Le Règlement Général sur la protection des Données Personnelles (RGDP) pose un nouveau cadre juridique (1) auquel toutes les entreprises, quel que soit leur secteur d’activité ou leur lieu d’établissement, devront se conformer au plus tard le 25 mai 2018 (notre ressource du 16/01/2018 «RGPD : la responsabilité des professionnels renforcée»). Toutes les activités des professions immobilières sont concernées. Une partie des obligations est à satisfaire par les éditeurs des progiciels utilisés ; mais les entreprises doivent être en mesure de justifier de l’application du règlement pour toutes les données personnelles de personnes physiques qu’elles sont susceptibles de gérer, y compris celles de leur personnel, de leurs clients et, pour les agents immobiliers, de leurs agents commerciaux et mandataires. La conformité des traitements doit non seulement être assurée mais documentée et justifiable en cas de contrôle, sous peine de sanctions très lourdes pouvant aller jusqu’à 2% du chiffre d’affaires mondial réalisé. À noter que le règlement s’applique à l’ensemble des traitements, qu’ils soient automatisés ou non, pourvu que ceux-ci concernent des fichiers ou base de données structurées.
Sont concernés les données collectées sur les personnes contactées par prospection ou entrées en contact via le site de l’entreprise ou les sites d’annonces utilisés, les candidats acquéreurs ou locataires, les mandants de gestion locative, et les copropriétaires. Ceci inclut les formulaires papier complétés (mandats, bon de visite, contrat de location, etc.).
La mise en conformité de l’entreprise implique de satisfaire aux obligations suivantes :
- La désignation d’un “délégué à la protection des données” (DPO) ; le DPO peut être externalisé, par exemple à un cabinet d’avocats spécialisés, ou encore mutualisé ;
- La création et le maintien à jour d’un registre des traitements ; procéder pour cela à un inventaire ou cartographie des traitements, identifiant pour chacun le nom et les coordonnées du responsable du traitement, les personnes ayant accès aux données, les sous-traitants, les données concernées, les données sensibles ou à risque, la ou les finalités du traitement, le lieu de stockage des données, leur durée de conservation, et les mesures de sécurité mises en œuvre pour garantir leur sécurité et leur confidentialité ; la conservation sans limite de durée des données personnelles n’est plus possible : il faut donc mettre en place des procédures de purge ;
- La mise en place s’il y a lieu de nouvelles modalités de recueil de consentement (v. ci-après) ;
- La prise en compte du renforcement des droits existants des personnes concernées ainsi que la consécration de nouveaux droits tel que le droit à la portabilité des données (article 20 du RGPD), qui peut être particulièrement contraignant pour les traitements relatifs à la gestion locative et la gestion de copropriétés ;
- La réalisation d’analyses d’impacts ;
- La notification des violations ;
- la mise en place s’il y a lieu d’un nouveau formalisme contractuel : les formulaires doivent comporter des mentions obligatoires d’information légale, indiquer les procédures mises en place pour l’exercice des droits des personnes, et les coordonnées du DPO.Pour qu’un traitement soit licite, il doit obligatoirement répondre à l’une au moins des conditions suivantes :
- avoir obtenu le consentement des personnes concernées par “acte positif et éclairé” (si tel n’est pas le cas, l’entreprise doit solliciter toutes les personnes concernées par le traitement afin de leur demander leur consentement à poursuivre le traitement) ; le clic sur un bouton valant acceptation des conditions générales ou du transfert des données à des partenaires ne suffit plus : l’utilisateur doit consentir explicitement en cochant une case (non pré-cochée) qui indique la finalité de la collecte, le destinataire des données, son droit de suppression, modification ou d’opposition à l’utilisation des données, ainsi que l’indication des modalités d’exercice de ce droit ; l’entreprise doit de surcroît être en mesure de prouver que les personnes figurant dans ses fichiers vous ont autorisé à collecter certaines de leurs données ;l
- être nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à sa demande ;
- être nécessaire au respect d’une obligation légale à laquelle l’entreprise est soumise ;
- être nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ;
- être nécessaire à l’exécution d’une mission d’intérêt public dont l’entreprise est investie ;
- être nécessaire à des intérêts légitimes poursuivis par l’entreprise.Une mention particulière doit être faite pour les données recueillies sur des personnes tierces dans le cadre de la mise en œuvre d’un mandat : locataires dans le cadre d’un mandat de gestion locative ou copropriétaires dans le cadre d’un mandat de syndic : ces données ne peuvent être utilisées sans consentement explicite des personnes concernées pour la diffusion d’informations qui ne sont pas strictement liées à l’exercice du mandat (informations commerciales, prospection marketing, etc.).
Une mention particulière doit être faite également pour les “cookies” : ils doivent être identifiés comme strictement nécessaires au fonctionnement du site internet (cookies de connexion), ou comme permettant de réaliser des analyses comportementales en ligne ou de la publicité ciblée. Le recours à cette seconde catégorie de cookies suggère l’insertion d’un bandeau qui doit s’afficher dès qu’un utilisateur accède au site, avec possibilité d’accepter/refuser ou personnaliser les cookies (2).
(1) Eur-lex Europa : règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
(2) CNIL – Solutions pour Site web, cookies et autres traceursSource: www.universimmo-pro.com
