RGPD (règlement général sur la protection des données) et professionnels de l'immobilier: ce qu'il faut faire!

RGPD (règlement général sur la protection des données) et professionnels de l'immobilier: ce qu'il faut faire!
Depuis quelque temps, le terme « RGPD » revient sans cesse dans la plupart des supports de communication médiatique (presse écrite, médias télévisés, Internet...). Cette sur-communication autour du RGPD est due à son imminence et à son entrée en vigueur prochaine le 25 Mai 2018 prochain.

Le RGPD : c'est quoi ?

Le RGPD est un texte juridique européen, plus précisément un Règlement adopté par le Parlement et le Conseil de l'Union européenne le 27 avril 2016 : c'est le Règlement (UE) 2016/679. Ledit Règlement est de par son objet, relatif à la protection des personnes physiques pour le traitement de leurs données à caractère personnel, et abrogeant par la même occasion la Directive 95/46/CE (anciennement, Règlement général sur la protection des données).

Le nouveau Règlement européen est prévu s'appliquer à tous les pays membres de l'Union européenne dès le 25 mai 2018, ainsi qu'en dispose son article 99. Ce Règlement est plus communément connu sous la dénomination « RGPD ».

Comment le RGPD va s’appliquer en France le 25 Mai 2018 ?

Le RGPD est un texte de l'Union européenne. A ce titre, il bénéficie des conditions d'applicabilité du droit de l'Union européenne.
Le texte étant un Règlement, il s'applique dès lors sans aucune condition ni aucune formalité à tous les pays membres de l'Union à la date fixée par ce même Règlement, à savoir le 25 mai 2018.
Le Règlement ne nécessitera aucune transposition en droit français et sera d'applicabilité immédiate et produira directement ses effets sur les personnes concernées par le texte, à savoir les entreprises détenant des données personnelles et les personnes physiques propriétaires de ces données.

Le Règlement est également opposable aux États membres, dans le sens où ils devront faire respecter ce texte européen, notamment à travers leurs juridictions nationales ; ceci découle du fait que d'une part, le Règlement s'applique à tous (États membres et citoyens européens) et d'autre part, le juge national est le juge de droit commun des litiges découlant de l'application d'un texte européen.

Le RGPD s'imposera alors en France, à toutes les entreprises qui ont à connaître de données personnelles en lien notamment avec leurs clients, leurs fournisseurs, leurs prestataires, ou toutes personnes physiques concernant lesquelles ces entreprises auraient collecté des données personnelles.

Les données personnelles dont il s'agit sont notamment :

- les noms et prénoms,
- le numéro de téléphone,
- l'adresse physique,
- l'adresse mail, et plus généralement, tout ce qui permet d'identifier de manière directe ou indirecte, une personne physique.

A noter que ce sont bien les personnes physiques et leurs données qui sont protégées, le champ d'application du Règlement n'incluant donc pas les données des personnes morales.

Quelles sont les nouvelles règles de protection des données posées par le RGPD?

Le RGPD, en tant que texte communautaire, vient compléter le dispositif de la loi « Informatique et Libertés », adoptée en France en 1978. Ce texte européen renforce l'obligation de transparence des entreprises traitant ou sous-traitant des données personnelles de personnes physiques en lien avec leurs activités.

Cette transparence accrue passe par la tenue d'un Registre qui recense l'ensemble des fichiers où sont identifiées les activités de l'entreprise, susceptibles de traiter de données personnelles de personnes physiques : par exemple, une fiche concernera les données personnelles recueillies en matière de recrutement, une autre fiche pour la gestion de la paie du personnel salarié, une autre fiche encore pour les clients ou prospects etc.
La tenue de ce Registre permettra à l'entreprise d'être en totale transparence en cas de contrôle ultérieur par la CNIL.

Le RGPD impose également que seules les données personnelles utiles à l'entreprise seront conservées, tandis que les autres devront être supprimées de sa base de données.

Toujours en continuité de cette transparence accrue, l'entreprise concernée doit informer ses clients, ses prospects, ou bien les consommateurs dont elle sollicite des données personnelles, des démarches qu'elle effectue en ce sens et de l'utilisation qu'elle fait et qu'elle fera de ces données.

Une fois ces données collectées, l'entreprise doit les sécuriser et permettre à la personne physique concernée, d'en disposer comme elle l'entend.

Les mesures-phares du nouveau règlement européen

Le Règlement européen avance un certain nombre de mesures-phares dont en voici quelques-unes : la première est la portabilité des données personnelles.
Cela signifie que la personne physique doit pouvoir réclamer à l'entreprise concernée, la reprise de ses données et le transfert de celles-ci à une autre entreprise, par exemple lorsqu'un client souhaite mettre fin à ses liens avec un professionnel de l'immobilier et en entamer de nouveaux avec un autre professionnel.

Outre la portabilité, il y a également le droit à l'oubli. Comme cela se pratique déjà depuis quelque temps en matière de déréférencement web sur les moteurs de recherche, la personne physique qui a noué des liens précontractuels ou contractuels avec un professionnel de l'immobilier doit pouvoir, à tout moment, exiger de ce dernier qu'il supprime les données la concernant.
Ainsi par exemple, l'agence immobilière devra sur simple mail d'un prospect, effacer l'ensemble des informations qu'elle détient sur lui dans sa base de données.
Autre mesure-phare, la mise en place d'un Délégué à la Protection des Données ou Data Protection Officer (DPO).
Il s'agit d'une sorte de « contrôleur » interne à l'entreprise, et qui sera présent au sein de l'agence immobilière par exemple afin de contrôler le bon respect des obligations découlant du RGPD.

Enfin, l'une des conséquences de ces mesures prévues par le RGPD est l'obligation de déclarer aussitôt à la CNIL, dès qu'il y a un risque de fuite, vol, ou perte de données personnelles, ou qu'un tel incident a bien eu lieu. Les sanctions en cas de non-conformité au RGPD

En cas de non-conformité au RGPD, les professionnels de l'immobilier peuvent encourir une sanction financière pouvant aller soit jusqu'à 4 % du chiffre d'affaires annuel mondial, soit jusqu'à 20 millions d'euros.

Il y aura eu auparavant, un avertissement, puis une réprimande si vous n’avez pas réglé le problème reproché, puis la suspension de vos systèmes de traitement.

Les professionnels de l'immobilier et le RGPD

Les professionnels de l'immobilier sont au cœur du dispositif RGPD pour la raison suivante : tout autant voire plus que d'autres entreprises, ils ont à gérer une base de données personnelles très étendue, qui englobe leurs clients directs, leurs prospects (clients potentiels), les données détenues par leurs sous-traitants...

Ces données sont d'autant plus sensibles lorsqu'elles sont transférées par exemple d'un professionnel à un autre, que ce soit par mail, par SMS, par courriers...

C'est le cas notamment dans un réseau de franchise d'agence s immobilières, dans lequel il peut y avoir des transferts d'informations ou de fichiers clientèles.
Les agences et les réseaux sont donc les plus concernés, notamment par la désignation d'un Délégué à la Protection des Données.
Néanmoins, tous les professionnels de l'immobilier, y compris les agences locales et les agents indépendants, sont fortement invités à se conformer au RGPD, par souci de transparence.
Les obligations concrètes à remplir par les professionnels de l'immobilier:

Comment fait-on en tant que professionnels de l'immobilier : les recommandations pratiques

Concrètement, les entreprises acteurs dans l'immobilier devront à compter du 25 mai 2018 opérer plusieurs modifications notoires au sein de leur entité :

- Elles doivent nommer un Délégué à la Protection des Données en leur sein.
- Elles devront, préalablement à la collecte de données des personnes physiques avec qui elles sont en relation, recueillir expressément le consentement de ces dernières. Cela se fera notamment par le biais d'un formulaire à remplir sur le site Internet du professionnel de l'immobilier : la charte des données ou un Registre.

- Les agences et réseaux immobiliers devront par ailleurs mettre en place des protocoles techniques et technologiques permettant de garantir le droit à l'effacement et à l'oubli, ou encore le droit à la portabilité des données concernées.

- Autre obligation concrète à la charge des professionnels de l'immobilier, ceux-ci devront impérativement annexer au contrat de travail de leurs employés un volet « RGPD ».

Et en cas d'incident portant sur une perte ou un vol de données personnelles, le professionnel de l'immobilier devra sans délai et sous 72 heures, en informer la CNIL.

- Enfin, pour permettre un contrôle optimal de la CNIL, il est requis du professionnel en immobilier qu'il tienne à jour un Registre de conformité aux procédures prévues par le RGPD.

Chaque professionnel de l'immobilier devra mettre en place, progressivement, des protocoles et dispositifs permettant de se conformer au RGPD.

- Ainsi avec l'appui du Délégué à la Protection des Données, une agence immobilière qui utilise un ou des logiciels de gérance locative ou de gestion immobilière, devra les adapter afin de répondre aux exigences du RGPD.

- De même, les « datacenters » devront faire l'objet d'une surveillance accrue 24h/24, afin de les protéger contre des fuites de données personnelles.

La préconisation essentielle qu'il y a lieu de tirer de ce nouveau texte européen est sans aucun doute la transparence au service de la sûreté des données personnelles des personnes physiques. Cela implique pour les professionnels de l'immobilier de mettre en œuvre progressivement des dispositifs de transparence renforcée, ce qui n'implique pas à la date du 25 mai d'être parfaitement aux normes.

Cette « compliance » ou conformisation se fera pas-à-pas, aidée en cela par le Délégué à la Protection des Données.

L'exemple de transparence le plus simple à mettre en œuvre consiste ainsi à avertir non seulement la CNIL mais aussi et surtout, le client ou prospect, dès lors que ses données personnelles sont compromises ou risquent de l'être.

Vous avez aimé l'article "RGPD (règlement général sur la protection des données) et professionnels de l'immobilier: ce qu'il faut faire!" ? Partagez le.

Les news de l'immobilier en direct

> Créez votre alerte mail et recevez immédiatement les derniers articles des Cles du Midi dès qu'ils seront publiés sur le site.

ImmobilierProfessionnels immobilierAgences immobilièresActivité des agences immobilièresPrestations et services des agences immobilières