Le RGPD et l’immobilier

2018-10-29T11:17:42+00:00

Dès le 25 mai 2018, la réglementation européenne RGPD contraint toutes les entreprises qui traitent des données personnelles, notamment les informations relatives à une personne identifiée avec un nom, une adresse, un numéro de téléphone, etc. à se conformer aux nouvelles mesures imposées, sous peine de sanctions.

Le RGPD ou Règlement Général sur la Protection des Données, est une règlementation européenne pour le renforcement de la protection des données personnelles qui encadre l’utilisation des données qui permettent d’identifier une personne physique de manière directe ou indirecte.

Le secteur immobilier, aussi concerné. 

Le RGPD concerne les professionnels de l’immobilier au même titre que toutes les entreprises européennes traitant des données personnelles. En effet, ils disposent également d’un historique de données personnelles recueillies essentiellement à travers des échanges directs avec les clients ou par le biais de sous-traitants. Des données personnelles qui sont souvent récoltées à travers des échanges de mails, SMS ou un transfert de données d’un professionnel à un autre. Les professionnels de l’immobilier enregistrent notamment les données personnelles de leurs clients sous forme numérique ou papier.

Le RGPD concernera tous les acteurs de l’immobilier : les agences comme les réseaux. Les grosses entreprises seront désormais contraintes de nommer un délégué à la protection des données (DPO ou Data Protection Officer), tandis que les agences immobilières locales peuvent faire abstraction de cette obligation. Néanmoins, le RGPD recommande vivement la nomination d’un DPO au sein d’une agence immobilière pour faciliter le dialogue avec la CNIL en cas de problème.

Qu’est-ce que ça change pour mon agence ?

Le RGPD soumet les professionnels de l’immobilier aux mêmes obligations auxquelles sont soumises toutes les entreprises traitant de données personnelles. Cela concerne essentiellement :

  • La connaissance de la nature des données personnelles traitées (noms, adresses, numéros de téléphone, etc.)
  • La prise de conscience sur les lieux de stockage des données personnelles ainsi recueillies, notamment si celles-ci sont stockées par des sous-traitants. Dans ce cas, les professionnels se doivent de bien connaître leurs collaborateurs et de vérifier qu’ils respectent également les engagements RGPD.
  • La tenue d’un registre des activités de traitement, impliquant l’établissement d’une cartographie de toutes les données traitées et leur consignation dans des registres.
  • La sécurisation des données personnelles soit par leurs propres moyens, soit par le biais de prestataires. Les professionnels sont en outre tenus d’informer la CNIL dans les 72 heures en cas de fuite de données occasionnée par un vol de téléphone, ordinateur, clé USB…

Ces mesures s’appliquent également aux données de ressources humaines qui seront également soumises aux mêmes mesures de sécurité, de durée de stockage, etc.

Par ailleurs, la jurisprudence viendra renforcer et compléter les mesures imposées par le RGPD au fil du temps, laissant encore prévoir quelques changements ultérieurs.

Ces nouvelles mesures peuvent permettre aux entreprises concernées d’aborder une nouvelle approche de la numérisation des données privées et d’en dégager certains avantages : le renforcement de la confiance, l’amélioration de l’efficacité commerciales et de la gestion de l’entreprise, ainsi que de la sécurité du système.

Comment ça marche ?

Pour se conformer aux nouvelles règles de protection des données, il existe quatre actions principales à mener de manière permanente dans le temps pour en assurer l’efficacité.

1.Le recensement des fichiers

Une entreprise doit tenir un registre dans lequel seront listés tous les traitements de données.

La marche à suivre :
– Il faut d’abord identifier les principales activités de son entreprise concernées par la collecte et le traitement de données comme la gestion des clients prospects, le recrutement, la formation, la gestion de la paye, etc. Le CNIL fournit un modèle de registre téléchargeable sur son site internet. 

– Il s’agira ensuite de créer une fiche pour chaque activité, reprenant :

  • L’objectif à atteindre.
  • Les catégories de données utilisées (nom, prénom, salaire, date de naissance, etc.)
  • L’accès aux données (destinataire)
  • La durée de conservation des données (utilisation, archivage, etc.)

Placé sous la responsabilité du dirigeant de l’entreprise, ce registre doit être exhaustif et à jour.

Exception : les données issues d’événements ponctuels peuvent être exclues du registre.

2.Le tri des données

Dans l’idéal, les données sont triées à la sources et une sélection s’impose selon l’utilité des données pour votre activité, la portée du traitement réalisée sur la vie privée des concernés (notamment les données « sensibles »), l’accès aux données ainsi que la durée du conservation en fonction de leur utilisation.

3.Le respect des droits des personnes

L’entreprise qui collecte des données personnelles auprès de ses consommateurs se doit de les tenir au courant dans toutes les démarches entamées à cet effet. Tout formulaire ou questionnaire visant à collecter des données personnelles doit ainsi comporter des mentions d’information comme :

  • La finalité de la collecte de données.
  • Le fondement juridique de la collecte réalisée.
  • Les services auxquels les données collectées seront transmis.
  • La durée de conservation des données par l’entreprise.
  • Les possibilités d’accès aux données par les concernés.
  • La possibilité de transfert des données hors de l’Union européenne.

Dans tous les cas, la CNIL met à disposition des exemples de mentions sur son site. Cette étape est importante car elle permet à l’entreprise d’agir en toute transparence.

D’un autre côté, l’entreprise se doit également de permettre aux personnes concernées d’exercer librement et facilement leurs droits en leur fournissant les moyens nécessaires pour rester en contact permanent avec les responsables de l’entreprise.

4.La sécurisation des données

En cas de violations de données personnelles, l’entreprise doit informer la CNIL dans un délai court (72 heures). Les informations liées à ce signalement sont disponibles sur le site de la CNIL. L’entreprise doit également avertir les personnes concernées dès lors que les risques de fuite sont élevés.

Dès lors que le RGPD entrera en vigueur, une nouvelle échelle de sanctions sera appliquée à toutes les entreprises qui ne s’y conformeront pas. L’amende pourra concerner 4% du chiffre d’affaires mondial du contrevenant avec un plafonnement à 20 millions d’euros. Le montant retenu sera le plus élevé des deux.

Pour en savoir plus, la CNIL a prévu un document spécifique au secteur immobilier, reprenant toutes les informations nécessaires.

 

Découvrez IMMO DATA BOX, la solution globale d’aide à la mise en conformité spécialement conçue pour les professionnels de l’immobilier.

 

Et chez IMMOFACILE, qu’est-ce qu’on a prévu ?

Dans le cadre de la RGPD, nous devons garantir la sécurité des données personnelles renseignées sur le logiciel. Les clients finaux doivent avoir la main sur leurs données personnelles.

Cette règlementation implique donc d’ajouter/d’adapter certaines fonctionnalités du logiciel, et sera applicable au 25 mai 2018.

Parmi les fonctionnalités, notons :

  • Les modalités de connexion : chaque utilisateur doit pouvoir gérer lui-même son accès, mais des mesures simples de sécurité comme changer son mot de passe au minimum tous les 6 mois ou la justification des connexions, sont mises en œuvre.
  • La protection des données des clients, avec des mesures telles que le droit d’export des données, le droit à l’oubli, l’anonymisation des données personnelles, la désinscription ou la création de contact.

Nous prenons également des mesures de protections de nos datacenters, qui sont sous contrôle 24h/24h, 7J/7j.

Nous reviendrons très rapidement vers vous avec le détail concret de nos actions. Restez connecté !