Informatique et libertés : les normes de la CNIL
pour la gestion immobilière

 

 

I.        La norme CNIL simplifiée n° 21 applicable à la gestion immobilière

II.       commentaires  (rapport cnil 2003)

A.      impayés locatifs

1.        fichiers des impayés locatifs

2.        recouvrement des créances locatives

B.       autres fichiers de débiteurs

1.        Fichiers des opérateurs de téléphonie

2.        fichiers des cabinets de recouvrement de créances

 

 

Les pouvoirs et l’organisation de la Commission Nationale pour l’Informatique et les Libertés (CNIL) vont être profondément remaniés par un projet de loi qui sera prochainement présenté au Parlement.. L’étude consacrée à l’incidence de la Loi Informatique et Libertés tiendra compte de ces modifications. Dès à présent nos lecteurs trouveront ci dessous le texte de la norme simplifiée n° 21 applicable désormais à la gestion immobilière (copropriété et gestion locative). Elle abroge la précédente norme du 26 mai 1981.

I.               La norme CNIL simplifiée n° 21 applicable à la gestion immobilière

 

Délibération n° 99-055 du 18 novembre 1999 relative à la gestion et aux négociations des biens immobiliers (Journal Officiel du 18 décembre 1999)
Remplace et abroge la Délibération n° 81-054 du 26 mai 1981

 

 

La Commission nationale de l'informatique et des libertés

Vu les articles 6, 17 et 21 (1 ) de la loi n 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés habilitant la Commission nationale de l'informatique et des libertés à édicter, en vertu de son pouvoir réglementaire, des normes simplifiées concernant certains traitements automatisés d'informations nominatives ;

Considérant que, pour l'application de l'article 17 susvisé, il faut entendre par norme simplifiée l'ensemble des conditions que doivent remplir certaines catégories les plus courantes de traitements pour être regardées comme ne comportant pas de risques d'atteinte à la vie privée et aux libertés et comme pouvant dès lors faire l'objet d'une déclaration simplifiée ;

Considérant que certains traitements automatisés portant sur la gestion et les négociations des biens immobiliers sont de ceux qui peuvent, sous certaines conditions, relever de l'article 17 susmentionné,

Décide :

 

Norme simplifiée relative à la gestion et aux négociations des biens immobiliers.

 

Article 1er

Les dispositions de la présente décision concernent les traitements automatisés d'informations nominatives relatifs à la gestion et aux négociations des biens immobiliers mis en œuvre par toute personne publique ou privée. Pour pouvoir faire l'objet de la procédure de déclaration simplifiée, ces traitements doivent :

·        ne porter que sur des données objectives aisément contrôlables par les intéressés grâce à l'exercice du droit individuel d'accès ;

·        n'appliquer à ces données que des logiciels dont les résultats puissent être facilement contrôlés ;

·        ne pas procéder à des cessions ou locations des contenus des fichiers de l'organisme ;

·        ne pas donner lieu à des interconnexions ou échanges autres que ceux nécessaires à l'accomplissement des fonctions énoncées à l'article 2 ci-dessous ;

·        comporter des dispositions propres à assurer la sécurité des traitements et des informations et la garantie des secrets protégés par la loi ; .

·        satisfaire en outre aux conditions énoncées aux articles 2 à 6 ci-dessous.

 

Article 2

Finalité du traitement

 

Le traitement ne doit pas avoir d'autres fonctions que :

a) D'établir le quittancement des loyers : l'émission de titres de recettes des locations et la gestion des relances, le décompte des taxes et charges y afférentes, la régularisation des charges, les pièces comptables nécessaires au recouvrement et à la gestion des comptes des locataires concernés ;

b) D'assurer la gestion des sociétés civiles immobilières, des sociétés ayant pour objet la construction, des coopératives et des syndicats de copropriété, des associations syndicales libres et des immeubles en jouissance à temps partagé : la comptabilité de ces organismes, la tenue des comptes des intéressés, la convocation aux assemblées générales, les lettres de relance, les appels de fonds ;

c) D'établir la gestion des mandats de gérance : la comptabilité du mandat de gérance, la tenue des comptes des propriétaires la tenue des comptes des locataires, la déclaration des revenus fonciers ;

d) D'assurer les opérations de négociation immobilière.

 

Article 3

Catégories d'informations traitées

 

Dès lors que les dispositions de l'article 27 de la loi n 78-17 du 6 janvier 1978 ont été respectées lors du recueil des informations traitées, celles-ci doivent relever seulement des catégories suivantes :

a) Nom, nom marital, prénoms, adresse, numéro de téléphone, code interne de traitement permettant l'identification du locataire ou du candidat à la location et, le cas échéant, de sa caution, de l'acquéreur ou du candidat à l'acquisition, du copropriétaire ou du propriétaire, de l'associé (à l'exclusion du numéro d'inscription au répertoire national d'identification) ; État civil complet, date et lieu de naissance, nationalité du copropriétaire, du propriétaire, de son conjoint s'il a des droits dans la copropriété, de chacun des coindivisaires en cas d'indivision, du ou des titulaires des droits visés à l'article 6 du décret du 17 mars 1967 ; coordonnées du mandataire commun en cas d'indivision ou du gérant qui gère les lots ;

b) Identité bancaire ou postale ;

c) Situation familiale et, le cas échéant, composition du foyer du candidat à la location et situation familiale du locataire ;

d) Situation professionnelle, coordonnées de l'employeur du candidat à la location et du locataire ;

e) Ressources du candidat à la location, du locataire et, le cas échéant, de sa caution ;

f) Logement : caractéristiques du logement ou des biens immobiliers, conditions de location ou d'accession à la propriété, date d'entrée et de départ, montant du dépôt de garantie, calcul du droit de bail, montant du loyer, nature et montant des charges, des travaux d'entretien et d'amélioration et nature des prêts consentis et des modalités de remboursement, compagnie d'assurance, numéro de police du locataire ;

g) Numéro d'inscription à la Caisse d'allocations familiales du bénéficiaire exclusivement pour permettre le versement de l'aide personnalisée au logement ;

h) Disponibilités financières du candidat à l'acquisition d'un bien immobilier.

 

Article 4

Durée de conservation

 

Les informations nécessaires aux traitements automatisés d'informations nominatives définies aux articles 1er, 2 et 3 ne doivent pas être conservées après le règlement du solde de l'intéressé ou la rupture de la relation contractuelle, à l'exception des informations nécessaires à l'accomplissement des obligations légales.

Les informations relatives au candidat à la location ne peuvent être conservées que si la location est effectivement réalisée. A défaut de location, ces informations doivent être supprimées en cas de non-renouvellement de la demande dans un délai de trois mois.

 

Article 5

Destinataires des informations

 

Peuvent seuls, dans les limites de leurs attributions respectives, être destinataires des informations les concernant :

·        les services chargés de la gestion et de la comptabilité des immeubles ;

·        l'organisme financier teneur du compte du locataire, de l'accédant ou du propriétaire ;

·        les auxiliaires de justice et les officiers ministériels dans le cadre de leur mission de recouvrement de créances ;

·        les services publics, exclusivement pour répondre aux obligations légales.

 

Article 6

La norme simplifiée instituée par la délibération n 81-54 du 26 mai 1981 est abrogée.

 

II.             commentaires  (rapport cnil 2003)

On trouve dans le rapport 2003 de la CNIL des indications utiles au sujet des prescriptions relatives à l’exploitation des données personnelles. Ces indications concernent aussi bien le secteur des professionnels immobiliers que des secteurs voisins mais astreints aux mêmes contraintes.

 

A.             impayés locatifs

 

1.             fichiers des impayés locatifs

La CNIL traite à ce sujet du fichier des incidents de paiement locatifs (FIPL) mis en place par une société privée, et de l’extension du fichier d’incidents de paiement dénommé « fichier national des incidents de paiement » (FNIP) de la société BGD  aux créances civiles en matière de logement, de téléphonie et d’assurances.

Ces fichiers n’étaient accessibles qu’à des professionnels de l’immobilier dotés d’une carte professionnelle. Les impayés ne pouvaient faire l’objet d’une inscription que sur le fondement d’une clause du bail prévoyant cette possibilité. De plus, les bailleurs du secteur social n’avaient pas accès au fichier. Le respect de ces conditions par le FIPL avait incité la CNIL à constater la conformité des fichiers aux dispositions de la loi du 6 janvier 1978. Le FNIP avait bénéficié d’une position identique malgré le « caractère stigmatisant du traitement » relevé lors du contrôle.

 

Dans un autre cas le fichier déclaré est accessible à « tout propriétaire loueur d’immeuble ». L’accès n’est pas subordonné à l’existence d’une clause dans le bail. De plus le fichier peut comporter mention de condamnations civiles du locataire débiteur. Or la CNIL, en présence d’une déclaration aussi surprenante, se déclare impuissante à sévir et regrette d’avoir dû délivrer le récépissé prévu par l’article 19 de la loi, en se bornant à avertir l’impétrant de ces anomalies. Elle fait valoir un éventuel détournement de finalité et le défaut de loyauté de la collecte des données en l’absence de clause dans le bail (articles 25 et 27 de la loi). C’est l’incompétence de la CNIL à l’égard du secteur privé qui impose cette solution.

2.             recouvrement des créances locatives

La CNIL reconnaît que les professionnels immobiliers peuvent en effet être tenus responsables par les tribunaux du non-paiement du loyer par le locataire qu’elles ont choisi si, selon les termes employés, « ils ne font pas diligence pour vérifier la solvabilité du locataire »[1].

Elle reconnaît également que la souscription d’assurances contre le défaut de paiement des loyers et la lutte contre le blanchiment d’argent exige le recueil et l’enregistrement de certaines données personnelles.

a)             la nouvelle norme

Ces constatations justifient l’adoption d’une nouvelle norme qui précise de nouvelles finalités et permet le recueil d’un plus grand nombre d’informations. Le rapport ajoute que « la norme a été étendue au minitel et à internet. Ces nouvelles technologies, aujourd’hui largement répandues dans le secteur de l’immobilier du fait de la généralisation des sites d’annonces immobilières, de gestion d’immeubles ou encore des services intranet mis en place par des syndicats de copropriétaires, peuvent désormais faire l’objet d’une déclaration simplifiée. ».

Enfin, face à l’essor considérable des dispositifs de contrôle d’accès dans les immeubles d’habitation (badges, cartes à puces ou « sans contact »), la Commission a souhaité permettre un allègement des formalités relatives à la mise en oeuvre de ces systèmes s’ils ne permettent pas l’enregistrement des traces de passage des occupants. Elle a ainsi autorisé l’application de la norme à la gestion de l’attribution des dispositifs de contrôle d’accès en excluant les systèmes permettant la mémorisation des horaires d’entrée et de sortie des occupants en raison des dangers qu’ils présentent au regard de la vie privée.

b)             l’analyse de solvabilité

Dans le secteur locatif social, la finalité « recouvrement de créance » a été admise par la Commission dès 1997 (modification de la norme simplifiée no 20). À la demande des professionnels du secteur privé, et compte tenu de la généralisation de tels traitements par les agences immobilières, la norme simplifiée no 21 est aujourd’hui élargie, selon les termes demandés par les professionnels eux-mêmes, à « l’analyse de solvabilité et au recouvrement de créance ». Il s’agit de permettre aux bailleurs mandataires de s’entourer de précautions et de garanties suffisantes pour s’assurer de la capacité de financement du preneur d’un bien immobilier. Toutefois les traitements de « calcul automatisé de l’appréciation du risque » demeurent interdits.

La CNIL insiste sur le fait que « les nouvelles informations autorisées sont la conséquence directe des nouvelles finalités envisagées par la norme modifiée : ainsi l’adresse électronique des intéressés résulte de la prise en compte des nouvelles technologies, les coordonnées et l’identifiant des porteurs de badges de l’extension aux dispositifs de contrôles d’accès. Mais la plupart des informations désormais autorisées participent à un renforcement de la sécurité des transactions s’agissant tant du contrôle d’identité des co-contractants que de l’analyse de la solvabilité des preneurs.

« Ainsi la Commission a considéré que les informations relatives à la nationalité et aux date et lieu de naissance des candidats locataires et de leur éventuelle caution sont utiles dans le cadre de l’extension de la norme au recouvrement de créance (elles doivent notamment figurer dans l’acte d’assignation). De telles données permettent en outre aux professionnels de s’assurer de l’identité des intéressés selon les obligations qui leur incombent en application des dispositions relatives à la lutte contre le blanchiment de capitaux provenant du trafic de stupéfiants. À cet effet, elles sont aussi recueillies s’agissant du vendeur ou encore de l’acquéreur d’un bien immobilier. »

Le régime matrimonial du vendeur, de l’acquéreur, du propriétaire d’un bien immobilier est une information qui peut être recueillie. Il s’agit là encore d’entourer les actes de négociation ou de gestion immobilière de certaines garanties et de s’assurer de la capacité des intéressés à contracter en vérifiant qu’ils disposent de droits sur les biens immobiliers concernés.

La Commission n’a en revanche pas estimé pertinent le recueil du régime matrimonial du locataire ou de sa caution du fait de la solidarité qui pèse sur les deux époux en application de l’article 1751 du Code civil.

La conclusion d’un pacte civil de solidarité par le locataire, l’acquéreur ou le propriétaire d’un bien immobilier pose un problème spécifique. L’information relative à l’engagement du futur locataire dans un pacte civil de solidarité constitue pour les bailleurs une garantie supplémentaire dans la mesure où elle instaure un principe de solidarité s’agissant notamment du paiement du loyer.

Sur le fondement de ce même principe de solidarité qui concerne aussi les charges de copropriété ou encore les emprunts relatifs à l’achat de la résidence principale, la Commission a autorisé le recueil de cette information s’agissant du copropriétaire, du propriétaire ou encore de l’acquéreur d’un bien immobilier mais l’a refusé s’agissant de la caution du locataire.

La Commission, consciente de la nécessité pour le professionnel de s’entourer de certaines précautions, a néanmoins souhaité en fixer les limites dans le cadre d’une norme simplifiée. Les informations non prévues dans ladite norme peuvent, le cas échéant, être envisagées dans le cadre d’une déclaration ordinaire, sous réserve d’une appréciation au cas par cas de leur pertinence.

 

B.            autres fichiers de débiteurs

Le rapport traite également des problèmes relatifs aux fichiers des opérateurs de téléphonie et des cabinets de recouvrement de créances.

1.             Fichiers des opérateurs de téléphonie

Le fichier Préventel a été créé par le GIE Préventel (GIE Prévention Télécommunications) avec pour finalité la prévention des impayés, dans le secteur de la téléphonie mobile, et dans celui de la téléphonie fixe.

Les principales difficultés constatées étaient liées à l’alimentation du fichier. La plupart des réclamations provenaient de clients contestant le bien-fondé ou le montant de la somme mise en recouvrement. La CNIL a recommandé, dans ce cas, que la situation des clients contestant le montant ou le fondement juridique de la somme dont le paiement leur était réclamé, devait faire l’objet, par les opérateurs qui sollicitaient leur inscription dans le fichier Préventel, d’une instruction contradictoire conduite dans un délai raisonnable, de façon non automatisée, assortie de la suspension du processus d’inscription dans le fichier Préventel.

En 2002, la CNIL a constaté que les réclamations des débiteurs venaient à elle, faute d’avoir reçu réponse des membres du GIE, en raison de « dysfonctionnements » des services juridiques, commerciaux ou de recouvrement de leurs opérateurs de téléphonie (absence de gestion et de coordination entre ces services)..

D’autres critiques portaient sur la consultation du fichier Préventel. Des confusions de personnes étaient possibles. Le système indiquait que le fichier permettait d’indiquer qu’il existait des réponses « phonétiquement approchée » du nom recherché ou, se rapportant à un « homonyme né le même jour mais dans un autre département ». La prise en compte de ces indications erronées pouvait générer un refus de souscription du contrat ou l’exigence d’un dépôt de garantie.

Des améliorations importantes ont été constatées en 2003, attestées par une baisse significative du nombre des réclamations. Il a été vérifié que le paramétrage de la fonction dite du « phonétiquement approché » était à l’origine de l’afflux de telles réclamations pendant l’année 2002. Le nouveau paramétrage de cette application informatique, demandé par la Commission, paraît manifestement efficace. Mieux encore, pour la CNIL, ces résultats tendent également à réfuter l’argument selon lequel il existerait une « part incompressible d’erreurs » qui serait due à la mise en oeuvre d’un fichier comportant un nombre important de personnes.

Néanmoins des critiques restent formulées au sujet de l’instruction contradictoire des réclamations, et du maintien de l’enregistrement au fichier en contradiction avec le « droit à l’oubli », la dette étant payée ou le litige réglé.

2.             fichiers des cabinets de recouvrement de créances

Le rapport formule différentes observations relatives aux irrégularités constatées dans l’exploitation des fichiers de débiteurs par les cabinets de recouvrement de créances mandatés par des créanciers. Il admet toutefois que, d’une manière générale, les principes généraux de la loi sont respectés.

a)             irrégularités courantes

La CNIL relève des difficultés relatives à l’exercice du droit d’accès et au droit de rectification des données enregistrées. Elle insiste sur le fait que la communication des données doit être effectuée en langage clair.

Elle attire l’attention sur l’utilisation des zones dites « bloc-notes ». On y trouve pour chaque dossier la consignation de « l’ensemble des événements affectant l’instruction des dossiers de recouvrement, souvent de façon inutilement exhaustive. » Ce mode de saisie linéaire n’est pas sans poser de problèmes au regard de la nécessaire pertinence des données.

Indépendamment des observations formulées dans le rapport, on sait qu’une telle pratique est courante dans les services de recouvrement des syndics de copropriété professionnels. C’est ainsi qu’on avait trouvé dans des zones « bloc-notes » des mentions comportant des appréciations subjectives d’une préposée, souvent mal venues et parfois racistes. Ces zones n’apparaissent pas dans les états « papier » qui peuvent être établis à l’intention du dirigeant.

Les infractions au droit à l’oubli posent le problème de la conservation des archives. Pour la CNIL le maître du fichier a « l’obligation de ne conserver les informations que le temps nécessaire à l’accomplissement de la finalité poursuivie, c’est-à-dire jusqu’à la clôture du dossier de recouvrement quel qu’en soit le motif. ». En conséquence « la mise à disposition du créancier d’un historique des dossiers confiés au travers d’un extranet, paraît admissible dès lors qu’elle ne concerne que des informations limitées au numéro du dossier, à l’identification des parties et montant de la créance recouvrée. Dans un tel cas, la communication de l’historique ne fait que rendre accessible à un destinataire légitime des informations conservées pour des raisons comptables. » La conservation des autres données fait apparaître des risques de détournement de finalité et de manquement à la sécurité et à la confidentialité. Elle multiplie aussi les risques d’homonymie.

Ces règles applicables à l’externalisation des tâches de recouvrement semblent, pour la CNIL, s’appliquer de même manière en cas de traitement interne. Le syndic de copropriété devrait éliminer les « autres données » de son fichier. Or il peut en avoir besoin à l’occasion d’un recouvrement ultérieur puisque les tribunaux retiennent occasionnellement la répétition de situations débitrices pour caractériser l’existence d’un préjudice particulier du syndicat créancier. Le syndic ne saurait, en toute hypothèse, être empêché de conserver un dossier « papier » de recouvrement. Le « droit à l’oubli » se présente alors comme une mesure de protection du débiteur parfaitement illusoire.

b)             Archivage électronique

La Commission a été conduite à attirer l’attention des organismes sur les précautions devant entourer les procédures d’archivage électronique afin de les rendre comptables avec l’obligation de ne conserver les données que pour une finalité déterminée. La Commission a notamment rappelé l’utilité de la séparation physique des bases de données destinées à la gestion courante et celles destinées à l’archivage. Elle a été conduite à évoquer ce que l’on pourrait considérer comme les conditions optimales permettant de concilier le développement de l’archivage électronique avec les principes posés par la loi du 6 janvier 1978, se matérialisant non pas en une copie (même sécurisée) de la base de données à l’identique sur un autre support, mais en une extraction de la base dans un format non indexé ne pouvant être lu que par une application spécifique.

c)             Sécurité des traitements

Le rapport constate le caractère satisfaisant des moyens déployés pour assurer la sécurité des systèmes informatiques et la confidentialité des données enregistrées.

En revanche, les échanges d’informations sous forme électronique avec les clients contenant (en pièces jointes ou non) les informations nominatives des débiteurs présentent une vulnérabilité certaine : ils se font en général en mode non crypté. Les représentants des organismes contrôlés, quelle que soit leur taille, ont indiqué ne pas avoir la possibilité d’imposer à leurs clients les formats et moyens de protection des données échangées. Un des organismes a développé un logiciel, fourni gratuitement aux clients, destiné à sécuriser les échanges et à permettre une meilleure intégration dans l’application. Le développement de services aux clients par internet peut ainsi favoriser l’acceptation par les clients de modes d’échanges sécurisés.

d)             Recommandations de la Commission

La Commission, sur ces différents points, suggère :

·        l’établissement de règles d’archivage et la mise en oeuvre de mesures propres à assurer le caractère pertinent, adéquat et non excessif des informations collectées, la vérification du bon fonctionnement du dispositif d’accès aux dossiers par internet ;

·        l’effacement des données dénuées de pertinence ou des articles 30 et 31 de la loi du 6 janvier 1978 (données sensibles et informations relatives aux infractions et condamnations) et un renforcement des instruments destinés au contrôle du contenu des zones « bloc-notes » ;

·        la remise à plat de l’ensemble du processus de traitement des dossiers de recouvrement afin d’aboutir « à une configuration exemplaire » comprenant une procédure automatisée d’archivage des données, une purge systématique des zones bloc-notes, le renforcement des mesures destinées à assurer la sécurité des traitements, la mise en place d’un code de conduite en interne, d’un code de déontologie à destination des prestataires et de recommandations pour les mandants, et la régularisation des dossiers de formalités préalables ;

·        l’interdiction immédiate de l’utilisation des zones bloc-notes à l’ensemble des collaborateurs et la suppression manuelle des informations non pertinentes, dans l’attente de l’intégration d’une solution logicielle permettant de purger les zones bloc-notes des dossiers clôturés et remplaçant les zones bloc-notes par des champs de saisie préformatés.

Les observations formulées méritent l’attention des professionnels immobiliers.

 

 

 

 

 

 

Mise à jour

17/09/2007

 

 

 



[1] C’est à tort que le CNIL réserve ses observations aux seuls agents immobiliers. Nous l’avons donc étendue aux professionnels immobiliers assurant la gestion locative.