Politique de confidentialité

1. Préambule

1.1 L’Office Angers Loire habitat dispose d’un patrimoine informationnel nécessitant une protection face aux risques encourus.

1.2 Le présent document constitue la politique de protection des données à caractère personnel (DCP) du groupe.

1.3 Cette politique doit être respectée par l’Office ainsi que par ses prestataires et partenaires ayant à traiter des données à caractère personnel.

1.4 Elle est applicable à tout traitement de données à caractère personnel tel que défini par les textes.

1.5 Est entendu par les termes suivants :

« DCP* » : Toute information se rapportant à une personne physique identifiée ou identifiable. (*Donnée à Caractère Personnel)

Est réputée identifiable une personne physique qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

« Traitement » : Toute opération ou tout ensemble d’opérations effectués ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou tout autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

2. La finalité du traitement

2.1 Tout traitement d’information doit disposer d’une finalité licite, explicite et légitime. Les DCP ne peuvent pas être traitées ultérieurement de manière incompatible avec la finalité d’origine.

2.2 Les trois principaux domaines de traitement des DCP au sein de l’Office Angers Loire habitat sont :
- la gestion locative et patrimoniale
- la gestion des ressources humaines
- la gestion des fournisseurs et partenaires.

3. La pertinence des données

3.1 Toute collecte et traitement de données à caractère personnel doivent être réalisés de manière loyale et licite.

3.2 Les données collectées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées en application du principe de minimisation des données.

4. La conservation limitée des données

4.1 Angers Loire habitat est soumis au code du patrimoine et dispose d’un référentiel de conservation des documents établissant les règles de versement, archivage, élimination des documents et conservation des archives définitives.

4.2 Les DCP suivent le régime de durée de conservation des archives publiques mis en œuvre à Angers Loire habitat en application du code du patrimoine.

4.3 Les DCP doivent être conservées pour une durée limitée et ce quel que soit la nature du support (papier ou numérique) à l’exception de celles représentants un intérêt historique ou scientifique en application du code du patrimoine.

4.4 Le cycle de vie des données et documents contenant de DCP :

• Les données ou documents « courants » :

Correspondent à ceux nécessaires à la gestion d’un dossier en cours. La durée de conservation doit être limitée au temps nécessaire à l’accomplissement de la finalité poursuivie.
L’évènement déclencheur de l’opération d’archivage ou suppression/anonymisation doit être prédéterminé pour tout traitement.

• Les données ou documents « intermédiaires » ou « archivées » :

Correspondent à ceux conservés pour des raisons d’utilité administrative avec un accès restreint (conservation à des fins probatoires, obligation légale et règlementaire ou sollicitation des autorités de contrôle…).
Un tri préalable avant archivage doit être réalisé afin de ne pas archiver des documents ou informations inutiles ou pléthoriques.

• Les données ou documents supprimés, anonymisés ou pseudonymisés

Au-delà de l’utilité administrative, à l’exclusion des archives définitives conservées pour un intérêt historique et scientifique, les DCP doivent être supprimées. En cas de non faisabilité technique, une anonymisation ou pseudonymisation doit être réalisée.

5. La confidentialité des données

5.1 Seuls le personnel dûment habilité peut accéder, dans le cadre d’une politique de gestion des accès, aux informations nécessaires à leur activité.

5.2 Les principaux critères pour définir les accès aux données à caractère personnel sont le besoin métier, le périmètre organisationnel ou géographique et la sensibilité de la donnée.

5.3 L’accès des informations par les tiers doit être maîtrisé et légitime.

5.4 D’une manière générale, chaque personne (collaborateurs, préposés…) doit strictement respecter la confidentialité des DCP et ne pas divulguer ces informations.

5.5 La charte de déontologie d’Angers Loire habitat prévoit explicitement le respect du devoir de confidentialité.

6. La sécurité

6.1 Les moyens nécessaires à la protection des traitements de DCP doivent être identifiés et mise en œuvre pour éviter tout accès par un tiers non autorisé et prévenir toute perte, altération ou divulgation de données.

6.2 Les principes de sécurité doivent être anticipés à l’occasion de tout projet de traitement et appliqués par chacun dans le cadre de ses missions.

6.3 Les mesures de sécurité sont mises en œuvre en tenant compte des risques et de la sensibilité de certaines données (ex : infractions, données de santé, données d’appréciations sociales etc.).

6.4 Les mesures de sécurité mises en œuvre sont de types organisationnels, techniques et physiques. Par exemple :

• Les mesures organisationnelles (adoption de politiques de gestion des règles, gestion des risques et des projets, sensibilisation du personnel…) ;
• Les mesures techniques (contrôle des accès aux DCP par authentification et règles d’habilitation, archivage, effacement, contrôle de l’intégrité des données, sauvegardes, lutte contre les codes malveillant, protection des canaux informatiques…) ;
• Des mesures de sécurité physique (dispositif de contrôle d’accès physique des locaux, fermeture du mobilier pour les documents papiers…).

7. Violation de données à caractère personnel

7.1 Définition : incident entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation de données à caractère personnel.

7.2 Tout constat de violations de données à caractère personnel doit être signalé sans délai à la direction des usages numériques et au Délégué à la protection des données (DPO).

7.9 L’objectif étant d’identifier si la vie privée des personnes est impactée et en fonction mettre en œuvre les mesures appropriées (information de la personne, alerte de l’autorité de contrôle, actions correctives…).

8. L’information et les droits des personnes

8.1 Toute personne physique concernée par un traitement dispose :
D’un droit d’accès aux données personnelles la concernant, d’obtenir la rectification, l’effacement ou la limitation de ses données qui sont inexactes ou incomplètes, ou dont le traitement n’est plus justifié ;
D’un droit d’opposition au traitement de leurs données à caractère personnel pour des raisons tenant à leur situation personnelle, sous réserve de l’intérêt légitime dont pourrait justifier le bailleur ou du respect des obligations légales ;
De faire part de directives concernant le traitement des informations après décès conformément à l’article 40-1 de la loi « informatique et libertés » (sous réserve des textes d’application à venir) ;
Du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés ;
Du droit de saisir le délégué à la protection des données de toute réclamation ou demande concernant l’exercice des droits précités.

9. Le délégué à la protection des données (DPO)

9.1 Angers Loire habitat a désigné un DPO qui est le référent au service de la conformité de la protection des données à caractère personnel.

9.2 Les missions du DPO :
- Informe et conseille les décideurs et opérationnels sur les obligations et bonnes pratiques ;
- Contrôle le respect de la législation et règlementation sur la protection des données ;
- Coopère avec l’autorité de contrôle ;
- Conseille et informe les personnes concernées par un traitement de leurs droits.

9.3 Pour contacter le DPO :

Par courrier électronique : dpo@angers-loire-habitat.fr

Par courrier postal : Angers Loire habitat
Service protection des données
Délégué à la protection des données
4 rue de la Rame
CS 70109
49001 ANGERS Cedex 02

9.4 Une copie d’un titre d’identité doit être jointe à la demande.

10. Diffusion

10.1 Cette politique est diffusée en interne sur le site intranet et sur le site internet de l’office www.angers-loire-habitat.fr

10.2 Cette politique sera renouvelée autant que nécessaire conformément à la réglementation.