• Home  / 
  • DELIBERATION 2008-096

DELIBERATION 2008-096

By Thiébaut Devergranne / 5 years ago

(demande d’autorisation n° 1138208)
La Commission nationale de l’informatique et des libertés ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée par la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, notamment son article 25-I-4° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;
Vu la demande d’autorisation formulée par la société ICADE concernant la mise en œuvre d’un traitement automatisé de données à caractère personnel destiné à répertorier les personnes ayant fourni de faux documents dans leur dossier de demande de location de logement présenté auprès de ladite société ;
Après avoir entendu M. Guy ROSIER, Vice-président délégué, en son rapport, et Mme Pascale COMPAGNIE, commissaire du gouvernement, en ses observations ;
Formule les observations suivantes :
La Commission nationale de l’informatique et des libertés a été saisie par la société ICADE d’un dossier de déclaration relatif à la mise en œuvre d’un traitement de données à caractère personnel « « LOGICADE » aux fins de répertorier les personnes ayant fourni de faux documents dans leur dossier de demande de location de logement présentée auprès dudit groupement.
L’objectif poursuivi par le déclarant est de se prémunir contre les agissements de personnes tentant d’obtenir la location d’un logement de manière frauduleuse, en présentant à l’appui de leur candidature, de faux documents.
Le dispositif présenté a pour finalité de permettre à la société ICADE de répertorier les personnes qui, ayant fourni de faux documents à l’appui de leur candidature en vue de louer un logement, présenteraient une nouvelle demande de logement.
L’inscription dans le fichier conduira le responsable de la société à procéder à des analyses supplémentaires afin de décider en pleine connaissance de cause, d’accepter ou de refuser, sans caractère automatique, le candidat au logement.
Il y a lieu, en l’espèce, de faire application de l’article 25-I-4° de la loi du 6 janvier 1978 modifiée en août 2004 qui soumet à autorisation préalable de la CNIL les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire.
Les candidats à la location de logements seront informés, au moment de la collecte des informations les concernant, par une mention apposée en tête de la feuille de renseignement, indiquant que les informations les concernant « sont destinées à ICADE qui est responsable de ce traitement informatique et sont susceptibles de faire l’objet de vérifications auprès de tiers (employeur, bailleur précédent) ».
Par ailleurs, les candidats sont invités à remplir et signer une attestation, placée en fin de feuille de renseignements, les informant de leurs droits d’accès, d’opposition et de rectification des données les concernant ainsi que de la transmission éventuelle des données collectées à des tiers (employeur, bailleur précédent) à des fins de vérification. Cette attestation indique aussi que tout refus de signature de celle-ci par le candidat ne permettrait pas à ICADE d’examiner sa candidature étant précisé que certaines fausses déclarations seront susceptibles d’engendrer des poursuites pénales.
Enfin, les personnes seront informées préalablement à leur inscription dans le fichier de leurs droits d’accès et de rectification ainsi que leur droit de s’opposer pour des motifs légitimes à faire l’objet de ce traitement.
Les données à caractère personnel enregistrées seront les suivantes :
- le nom et le prénom du demandeur (ou du co-demandeur) et ses date et lieu de naissance ;
- l’adresse du demandeur (ou du co-demandeur) ;
- la date de demande d’un appartement ;
- le type d’appartement proposé ;
- la nature des fausses déclarations ;
- l’origine du contact ;
- les communes et/ou les résidences demandées ;
- la direction géographique d’ICADE concernée.
Les destinataires des informations seront :
- le responsable de la direction de la gestion locative ainsi que ceux des directions Ile de France Nord et Sud qui seront spécialement habilités à procéder aux enregistrements après avoir procédé aux analyses nécessaires en dehors de tout automatisme ;
- le responsable du département juridique d’ICADE spécialement habilité;
- éventuellement les tiers (bailleur précédent, employeur) exclusivement à des fins de vérification de la véracité des documents fournis à l’appui de la candidature.
Le droit d’accès et de rectification défini au chapitre VII de la loi s’exercera auprès de la Direction de la gestion locative de la société ICADE – Parc du millénaire1, 35 rue de la gare ; 75168 Paris cedex 19.
La Commission rappelle que, conformément à l’article 6 de la loi du 6 janvier 1978, des données personnelles doivent être collectées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités.
S’agissant de la mise en place de systèmes de lutte contre la fraude, la Commission rappelle qu’elle a formulé les préconisations suivantes :

  • les traitements relatifs à la lutte contre la fraude doivent demeurer de la seule compétence d’un service centralisé et spécialisé de l’entreprise mettant en oeuvre un tel dispositif, chargé dans les cas de suspicion de fraude de procéder à des vérifications approfondies ;
  • seuls les membres de ce service, qui doivent disposer d’un mot de passe personnel, sont habilités à traiter les informations et à procéder aux analyses nécessaires, cela en dehors de tout automatisme ;
  • les services d’exploitation en relation avec la clientèle doivent soumettre les dossiers semblant présenter des irrégularités à l’appréciation du service central ;
  • une anomalie avérée entraîne l’enregistrement dans le fichier centralisé de la clientèle de l’établissement d’un code, signifiant que toute nouvelle demande devra lui être transmise ; le signalement des dossiers doit disparaître dès lors que les vérifications ont levé les doutes.

Le dossier présenté par ICADE reprend ces préconisations, étant entendu que le traitement concerné relève de la responsabilité exclusive au département de la gestion locative, organisée de la façon suivante : une direction de la gestion locative basée au siège et deux directions Ile de France Nord et Sud. Seuls les responsables de ces directions ainsi que le juriste du département juridique d’ICADE seront habilités à traiter les informations et mettre à jour la base de données.
L’interrogation de l’applicatif Logicade se fera à partir du nom, prénom, date et lieu de naissance du demandeur afin d’éviter toute erreur d’homonymie.
Dès lors, la commission considère que les modalités de mise en oeuvre du dispositif respectent les recommandations de sécurité tant organisationnelles que techniques qu’elle a préconisées sur ce type de traitement.
Un refus ne sera valablement opposé à un candidat locataire sur le seul fondement de son inscription au fichier Logicade que dans la mesure où les seuls responsables de gestion locative habilités procèderont aux vérifications nécessaires en dehors de tout automatisme. Il apparaît dès lors, que le traitement proposé ne tombe pas sous le coup de l’interdiction posée à l’article 10 de la loi du 6 janvier 1978 modifiée qui dispose, dans son deuxième alinéa, qu’ « aucune décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ».
La Commission considère, en conséquence, que le traitement présenté par la société ICADE remplit les conditions de licéité posées par l’article 6 de la loi du 6 janvier 1978 modifiée en août 2004.
Par ailleurs, les dispositions sur le droit au logement opposable ne sont pas applicables en l’espèce, les publics et cas définis par la loi du 5 mars 2007 dans ses articles 1er et 7 n’étant pas en cause.
Dans ces conditions, la Commission autorise la société ICADE à mettre en œuvre le traitement de données à caractère personnel ayant pour finalité de répertorier les personnes ayant fourni de faux documents dans leur dossier de demande de logement .

Le Président

Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: