Par délibération du 24 juillet 2018[1], la CNIL a prononcé une sanction pécuniaire de 30 000 euros à l’encontre de l’Office Public de l’Habitat de Rennes pour avoir utilisé ses fichiers d’usagers pour des finalités incompatibles avec les finalités initiales. 

  • Les faits étaient les suivants 

En octobre 2017, la CNIL a été saisie d’une plainte faisant état de l’envoi par la Présidente de l’Office Public Habitat (OPH) de Rennes, également maire de la commune, d’un courrier tenant des propos particulièrement critiques à l’égard d’une décision du gouvernement de diminuer le montant des aides personnalisées au logement (APL). Ce courrier était adressé à l’ensemble des locataires du parc social, bénéficiaires, ou pas, de l’aide personnalisé au logement.

Une telle pratique étant susceptible de révéler une utilisation abusive du fichier des locataires de l’OPH à des fins politiques, la CNIL a demandé ses observations au responsable de traitement.

Celui-ci a répondu que la seule finalité de ce courrier était d’informer les locataires sur les nouvelles dispositions réglementaires relatives au montant des APL, ce qui s’inscrivait pleinement dans ses missions de gestion locative et de mise en œuvre de politiques publiques concernant l’habitat social. 

Ce dossier a été présenté devant la formation restreinte de la CNIL.

  • Le manquement à l’obligation de traiter les données de manière compatible avec les finalités pour lesquelles elles ont été collectées

Aux termes des dispositions de l’article 6 2° de la loi du 6 janvier 1978 modifiée, « les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ».

Afin de vérifier si l’envoi d’une telle correspondance s’inscrivait dans le cadre des finalités initiales du traitement des usagers, la formation restreinte de la CNIL a été amenée à apprécier la réelle fonction du courrier adressé à l’ensemble des locataires.

Malgré les arguments avancés par l’OPH, elle a considéré qu’un tel envoi ne revêtait pas une fonction purement informative, ne relevait en conséquence pas de la dispense de déclaration au bénéfice des traitements d’informations qui exclut notamment les correspondances à des fins politiques ou électorales, et ne s’inscrivait ni dans le cadre des missions légales de l’OPH, ni des finalités principales d’un traitement de locataires du parc social.

Ainsi, en usant de la sorte des fichiers de ses usagers, alors même que la communication par voie d’affichage dans les entrées de l’immeuble, effectuée en parallèle, permettait d’éviter un usage incompatible avec la finalité initiale de la collecte, l’OPH avait méconnu les dispositions de l’article 6 2° de la loi du 6 janvier 1978 modifiée.

La formation restreinte a prononcé une sanction pécuniaire de 30 000 euros à l’encontre de l’OPH et, décidé, par délibération distincte du même jour, de rendre publique sa décision, notamment du fait du traitement intentionnel des données au mépris de leur finalité initiale et du nombre important de personnes concernées par une telle utilisation de leurs données.

  • En résumé sur les finalités

Les faits ayant conduits la CNIL à une telle décision sont antérieurs à l’entrée en application du RGPD, alors que les responsables de traitements étaient tenus à des formalités auprès de la CNIL faisant mention des finalités de leurs traitements.

Aujourd’hui, ces formalités ne sont plus requises. Pour autant, les dispositions de l’article 6 2° de la loi du 6 janvier 1978 dans sa nouvelle rédaction sont maintenues : les données sont « collectées pour des finalités déterminées explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités », disposition reprise par le RGPD en son article 5 b.

L’appréciation du respect de la finalité initiale, autrefois faite à partir de la déclaration à la CNIL, le sera désormais au regard des finalités dont les intéressés ont été informés en application des articles 14 du RGPD et 32 de la loi modifiée, ou encore de celles mentionnées dans le registre des activités traitements. Cela participe du principe d’un traitement de données licite, loyal et transparent.

Il est important de relever que, par cette décision, publiée, la CNIL, alors même qu’elle a relevé la mise en place par l’OPH de plusieurs mesures appropriées conformes à la nouvelle réglementation (registre des traitements, diagnostic de conformité des traitements, action de sensibilisation et de formation auprès des collaborateurs…) a tenu à alerter les acteurs du secteur social de l’importance du respect des principes fondateurs des dispositions relatives à la protection des données personnelles.

  • Nos recommandations

Les responsables de traitements sont tenus à des obligations de plus en plus nombreuses et complexes dans la mise en œuvre et l’utilisation de leurs fichiers. Pour autant, ils doivent respecter les principes fondamentaux de transparence, de pertinence et de loyauté.

Aussi, de manière permanente et pour toute utilisation des données à caractère personnel qu’ils détiennent dans le cadre de leurs activités, les responsables de traitement doivent cadrer et gérer :

  • Le périmètre des finalités pour lesquelles la collecte est opérée,
  • la teneur de l’information des personnes concernées quant à l’usage précis de leurs données,
  • le respect de l’exercice des droits des personnes concernées, en particulier le droit d’opposition.

En cas de modification des finalités nous recommandons aux responsables de traitement :

  • de procéder à une nouvelle information des intéressés et à une mise à jour de leur registre des traitements.
  • de procéder à une réévaluation de la nécessité de la conservation des données collectées si la finalité du traitement était amenée à être réduite. En effet, cette finalité initiale est l’élément de référence dans l’appréciation de la pertinence des données collectées et de leur durée de conservation

 

Odile Jami-Caston, Directrice du Pôle Protection des Données & Claudia Weber, Avocat Associée

ITLAW Avocats

www.itlaw.fr

 

[1] https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000037261399

Partager: