Depuis de nombreuses années, la sensibilisation des organismes aux enjeux liés à la protection des données personnelles a fortement mobilisé les fédérations professionnelles et notamment l’Union Sociale pour l’Habitat. Cette dernière a notamment engagé un dialogue constructif avec la CNIL et les organismes bailleurs, donnant lieu à la publication d’un Pack de conformité « Logement Social » en avril 2014[1]. Cette mobilisation s’est poursuivie à l’occasion du RGPD.
La conformité est en effet aujourd’hui un élément essentiel de la bonne gouvernance d’un organisme de logement social. A ce sujet, Jean-Louis DUMONT, Président de l’USH précise « Le mouvement professionnel a une responsabilité vis-à-vis des locataires qui confient en toute confiance leurs données »[2]. De nombreux guides ont donc été élaborés et permettent aux organismes d’engager leurs démarches de mises en conformité.[3]
Dans les métiers de la gestion locative et de l’accompagnement social des locataires, mais également dans les métiers de l’accession sociale ainsi que, bien entendu, dans le fonctionnement quotidien des organismes dont notamment la gestion des ressources humaines, les bailleurs sociaux opèrent de nombreux traitements de données à caractère personnel.
Ces données présentent bien souvent un caractère sensible, ce qui peut paraitre évident lorsque l’on pense à l’enquête d’occupation du parc social (OPS) menée par tous les bailleurs ou tout simplement à la constitution des dossiers d’attributions, ce qui est plus difficile dans certains cas à conceptualiser pour le recueil des consommations énergétiques des logements ou l’organisation des opérations de réhabilitation.
Ainsi, dans bien des cas, le bailleur social et encore plus souvent ses prestataires, tel Monsieur Jourdain, découvrent-ils encore qu’ils procèdent à un traitement de données personnelles sans le savoir…
L’entrée en vigueur du RGPD constitue un enjeu fort pour les directions générales et nécessite, comme toute démarche de conformité, leur forte implication. En effet, les modifications de la loi applicable et notamment la disparition des formalités au profit d’une démarche de responsabilité (dénommée « accountability ») mais également la nécessité d’introduire les mesures de protection des données dès la conception du traitement (dénommée « privacy by design ») doivent amener les organismes à repenser leurs organisations. Le « RGPD » ne doit pas impliquer que les DSI, les contrôleurs internes ou les juristes, c’est une démarche d’organisation qui permettra aux organismes de poursuivre leurs démarches de transformation numérique dans le respect des droits de leurs locataires et salariés.
En conclusion, on rappellera, outre le risque d’image encouru, que le RGPD prévoit un net renforcement des sanctions pécuniaires pouvant être mises à la charge de l’organisme en cas d’absence de conformité et que la CNIL vient d’indiquer que les grandes thématiques de ses contrôles en 2018[4] seraient les traitements liés au recrutement ainsi que les pièces demandées aux demandeurs de logement.
[1] Cahier USH Repères n°1, octobre 2014 : Traitement des données à caractère personnel, mise en œuvre du pack conformité logement social de la CNIL
[2] Cahier USH n°41, Repères, octobre 2017 : Règlement européen relatif à la protection des données : impacts pour les organismes d’HLM
[3] Guide pratique d’accompagnement pour la protection des données personnelles à l’usage des coopératives HLM, juin 2018, Coops HLM ; Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises, avril 2018, CNIL.
[4] https://www.cnil.fr/fr/quelles-thematiques-prioritaires-et-quelle-strategie-de-controle-pour-2018