Astuces & conseils pour les professionnels de l'immobilier
Astuces & conseils pour les professionnels de l'immobilier

Gérants d’agence immo et RGPD : ce que dit la loi

RGPD agence immobilière

Gérants d’agence immo et RGPD : ce que dit la loi

Le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données personnelles) est entré en vigueur. Il s’applique à toute entreprise traitant les données personnelles des citoyens européens. Les professionnels de l’immobilier sont donc concernés de la même façon que les plus grandes multinationales. Ce règlement impose une réorganisation interne dans presque toutes les sociétés, ceci afin d’instaurer un contrôle plus rigoureux sur l’accès aux données et leur protection. La CNIL préconise “6 pas pour se mettre en conformité”. Nous vous recommandons chaudement de lire leurs propositions et conseils ci-dessous.

Désigner un pilote au projet de conformité RGPD

Il s’agit de la personne qui gèrera ce projet et guidera votre organisation dans la voie de la conformité. En premier lieu, le règlement préconise la désignation d’un délégué à la protection des données (DPO). Dans certains cas, ceci est obligatoire.

Si votre société traite un nombre de données conséquent, vous êtes dans l’obligation de désigner un DPO. La CNIL ne donne pas de palier précis à ce sujet, cependant de plus amples informations à ce sujet sont disponibles ici.

Cartographier les données en votre possession

À partir du moment où vous êtes en possession d’une donnée personnelle, ceci est considéré comme un traitement. Toute collecte, stockage, archivage ou modification de données au sein de vos outils, doit être cartographié. Voici les principes de base à respecter :

Transparence et traçabilité

premièrement, informer les consommateurs des traitements qui seront faits sur leurs données. Un registre des traitements vous aidera à tout documenter, il est obligatoire et doit être mis à disposition à la CNIL sur simple demande.

Consentement

toujours avoir le consentement pour le traitement et ses finalités. Par exemple, si vous récoltez des informations personnelles et sensibles dans le but d’établir un mandat de vente, le consentement des propriétaires n’est pas à prouver. La loi vous oblige à demander ces informations. Or, si vous souhaitez inscrire cette même personne à votre newsletter informative, il s’agira d’un nouveau traitement de ses données. Un consentement et une information préalable sont obligatoires. À vous de prouver que vous les avez lors d’un contrôle.

Privacy by design

ce terme est très vaste et englobe plusieurs problématiques de sécurité. Nous consacrerons d’ailleurs prochainement un article entier sur la responsabilité des sous-traitants (vos fournisseurs de logiciel, site, solution d’e-mailing, etc.).

Vous devez, en outre, vous assurer que les informations que vous détenez ont une fin de vie. Un cycle de vie est donc à définir. Concrètement, vous devez vous engager à supprimer les données des personnes. Par exemple, pour les données des propriétaires, deux ans à partir de la vente du bien, sauf si une autre loi vous oblige à les garder plus longtemps.

Attention, le RGPD s’applique aux données numériques mais également à celles sur papier. Il concerne votre base client mais aussi les données de vos employés. À titre d’exemple, un bulletin de paie est un document contenant des données personnelles.

Prioriser vos actions, faire un plan d’action

Il s’agit de mettre en place un plan d’action par étapes des interventions les plus importantes, en fonction des risques sur les libertés des personnes.

(La définition d’un risque n’est pas exacte. Elle dépendrait “de la nature, de la portée, du contexte et des finalités du traitement”. Exemples : localisation, traitement des données religieuses, raciales, biométriques, pénales, opinions politiques, etc. Le règlement en entier peut être consulté sur ce lien et une description des risques peut être retrouvée au 75ème considérant).

Mettez en place des dispositifs de sécurité et de restriction d’accès aux informations les plus sensibles : copies des documents d’identité, des relevés d’identité bancaire etc. Vous devez être au clair à tout moment de qui a accès à quelles informations au sein de votre société.

Gérer les risques pour les minimiser

Tout risque détecté doit être anticipé pour le minimiser. Un plan d’action devra également être élaboré en cas de crise (fuite de données). Par exemple, si une atteinte à des données personnelles arrive, vous devez en notifier la CNIL dans les 72 heures après son constat.

Attention, la perte d’un ordinateur ou d’un téléphone de fonction peut être considérée comme un risque sur la sécurité des données qui y sont stockées.

Organiser les processus internes

Il s’agit de la prise en compte de la protection des données dès la conception d’un traitement. En l’occurrence, il est nécessaire de mettre en place des bonnes pratiques et de former vos collaborateurs à suivre ces indications.

Sachez également qu’en cas de violation de données personnelles, un télé-service de notification est disponible depuis mai 2018 sur cnil.fr.

Documenter la conformité avec le RGPD

Enfin, un dossier de différents documents complètera votre conformité au RGPD :

1. Le registre des traitements.
2. Les analyses d’impact sur la protection des données*.
3. Les moyens d’information et de recueil du consentement des personnes.
4. Les procédures pour l’exercice des droits.
5. Les contrats qui définissent les rôles et les responsabilités de chacun.

(*pour les traitements à haut risque pour les libertés fondamentales des personnes)

Le RGPD et l’immobilier : quelle conclusion ?

Dans une ère où l’information parcourt le monde à grande vitesse, il est préférable de tout mettre en oeuvre pour éviter les risques de vol ou de perte de données à caractère personnel. Une telle perte serait non seulement un risque financier, mais également nuisible à l’image de l’entreprise défaillante. De ce fait, effectuer les démarches pour se mettre en conformité est donc nécessaire. Finalement, en tant que gérant d’agence immobilière, après avoir organisé votre structure autour de la protection des données, votre priorité sera la vérification de la conformité de vos sous-traitants en contact avec des données personnelles.

auteur :