Le numérique se développant dans tous les domaines et notamment dans l’immobilier, il est nécessaire de se préparer dès maintenant à l’entrée en application le 25 mai prochain du nouveau règlement européen sur la protection des données personnelles.

Cadre réglementaire
Donnée à caractère personnel est « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres »
Il peut s’agir notamment du nom, prénom, date de naissance, adresse postale, adresse électronique, adresse IP d’un ordinateur, numéro de téléphone, numéro de carte de paiement, plaque d’immatriculation d’un véhicule, empreinte digitale ou génétique, photo, numéro de sécurité sociale.
Traitement de donnée à caractère personnel est « toute opération portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, la consultation, l’utilisation, l’extraction, la communication sous toutes ses formes… »
La collecte et le traitement de données à caractère personnel sont fortement réglementés.
Les principes issus de la loi Informatique & Libertés sont les suivants :
La confidentialité des données : La personne qui réalise le traitement doit prendre toutes les mesures nécessaires pour assurer la confidentialité des données traitées.
L’information des personnes : Toute personne dont les données personnelles font l’objet d’un traitement automatisé doit être informée du traitement et avoir la possibilité de contrôler les données traitées et de les rectifier si elles s’avèrent fausses.
La durée de conservation des informations : La durée de conservation des données doit être en rapport avec le but du traitement.
La finalité des traitements : Le traitement ne doit pas entraîner la collecte et le traitement de données personnelles qui ne sont pas nécessaires à l’objet du traitement.
Le contrôle des données sensibles : Le traitement des données sensibles est interdit (origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, infractions pénales …..) ou très encadré (santé, numéro de sécurité sociale …).
La CNIL (Commission Nationale de l’Informatique et des Libertés) est une autorité administrative indépendante agissant dans le cadre de la loi Informatique & Libertés.
Elle est chargée de veiller à ce que l’informatique ne porte pas atteinte à l’identité humaine, aux droits de l’homme, à la vie privée ni aux libertés individuelles et publiques.
Les principales missions de la CNIL sont : informer et protéger les personnes, réguler le traitement des données sensibles, contrôler le respect de la loi, sanctionner les responsables de traitement et anticiper le développement technologique.
Le règlement européen poursuit notamment les objectifs ci-après :
Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Enjeux
Les enjeux sont multiples : sanctions pénales, risques pécuniaires significatifs[1], judiciaires, d’image et réputation….
Il est important de souligner que la CNIL peut rendre publiques ses mises en demeures, avertissements et sanctions pécuniaires étant précisé que cette insertion dans des publications ou journaux n’est pas soumise à la condition de mauvaise foi de la personne concernée.
Cependant, la CNIL doit limiter dans le temps cette publication afin de respecter le principe de proportionnalité.
En 2016, la CNIL a procédé à 430 contrôles dont 20 % ont porté sur la vidéo-protection dans les lieux ouverts au public.
Agir
Pour agir efficacement et promptement, nous vous recommandons de vous informer et de vous faire accompagner par afin de mieux identifier vos traitements et de prioriser les actions en fonction des risques.
Mais il faudra aussi prévenir et intégrer les principes de « protection des données dès la conception et par défaut », donc il sera nécessaire de se former et de documenter tout le processus de protection mis en place.
Pour vous, nous avons préparé une liste non exhaustive des principaux points à vérifier :
Site web : Comporte-t-il les mentions légales obligatoires ? Est-il conforme en matière de cookies ?
Locaux : Sont-ils sous vidéo-surveillance ?[2] Reçoivent-ils du public ? Comment s’y effectue l’accès ? Les dispositifs sont-ils déclarés ? Le personnel et le public sont-ils informés ?
Clients et prospects : les fichiers les concernant ont-ils été déclarés ? En qualité d’assureur, collectez-vous des données de santé ?
Salariés : Avez-vous déclaré les fichiers les concernant ? Sont-ils sensibilisés au traitement des données personnelles ? Remplissent-ils des zones des commentaires libres[3] ? L’accès aux outils mis à leur disposition est-il protégé par un mot de passe ? Disposent-ils des badges d’accès ?
Gestion des biens immobiliers : êtes-vous concerné par la norme simplifiée NS-021 ?
Gestion des logements sociaux : respectez-vous le cadre de la norme simplifiée NS-020 ?
Sous-traitance, co-contractants et fournisseurs : vérifiez-vous s’ils respectent la loi informatique et libertés ?[4]
Si vous êtes dans l’une ou plusieurs situations ci-dessus énoncées, sachez que des solutions adaptées existent et qu’elles vous permettront d’agir dès à présent mais aussi d’anticiper le nouveau cadre réglementaire européen.

[1] La loi 2016-1321 du 7 octobre 2016 pour une République numérique élargie les compétences de la CNIL en matière de protection des données personnelles et renforce son pouvoir de sanction (le plafond maximal de ses sanctions passe de 150 000 à 3 millions d’euros).
A partir du 25 mai 2018, l’absence de notification des violations de données à la CNIL sera passible d’une amende administrative pouvant s’élever à 10 millions d’euros, ou 2 % du chiffre d’affaires annuel mondial dans le cas d’une entreprise.

[2] Par délibération du 3 janvier 2013, la CNIL a prononcé une sanction pécuniaire publique à l’encontre d’un Syndicat des Copropriétaires ayant installé un système de vidéosurveillance disproportionné.

[3] Par un arrêt du 12 mars 2014, le Conseil d’Etat a confirmé une délibération de la CNIL du 6 octobre 2011, prononçant un avertissement public à l’encontre du groupe FONCIA, pour commentaires excessifs sur les clients et prospects.

[4] La société Directannonces, spécialisée dans la compilation d’annonces immobilières de particuliers sur internet pour les revendre à des professionnels, a été condamnée à 40 000 euros d’amende par la CNIL le 26 février 2009.
Le 20 mai 2008, la CNIL a rendu public l’avertissement prononcé à l’encontre de la société Entreparticuliers pour des failles de sécurité.
Le 12 janvier 2012, la CNIL a prononcé une sanction pécuniaire de 20 000 euros à l’encontre du groupe D.S.E. France, dont le nom commercial est « Hexagone cabinet d’expertises », société de diagnostic qui démarchait par SMS des propriétaires de biens immobiliers à vendre, sans leur consentement.

CategoryParution
© BKP AVOCATS 2017 - DESIGNED AND POWERED BY
TAO / SENSE
- MENTIONS LEGALES / LEGALES MENTIONS