La protection des données personnelles est un sujet déjà ancien en France qui a conduit à l’intervention du Parlement, dès 1977. À l’époque, le gouvernement espérait pouvoir mettre en place un fichier unique de la population française à partir du numéro de sécurité sociale et interconnecter, via ce numéro, tous les fichiers détenus par les pouvoirs publics. Face au tollé suscité par ce projet, un groupe de réflexion a été installé ; il a débouché sur la loi Informatique et Libertés du 6 janvier 1978 et sur la création d’une autorité administrative indépendante des pouvoirs publics, la Commission nationale de l’informatique et des libertés (CNIL).
En 2004, cette loi a été refondue pour tenir compte de l’évolution des technologies et des risques ainsi que d’une Directive européenne de 1995 qui a amené l’ensemble des états européens à adopter une législation en matière de protection des données et à se pourvoir d’une autorité chargée de veiller à la bonne application de ces dispositions. La CNIL a été dotée d’un pouvoir de sanction accru et les organismes Hlm, qui ont recruté un correspondant informatique et libertés, se sont vu accorder un allègement de leurs obligations en matière de formalités préalables.
2016 a vu l’adoption de deux textes. Au niveau national, la loi pour une République numérique renforce les droits des personnes en posant un principe général de "droit à l’auto-détermination informationnelle", crée des dispositions protectrices des mineurs et le droit de disposer de ses données après sa mort. Au niveau européen, le RGPD qui se substitue, pour une très large part aujourd’hui, à l’ensemble des dispositions législatives nationales des états membres, comporte des évolutions importantes. Il pose une obligation générale de transparence et de facilitation d’exercice des droits et enrichit la clarté et le niveau des informations qui doivent être portées à la connaissance des personnes. Il renforce le droit de s’opposer, voire de consentir, à un traitement de donnée et prévoit de nouveaux droits : le droit à la portabilité, à la limitation du traitement
Comme le souligne Alix de la Mure (CNIL), "avec le RGDP, on assiste à un changement de culture, on bascule d’une logique de contrôle a priori à une logique globale de responsabilisation de l’ensemble des acteurs et à une augmentation du pouvoir de sanction de l’autorité de contrôle".

Les impacts pour les organismes

Dans cette nouvelle ère de la gouvernance des données personnelles, les organismes Hlm qui traitent un grand nombre de données personnelles, concernant parfois une population vulnérable, vont devoir s’inscrire dans une posture de mise en conformité en continu et prendre les mesures techniques et organisationnelles à même de garantir et démontrer le respect de la réglementation informatique et libertés. Selon deux nouveaux principes de protection des données dès la conception et par défaut, dénommés "privacy by design et by default", les organismes devront prendre en compte les exigences légales le plus en amont possible. Concrètement, il s’agit de s’assurer que seules les données utiles sont collectées, exploitées et conservées dans le respect de la confidentialité et de manière sécurisée (principe de minimisation). Avec pour corollaire, le rééquilibrage des responsabilités entre responsables de traitement et sous-traitants, désormais sanctionnables par la CNIL.
Enfin, les organismes vont devoir s’appuyer sur une large gamme d’instruments de conformité : tenir un registre des activités de traitement, développer des procédures de politique de confidentialité des données personnelles, de gestion des demandes d’accès, revisiter tous les contrats avec les prestataires de services en introduisant des clauses obligatoires déterminant les responsabilités, formaliser les analyses d’impact pour les traitements, notifier les violations de données auprès de la CNIL et aux personnes concernées, désigner un délégué à la protection des données, le DPO. Le risque de sanction est amplifié : le niveau maximal passe à 20 M€, ou jusqu’à 4% du chiffre d’affaires annuel mondial d’une entreprise. Sans parler des recours juridictionnels qui pourront être menés au civil comme au pénal ; avec s’agissant du civil, la possibilité d’actions de groupe.

Le DPO au cœur de la mise en conformité

Le secteur Hlm est bien engagé dans cette voie, voire en avance sur nombre de secteurs. Dès 2014, l’USH a déployé un plan d’accompagnement en direction des organismes Hlm, en animant la communauté des ex-correspondants informatiques et libertés (devenus les DPO) en proposant un service d’information et de conseil, en publiant deux guides (voir les 2 couvertures ci-dessous).
 

Deux guides Repères n° 1 et n° 41 sont déjà parus sur ce thème.

Pour les organismes, en interne, l’outil phare est la désignation d’un délégué à la protection des données, obligatoire pour tous les organismes publics, les organismes qui traitent à grande échelle des données sensibles relatives à la vie privée ou dont les activités de base exigent un suivi régulier et systématique à grande échelle des personnes. Le règlement prévoit un niveau d’expertise et de moyens renforcé, une formation régulière, des relais en interne. Sa mission principale est d’orchestrer et de piloter les démarches de mise en conformité des organismes.
De son côté, le site Internet de la CNIL propose une série d’outils, à savoir, un guide Règlement européen, se préparer en six étapes, un guide sur la sécurité de données, des outils en open source, un modèle de registre, des ateliers gratuits. "Le travail avec les têtes de réseau (l’USH en ce qui concerne les organismes) permettra de faire remonter les problématiques communes rencontrées par tout le secteur d’activité. Ce travail ne doit pas par ailleurs être perçu comme un coût, qui certes existe, mais comme un investissement pour plus de sécurité juridique pour l’ensemble du patrimoine informationnel et pour plus de confiance dans les relations avec les employés", insiste Alix de la Mure, juriste à la CNIL.

Impacts juridiques et principales évolutions du RGDP

À la différence de la directive de 1995, le RGDP est dit d’application directe et ne nécessite donc pas d’être transposé dans une loi nationale. Il laisse quelques marges de manœuvre aux états membres, notamment sur la sécurité nationale, la prévention des infractions pénales… Le Parlement français vient d’adopter un texte, validé par le Conseil constitutionnel, pour mettre à jour la loi Informatique et Libertés du 6 janvier 1978.
"Le fait d’inverser la logique de déclaration préalable va accroître la responsabilité des dirigeants et des sous-traitants, avec une responsabilité directe de chacun d’entre eux. À l’instar de la fonction de coordonnateur Sécurité et protection de la santé, il faut associer le DPO dès l’origine", souligne Pascal Gareau, responsable de la Direction juridique et fiscale de l’USH. Outre la présentation juridique du dispositif, trois tables rondes ont mis en lumière les pratiques des organismes.

Manager la mise en conformité

Pour Nathalie Mateos-Jorge, DGA Batigère, "le rôle du directeur général est d’impulser une dynamique, de mettre en œuvre les organisations adaptées, d’embarquer l’ensemble du personnel afin que le règlement soit respecté au sein de l’entreprise tant du point de vue juridique qu’éthique". Paris Habitat a fait le choix d’intégrer la mise en conformité dans une démarche ISO 9001, dont la dernière version inclut le management du risque et la prise de décisions en fonction du risque identifié. "Cela a donné un nouveau souffle à la démarche de mise en conformité et rendu plus lisibles le rôle et le positionnement du DPO, confirme Véronique Chatonnier. Maud Choquenet, DPO à la Maison du CIL, explique comment la politique de protection des données qu’elle a rédigée, a permis d’organiser la gouvernance de la mise en conformité dans son organisme. "Ce document reprend les obligations des collaborateurs, en particulier le "privacy by design", l’obligation de consulter le DPO avant la mise en œuvre d’un projet". Elle rappelle l’importance de bien positionner le DPO dans les organigrammes et de travailler son rattachement. Enfin, elle présente comment, dans le cadre d’un projet de fusion avec une entité qui fonctionnait avec un CIL externe, elle a pu mesurer l’intérêt de disposer en interne d’un DPO.
"On est désormais dans un système de gestion et de management des risques. Pour s’assurer de l’efficacité des processus, on va mener des audits ciblés et s’assurer que les acteurs jouent leur rôle. La direction générale devra impulser ces audits pour être garante de la conformité et du respect de la réglementation", ajoute Perrine Dieudonné (Batigère).

Mise en responsabilité et protection des données dès la conception

La participation de tous les collaborateurs est essentielle. L’OPH 74 a engagé sa démarche de mise en conformité par le traitement des questions ressources humaines (sujet complexe), ce qui lui a permis d’obtenir plus rapidement l’adhésion et la participation des collaborateurs. LogiEst, dans le cadre de son rapprochement avec Néolia Lorraine, a formé des référents informatiques et libertés dans le cadre de sa démarche et a choisi de désigner un DPO avec des moyens dédiés en temps, pour convaincre tous les échelons sur le terrain.
L’OPH 74 a expérimenté le "privacy by design", dans le cadre d’un projet de dématérialisation. Comme l’indique Vola Potinet, DPO, OPH 74, également chargée de mission pour la digitalisation, "nous avons choisi de partir des dossiers papiers locataires. Ce référencement des documents a permis d’épurer mais aussi de travailler sur les durées de conservation, de réfléchir à la purge systématique des documents, à échéance. Ce travail a aussi bousculé les pratiques avec les partenaires, notamment avec les forces de l’ordre, qui doivent désormais présenter les PV de réquisition lors de toute demande d’informations sur les locataires aux bailleurs". En pratique, "il convient de pas hésiter à se tromper, de ne pas sous-estimer les petits pas, d’adapter les référentiels de la CNIL à son organisation, de rebondir sur l’actualité, de privilégier les réseaux", conseille Paris Habitat, qui considère que la mise en conformité RGPD est un projet d’entreprise à part entière.

RGPD et sous-traitants

L’application du RGPD bouscule aussi les relations avec les sous-traitants et réinterroge la sécurité des systèmes d’information. Le Mouvement Hlm a des systèmes d’information très structurés autour de gros progiciels de gestion intégrée. Grâce au pack de conformité, et sous l’impulsion des clubs utilisateurs, la sécurité a été prise en compte tôt. Mais comme le relève Laurent Debes, DSI Batigère, "si un certain nombre de fonctionnalités ont été développées, en revanche pour la durée de conservation des données, la gestion du consentement, les programmes ne sont pas encore disponibles. Certains coûts liés à la mise en conformité sont entrés dans le cadre de la maintenance règlementaire, mais pas tous".
Certains sous-traitants ne vont pas pouvoir faire face, fournir le produit, d’où une vigilance accrue sur les petites solutions et sur les éditeurs de logiciels et prestataires qui font appel à des sous-traitants. En ce qui concerne les objets connectés, comme les compteurs communicants et les portes électroniques, il convient d’être vigilants, particulièrement dans le cadre des VEFA, car leur installation génère le traitement de données personnelles. Enfin, du côté de la relation plus contractuelle avec les sous-traitants, il va falloir, selon Christophe Drot (CDC Habitat), "cartographier les sous-traitants informatiques, domaine par domaine, tracer la circulation de la donnée, voir qui y a accès. Ce n’est qu’après, courant 2019, que l’on arrivera à rédiger les clauses contractuelles".
Ainsi, à Nantes Métropole Habitat, certifié Iso 9001, la protection des données a été intégrée dans un des processus. Comme l’explique Malika El Abed, "les clauses contractuelles préconisées par la CNIL en matière de sous-traitance, sont systématiquement intégrées dans les marchés". Olivier Maizeret (Valophis), considère que ce que font les éditeurs et sous-traitants est le reflet de la commande. "Il nous faut une volonté indéfectible de progresser vers la conformité et je suis convaincu que le marché suivra mais cela a un coût".
Plus globalement, si le RGPD peut sembler complexe, il représente une opportunité pour faire bouger les lignes, sécuriser et gouverner la donnée, rendre un meilleur service aux locataires et collaborateurs. La mise en place de politiques de mots de passe, de gestion des habilitations, permet de sécuriser la communication des données, s’accordent les intervenants.
Dans ce contexte, les trois chartes informatiques des entreprises (visiteurs, utilisateurs, administrateurs) vont devoir être recadrées. Si les mesures de sécurité peuvent paraître contraignantes au quotidien, la cybersécurité est une menace vitale et le meilleur conseil est d’écouter les DSI et DPO. Les serveurs de fichiers, les mails, les tableaux Excel doivent être sécurisés par cette approche par les risques. La mise en conformité RGPD est une démarche vers laquelle les organismes doivent tendre.

En savoir plus : magali.vallet@union-habitat.org