La CNIL (Commission nationale de l’informatique et des libertés) a ouvert, le 19 novembre 2025, une consultation publique consacrée au secteur du logement social, qui prendra fin le 15 février 2026. Elle porte sur un ensemble de projets de fiches pratiques et de projets de référentiels sectoriels, destinés à encadrer, de manière plus homogène et plus opérationnelle, les traitements de données à caractère personnel mis en œuvre par les organismes du logement social.

I. La teneur de la consultation : une refonte structurante et immédiatement opérationnelle

La teneur de l’initiative est, d’emblée, structurante. D’une part, la CNIL soumet à consultation des fiches pratiques « informatique et libertés » qui déclinent, pour le logement social, les notions et exigences cardinales du RGPD (finalités, responsabilité, base légale, données collectées, démarches préalables, transmission, durée de conservation, information, droits, sécurité). D’autre part, la CNIL soumet trois projets de référentiels (attribution de logement, gestion locative, accession sociale à la propriété), présentés comme dédiés aux traitements les plus courants, avec l’objectif de fixer un cadre de conformité concret, lisible et transposable dans les organisations.

Cette articulation fiches/référentiels n’est pas neutre. Les fiches visent à stabiliser les raisonnements juridiques et à éviter les contresens de qualification. Les référentiels, eux, visent à réduire les écarts de pratiques sur des points classiquement sensibles et contrôlables : détermination des bases légales, périmètre des données admissibles, encadrement des destinataires, calibration des durées, niveau d’information, effectivité des droits, exigences de sécurité et de gouvernance de la sous-traitance.

II. La date et le contexte : un secteur en attente depuis le pack de 2014

La CNIL inscrit explicitement cette consultation dans la continuité d’un précédent cadre sectoriel, le « pack logement social » publié en 2014, conçu avant l’entrée en application du RGPD et devenu insuffisant au regard des évolutions juridiques et techniques intervenues depuis 2018.

Au-delà de la référence de 2014, l’historique est plus long. Les travaux ayant conduit à ce pack se sont inscrits dans un cycle collectif engagé plusieurs années avant sa publication, ce qui explique que nombre d’acteurs considèrent, très concrètement, que le secteur attend depuis environ quinze ans un cadre actualisé et stabilisé, du niveau de détail attendu par l’autorité de contrôle.

Dans ce contexte, la date du 15 février 2026 constitue une échéance utile non seulement pour contribuer aux avancées en la matière, mais aussi pour anticiper la trajectoire de conformité que la CNIL est susceptible d’attendre dès 2026, une fois les textes finalisés.

III. L’aboutissement attendu : une doctrine sectorielle de référence, appelée à structurer les contrôles

L’aboutissement de la consultation ne doit pas être analysé comme une simple production documentaire. Même si ces référentiels ne se confondent pas avec un texte réglementaire, ils ont vocation à devenir une doctrine sectorielle de référence. Ils fixent une grille de lecture stabilisée, qui orientera nécessairement l’appréciation de la conformité, notamment sur les sujets à forte intensité de risque : traitements massifs, données sensibles, suivi social, commissions et instances, dispositifs de sûreté des immeubles, externalisations, transferts et transmissions, durées de conservation, sécurité et traçabilité.

Cette dynamique est d’autant plus prévisible que la CNIL assume la nécessité de mettre à jour des outils antérieurs au RGPD, précisément pour renforcer l’accompagnement et l’homogénéisation des pratiques. Autrement dit, le secteur est appelé à passer d’une conformité souvent reconstituée « par assemblage » (doctrine générale, pratiques historiques, lectures locales) à une conformité plus normée, plus explicite et, surtout, plus contrôlable.

IV. Les conséquences juridiques : redevabilité, sécurisation des bases légales et réduction des zones grises

Les conséquences juridiques sont, en pratique, immédiates.

En premier lieu, la consultation consacre une logique de redevabilité renforcée. Les arbitrages devront être documentés, traçables et mobilisables en contrôle. Il ne suffira plus d’affirmer une base légale ou une durée de conservation ; il faudra être en mesure de justifier la nécessité, la proportionnalité, les accès, les flux, la sécurité et les durées, en cohérence avec les référentiels.

En deuxième lieu, la consultation devrait réduire significativement les marges d’interprétation sur les qualifications structurantes, au premier rang desquelles la qualification des acteurs (responsables distincts, responsables conjoints, sous-traitants) et l’encadrement contractuel ou conventionnel qui en découle. Ces sujets sont, en pratique, des points d’entrée classiques des contrôles, car ils conditionnent la répartition des obligations et la robustesse des clauses opérationnelles de protection des données.

En troisième lieu, la consultation vise à limiter les pratiques de sur-conservation et de sur-collecte « défensives ». Lorsque les textes sont indéterminés, les organismes tendent à conserver davantage « par prudence », ce qui accroît mécaniquement l’exposition au risque RGPD. Les référentiels, en fixant des cadres de conservation, des périmètres de données et des exigences de cloisonnement, ont précisément pour objet d’éviter que la prudence organisationnelle ne se transforme en non-conformité structurelle.

V. Le travail du cabinet : consolidation des retours, sécurisation des positions et préparation des contrôles

Dans ce contexte, le cabinet a engagé un travail approfondi aux côtés des bailleurs qu’il accompagne, afin de consolider une contribution utile et directement exploitable.

Ce travail a consisté, d’abord, à analyser les projets soumis à consultation pour identifier les points de formulation susceptibles de produire des contresens opérationnels ou d’induire des pratiques trop absolues, donc difficilement soutenables en exploitation. Ce travail s’est poursuivi, ensuite, en formalisant des propositions visant à sécuriser la conformité « en preuve » : traçabilité des analyses, clarification des qualifications, encadrement des transmissions, cohérence des supports d’information, gouvernance des habilitations, prévention des erreurs d’envoi, exigences minimales vis-à-vis des sous-traitants, et calibrage réaliste des durées.

L’objectif est double. Il s’agit, d’une part, de porter une voix opérationnelle dans la consultation, afin que les textes finaux soient applicables sans générer de sur-conformité inutile ou de rigidités contre-productives. Il s’agit, d’autre part, d’anticiper l’après-consultation, en préparant les organismes à se positionner, dès 2026, au regard des attendus de la CNIL qui seront plus homogènes et plus directement mobilisés en cas de contrôle.

Afin de permettre à l’ensemble des acteurs du secteur de s’en saisir, le cabinet met à la disposition de tous, sur demande, le travail qu’il a soumis à la CNIL, pour éclairer les contributions, faciliter l’appropriation des attendus et soutenir une mise en conformité homogène et opérationnelle pour tous les bailleurs sociaux.