Open/Close Menu Cabinet Avocats Versailles / Avocats Paris

IMMOBILIER : Le RGPD ne doit pas rester sur le pas de la porte !

 

La mise en œuvre du règlement général pour la protection des données personnelles dans les agences immobilières : quelques conseils pratiques pour ne pas se prendre une « tuile ».

Bien que la CNIL multiplie les efforts de pédagogie et d’accompagnement, cette réglementation, appliquée depuis le 25 mai dernier, peut demeurer obscure pour les gérants d’agence. Sans avoir l’ambition de l’exhaustivité, voilà une excellente occasion d’expliquer concrètement les actions à mener pour conjuguer immobilier et mise en conformité.

Qu’est-ce que le RGPD ?

S’inscrivant dans la continuité de la loi Informatique et Libertés de 1978, le RGPD encadre en Europe le traitement, la collecte, la consultation, le stockage ou encore le transfert des données des personnes physiques. Cette législation est uniforme à l’ensemble des États membres, en ce sens que les mêmes règles s’appliquent plus ou moins identiquement, peu importe la situation géographique.

Mieux encore, sans distinction de taille, de chiffre d’affaires ou d’activité, elle s’impose à toute organisation, publique et privée, qui traite ces données personnelles. Qu’elles soient spécialisées dans les ventes de biens, la gestion locative ou encore le syndic de copropriété, les agences immobilières ne font donc pas exception.

Quelles données sont véritablement concernées par ce texte ?

Si les données identifiant les personnes morales ne sont pas protégées, du moins sur l’autel du règlement, ce texte s’applique à toutes les données qui permettent d’identifier directement (état civil, photo…) ou indirectement (âge, sexe, taille, données de localisation…) une personne physique.

C’est peu de le dire, dans son cœur de métier, une agence dispose de nombreuses informations les concernant. On pense évidemment aux clients, locataires ou propriétaires, sans oublier ses collaborateurs, fournisseurs ou prestataires voire le chaland quand une vidéosurveillance scrute la porte d’entrée ou la vitrine !

Quelle est la première action que je dois réaliser ?

Avant tout, le Responsable de traitement, et donc le représentant légal de l’agence, doit réaliser un inventaire sur deux axes principaux :

– D’une part, dresser la liste des données traitées (état civil, vie personnelle, vie professionnelle, information d’ordre économique et financier, etc.) associée à l’ensemble des types de personnes concernées, à savoir les clients, prospects, locataires ou encore les collaborateurs.

– D’autre part, identifier les prestataires ou les tiers auxquels l’agence confie ou est susceptible de confier des données personnelles. Logiciel métier, fiches de paie établies par le comptable ne sont que quelques exemples, tant les scénarios sont multiples. Souvent, le prestataire informatique est lui-même en première ligne puisqu’il réalise un traitement important sur ce vivier numérique : l’hébergement. Finalement, peu importe leur place sur l’échiquier, chacun de ces acteurs doit être sollicité pour qu’il apporte la preuve d’une conformité pleine et entière au texte européen, ou a minima, démontre que ce travail est en cours.

Cette phase préalable conduit à la préparation du Registre de traitement. Un outil de pilotage stratégique et essentiel à la démonstration de votre propre conformité, impérativement mis en place quelle que soit la taille de la structure concernée.

Quand l’Agence confie des données à son prestataire, est-il responsable ?

Indéniablement oui. Par exemple, si le service qui établit les fiches de paies est externalisé ou que l’envoi de newsletters est réalisé par une société tierce, ce prestataire est responsable de cette activité.

En revanche, l’une des nouveautés du RGPD est de renforcer la chaîne de responsabilité pour garantir d’autant les droits des personnes physiques. Inquiété par un client, le Responsable de traitement – l’Agence – pourra certes rechercher à son tour la responsabilité de son prestataire, mais sans pouvoir s’exonérer. C’est le principe de la responsabilité conjointe introduit par le texte européen.

On comprend ainsi mieux l’intérêt de l’inventaire : permettre de solliciter de la part de l’ensemble des prestataires la démonstration de leur propre conformité. En questionnant chacun d’entre eux, en sollicitant des preuves ou des engagements de conformité, vous serez dans une bien meilleure disposition pour vous défendre en cas de mise en cause personnelle et dès lors tenter d’alléger votre part de responsabilité.

Y a-t-il des zones à risques plus importantes en matière de protection des données ?

Ce chantier ne se limite pas à ce seul périmètre. Il passe également par la mise à jour du site internet de l’Agence. En effet, un tel service en ligne peut paraître anodin, alors qu’il abrite une étape essentielle dans le processus d’adéquation au règlement. Site principal, sites annexes tels que l’intranet et l’extranet, chacune de ces strates est impliquée.

Ce processus passe inévitablement par la rédaction d’une charte des données personnelles – ou sa mise à jour si elle préexistait – outre l’ajout d’une note d’information lors de la collecte de ces informations.

Ainsi, le client ou prospect qui visite le site pour s’inscrire à la Newsletter de l’Agence, doit connaitre la finalité du traitement (recevoir la newsletter), les données indispensables à cette opération (l’adresse email, à tout le moins).

Il sera également essentiel d’identifier, avec le prestataire si besoin, si la navigation sur le site internet implique l’installation de cookies. Ces petits fichiers ont vocation à simplifier la navigation pour le visiteur, mais ils sont aussi utilisés pour capter de la donnée de l’utilisateur, notamment les recherches qu’il aurait pu déjà effectuer sur le site.

Lorsque le site utilise des traceurs conduisant à proposer de la publicité ciblée (renvoi de publicité sur tel ou tel bien ou sur une zone géographique), des partages sur les réseaux sociaux ou des mesures d’audience, leur installation est alors strictement encadrée puisquesoumise au consentement explicite d’utilisateur.

S’agissant du site intranet et de l’extranet, il conviendra de répondre aux questions suivantes : quelles sont les informations collectées ou accessibles, quelles sont les personnes ayant accès à ces informations ? Sont-elles colletées conformément à une finalité déterminée en amont par le Responsable de traitement ? Combien de temps sont-elles conservées ?

Faut-il que je nomme un Délégué à la protection des données, un DPO ?

La fonction essentielle du DPO est de conseiller et accompagner les organismes qui le désignent dans leur conformité au quotidien. Le RGPD impose la nomination d’un DPO si l’une des conditions suivantes est remplie :

  1. Lorsque le responsable est une autorité ou un organisme public,
  2. Lorsque l’activité de base d’un organisme l’amène à réaliser un suivi régulier et systématique des personnes à grande échelle,
  3. Lorsque ces activités de base l’amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

L’Agence n’est vraiment concernée que par la seconde condition a priori. Problème, le RGPD ne définit pas l’expression « à grande échelle ». Le seul éclairage vient d’une recommandation des autorités de contrôle européennes où ont été précisés des facteurs qualitatifs et quantitatifs :

  • le nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée;
  • le volume de données et/ou le spectre des données traitées;
  • la durée, ou la permanence, des activités de traitement des données;
  • l’étendue géographique de l’activité de traitement.

Nous pourrions considérer qu’une Agence qui gère la majorité des immeubles d’une ville réalise un traitement à grande échelle au niveau de l’agglomération. En effet, dans cette hypothèse, elle concentrerait dans ses bases l’essentiel des données des locataires sur la zone considérée. Il en irait de même dans les cas où les agences travaillent en réseau pour mettre en commun leur fichier de prospect ou de vendeur.

Dans ces cas, il serait chaudement recommandé de nommer un DPO.

Avant de procéder à sa nomination, l’Agence devra néanmoins s’assurer que la personne pressentie dispose des prérequis fixés par le RGPD. A savoir, d’une part, qu’elle détient une expertise juridique et technique en matière de protection des données personnelles et une bonne connaissance du secteur d’activité a minima. D’autre part, qu’elle dispose de moyens et du temps suffisants pour exercer ses missions, notamment au travers de moyens financiers et/ou humains.

Enfin, le DPO doit être en capacité d’agir en toute indépendance. C’est le principal enjeu d’une nomination interne : il ne doit pas être en situation de conflit d’intérêts, par exemple s’il cumule une autre fonction dans l’Agence. De même, il doit être en mesure de reporter au plus haut niveau de la direction de l’organisme, sans pour autant recevoir d’instruction dans le cadre de sa mission fixée par le règlement.

A défaut de pouvoir garantir le respect de ces prérequis, l’Agence peut dans tous les cas opter pour un prestataire extérieur et du coup mutualiser cette charge avec d’autres acteurs de son réseau.

Une agence immobilière risque-t-elle vraiment une amende de 20 millions d’euros ?

Le règlement général sur la protection des données est souvent présenté sous l’angle des sanctions. Les fameuses amendes maximales de 4 % du chiffre d’affaires mondial ou 20 millions d’euros. Paraît-il que le marketing de la peur serait le plus efficace pour faire plier les chefs d’entreprise encore réticents à une mise en conformité.

À contre-courant de ce mouvement, nous pensons plus judicieux de présenter les bienfaits d’une telle démarche. Avoir des traitements et un site en pleine harmonie avec cette nouvelle législation est avant tout un gage d’assurance aux yeux des chalands. Ici comme ailleurs, la confiance est le nerf de l’activité, et le fichier client, l’actif principal de toute société.

S’il est déraisonnable de croire qu’une petite ou moyenne entreprise pourra être sanctionnée au plus haut de ces sanctions, il y a des certitudes. D’une part, une entreprise non respectueuse du règlement se vendra mal. D’autre part, il pèsera un risque important de déficit d’image si la CNIL décide de mettre à l’index votre agence immobilière.

Les professionnels se souviennent sans doute de l’avertissement public adressé à Foncia en 2011. Sans revenir en détail sur les faits, l’entreprise fut épinglée pour d’anciennes annotations litigieuses et excessives dénichées dans son logiciel de gestion de clientèle (« folle ! En dépression », « il sentait l’alcool lors de sa visite », « enquête du SRPJ en cours », etc.).

La décision avait contraint la société à publier un communiqué de presse, tout aussi bruyant, pour « déplore[r] les termes utilisés par certains de ses collaborateurs » et tenter de rassurer sa clientèle. Quelques mois avant la délibération de l’autorité administrative, elle avait dû mettre en place des contrôles renforcés et une démarche éthique et déontologique. Mais trop tardivement, aux yeux de la CNIL, qui a rappelé que « les zones commentaires disponibles dans certains logiciels de gestion de clients ou de prospects ne doivent contenir que des informations objectives et que les personnes concernées ont le droit de demander à accéder à ces commentaires ».

De telles éclaboussures ne se seraient jamais produites si les mesures adéquates avaient été décidées au bon moment, préventivement.

Oriana Labruyère

Avocat – Dpo externe

BKP Avocat

Article paru dans “L’Actualité Immobilière” Décembre 2018  – SOCAF 

[/column]
CategoryImmobilier, Parution
© BKP AVOCATS 2019 - DESIGNED AND POWERED BY
TAO / SENSE
- MENTIONS LEGALES / LEGAL NOTICE