifi 1ue le traite#ent correspond relle#ent au contenu dfini par la nor#e tablie par la C$%& G et donc de rifier la confor#it de l'ense#ble des points de confor#it-
dclaration nor"ale F cette for#alit i#pose de dcrire le traite#ent prcis#ent auprAs de la C$%&, et de s'en6a6er . respecter les l#ents dclars : tels la finalit, les donnes collectes, la dure de conser ation, la scurit--- tout au lon6 de la ie de l'application<epuis 2011, ces for#ulaires de dclarations sont lar6e#ent all6s par rapport aux for#ulaires utiliss au dbut des annes 2000-
autorisation F cette for#alit concerne les traite#ents concernant des donnes sensibles ou co#portant un transfert de donnes +ors de l'espace cono#i1ue europenCette for#alit i#pose de dclarer plus de dtails sur le traite#ent, en particulier sur les scurits #ises en Pu re&e r6i#e de l'9utorisation co#porte une for#alit all6e, l'9utorisation Hni1ue, reposant 6ale#ent sur un en6a6e#ent de confor#it . une nor#e tablie par la Co##ission-
Ioutes ces for#alits sont pralables . la #ise en place du traite#ent- &'absence de notification ou de notification #odificati e en cas de ! modification !u*!tantielle du traitement ' est passible de sanctions pnales&e principe de transparence fonde 6ale#ent les droits des personnes . s'opposer au traite#ent de leurs donnes personnelles 2droit d'opposition, article /53, . accder sous une for#e co#pr+ensible aux infor#ations les concernant 2droit d'accAs, article /93, et . obtenir la #odification des infor#ations errones 2droit de rectification, article ,03Ce #N#e principe de transparence co##ande 6ale#ent 1ue les personnes soient infor#es de l'existence du traite#ent, au)del. de transparence ralise par les notifications . la C$%& F le responsable de traite#ent a donc l'obli6ation d'infor#er les personnes de l'existence du traite#ent et de ses finalits, et de les infor#er de leurs droits d'accAs, rectification et opposition 2article /23-
Cabinet C%&78
,//,/

Rapport D'audit

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Rapport D'audit

Uploaded by

Copyright:

Available Formats

Rappor t d'audit

! "Confor#it C$ % & "'

Paris, 16 a ril 2012

www.cabinet-cilex.com info@cabinet-cilex.com tl. 04 67 21 45 85 fax. 04 67 21 57 95

5, rue du octeur !lemin" # $4500 %&ier'

Rapport d'9udit : Paris (abitat

=ection 2 : =@nt+Ase des relations a ec la C$%&-----------------------------------------------------------------------------------------------------------11

=ection / : Causes des carts . la confor#it---------------------------------------------------------------------------------------------------------------20

=ection , : C aluation de la confor#it du traite#ent ! Destion locati e '-----------------------------------------------------2,

=ection 5 : C aluation du plan d'action---------------------------------------------------------------------------------------------------------------------------/5

Rapport d'9udit : Paris (abitat

$ous prsentons ci)aprAs la #t+odolo6ie utilise lors de cette inter ention-

Identification des causes

Validation du plan d'actions

Rapport d'9udit : Paris (abitat

Rapport d'9udit : Paris (abitat

Rapport d'9udit : Paris (abitat

=ection 1 : >refs rappels sur les notions de confor#it %nfor#ati1ue et &iberts

1.2 Cadre lgal

1-2-2 Rfor#e du 6 aoOt 200,

/eu de loi! !ont ain!i *apti!e! +$

Rapport d'9udit : Paris (abitat

1-2-/ Rfor#es co#pl#entaires

1.3 Cadre europen

Rapport d'9udit : Paris (abitat

1-/-2 Rfor#e en cours

1-,-2 <cisions de la C$%&

Rapport d'9udit : Paris (abitat

1.5 Notions de base

1.5.1.2 !roprit des donnes personnelles

1-5-2 CritAres de confor#it

Rapport d'9udit : Paris (abitat

=ection 2 : =@nt+Ase des relations a ec la C$%&

2-1-2 Plaintes, contrBles et #ise en de#eure

20/09/2011 0,/10/2011 19/10/2011 2,/10/2011 20/10/2011 25/10/2011 22/12/2011

Rapport d'9udit : Paris (abitat

2.2 nal#se de l'c$ange initial

2-2-2 Rponse de Paris (abitat)*P(

2-2-/ Contexte de la rponse

Rapport d'9udit : Paris (abitat

2-2-, 9nal@se dtaille de la rponse

2-2-5 9nal@se 6nrale de la rponse

2-2-6 9nal@se des conditions de rponse

2-2-0 %#pact de la rponse

Rapport d'9udit : Paris (abitat

2-/-2 <irection territoriale $ord *uest 2<I$*3

Rapport d'9udit : Paris (abitat

2-/-, Destion du contrBle par Paris (abitat)*P(

2.4 !riode postrieure au contr/le

2.5 0ise en de"eure

Rapport d'9udit : Paris (abitat

Rapport d'9udit : Paris (abitat

&a #ise en de#eure porte sur les points sui antsF

2.1 !ublicit de la "ise en de"eure

2-6-2 ! $ou elle ' sur le site de la C$%&

2-6-/ Cons1uences #diati1ues

Rapport d'9udit : Paris (abitat

Rapport d'9udit : Paris (abitat

=ection / : Causes des carts . la confor#it

/-1-1 %nstances de <irection F sensibilit aux obli6ations et aux ris1ues insuffisante

Rapport d'9udit : Paris (abitat

/-1-2 <irection des 9ffaires ?uridi1ues F bonne co#ptence, insuffisa##ent sollicite

Rapport d'9udit : Paris (abitat

2-/-2 <irection territoriale $ord uest 2<I$3

1/ "ttp;<<===$cnil$fr<en<en-!avoir-plu!<delieration!<delieration<acce!!ile<non<deli<1C7< I1997( mi!e ' jour 9::1J 1, "ttp;<<===$cnil$fr<en<la-cnil<actu-cnil<article<article<controle!-dan!-le-!ecteur-de-limmo*ilier-quel!-con!tat!<

20 Fliration nU9::C-91O du 11 octore 9::C