Articles

Article 6 AUTONOME (Délibération n° 2014-124 du 3 avril 2014 portant autorisation unique des traitements de données à caractère personnel comportant des appréciations sur des difficultés sociales mis en œuvre par les organismes de droit public ou de droit privé gérant un patrimoine immobilier à caractère social aux fins d'attribution, d'adaptation et de mutation des logements ou de mise en place d'un suivi social personnalisé)

Article 6 AUTONOME (Délibération n° 2014-124 du 3 avril 2014 portant autorisation unique des traitements de données à caractère personnel comportant des appréciations sur des difficultés sociales mis en œuvre par les organismes de droit public ou de droit privé gérant un patrimoine immobilier à caractère social aux fins d'attribution, d'adaptation et de mutation des logements ou de mise en place d'un suivi social personnalisé)


Politique de confidentialité, de sécurité et de traçabilité.
Le responsable de traitement doit prendre toutes les précautions utiles au regard des risques présentés par le traitement pour préserver la sécurité des données à caractère personnel. Il doit, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.
A cet égard, le responsable de traitement doit notamment s'assurer :


- que toute transmission d'information via un canal de communication non sécurisé, tel qu'internet, s'accompagne de mesures adéquates permettant de garantir la confidentialité des données échangées, telles qu'un chiffrement des données.cas, Les moyens utilisés doivent être conformes à l'état de l'art et, le cas échéant, respecter les recommandations de la commission ;
- que les personnes habilitées disposant d'un accès aux données doivent s'authentifier avant tout accès à des données à caractère personnel, au moyen d'un identifiant et d'un mot de passe personnels respectant les recommandations de la CNIL ou par tout autre moyen d'authentification apportant au moins le même niveau de sécurité ;
- qu'un mécanisme de gestion des habilitations est mis en œuvre et régulièrement mis à jour pour garantir que les personnes habilitées n'ont accès qu'aux seules données effectivement nécessaires à la réalisation de leurs missions. Le responsable de traitement doit définir et formaliser une procédure permettant de garantir la bonne mise à jour des habilitations ;
- que des mécanismes de traitement automatiques garantissent que les données à caractère personnel seront automatiquement supprimées, à l'issue de leur durée de conservation, ou feront l'objet d'une procédure d'anonymisation rendant impossible une réidentification des personnes concernées ;
- que les accès à l'application font l'objet d'une traçabilité afin de permettre la détection d'éventuelles tentatives d'accès frauduleux ou illégitimes. Les accès aux données considérées comme sensibles, au regard de la loi du 6 janvier 1978 modifiée, doivent quant à eux être spécifiquement tracés en incluant un horodatage, l'identifiant de l'utilisateur ainsi que l'identification des données concernées et ceci pour les accès en consultation, modification ou suppression. Les données de journalisation doivent être conservées pendant une durée de six mois glissants.


La commission rappelle que l'usage d'outils ou de logiciels développés par des tiers dans le cadre de la mise en œuvre d'un traitement de données à caractère personnel reste sous la responsabilité du responsable de traitement qui doit notamment vérifier que ces outils ou logiciels respectent les obligations que la loi du 6 janvier 1978 modifiée met à sa charge.
Enfin, le responsable de traitement conserve la responsabilité des données à caractère personnel communiquées ou gérées par ses sous-traitants. Le cas échéant, le contrat établi entre les parties doit mentionner les objectifs de sécurité qu'un sous-traitant doit respecter.