Juliette
November 9, 2019

Étant entré en application le 25 Mai 2018, le Règlement Général sur le Protection des Données, souvent appelé RGPD, encadre le traitement des données personnelles sur le territoire de l’Union Européenne. Il permet aux entreprises de développer leur activité, en leur offrant à la fois un cadre juridique et une opportunité de gagner la confiance des utilisateurs.                                       Toutefois, cette nouvelle responsabilité peut, parfois, laisser les organismes qui y sont soumis dans le flou. Alors, lorsque l’ancien secrétaire général à la CNIL (Commission Nationale de l'Informatique et des Libertés) recommande de bien tenir compte de ces nouvelles exigences, on ne sait plus vraiment ce que l’on doit faire. Nous éclaircissons aujourd’hui la situation en vous proposant 10 actions à mener pour respecter la RGPD dans votre agence immobilière ! 

Vérifier si vous êtes soumis à la RGPD

La première étape avant de commencer à mettre en place diverses actions pour respecter la RGPD est de vérifier si vous y êtes effectivement soumis. Cela est assez simple :

  • Vous traitez des données personnelles ? C’est-à-dire une information se rapportant à une personne physique identifiée ou identifiable. 
  • Vous êtes établie sur le territoire de l’Union Européenne, ou votre activité cible des résidents européens ? 

Si vous remplissez les critères précédents, que vous soyez un organisme public ou privé, vous êtes soumis à la RGPD. Vous allez devoir traiter les données personnelles de vos vendeurs et vos acheteurs de biens immobiliers, vous êtes donc bien soumis au respect de ce règlement.

Il faut savoir que cela concerne également les sous-traitants, utilisant les données personnelles pour d’autres organismes. Ces derniers doivent respecter diverses obligations, notamment celle de conseiller des clients. 

Nommer un Data Protection Officer (DPO)

La RGPD peut demander un travail conséquent nécessitant qu’une personne spécifique lui accorde du temps. Vous pouvez alors nommer un « Data Protection Officer ». Cela est absolument essentiel pour les agences immobilières gérant un fort volume de données personnelles. En charge du respect du règlement, il devra vérifier que vous vous conformez bien aux demandes, à la fois sur le plan technique et juridique, dans chacune de vos actions.                                                   Un de ses rôles premiers est de faire des recommandations pour améliorer le traitement des données, même si cela va parfois à l’encontre de l’activité de l’organisme. Et il reportera ses observations directement à la direction générale. 

Le registre des données 

Ce registre est en quelques sortes une liste des parties prenantes qui jouent un rôle dans le traitement des données, notamment l’agent immobilier et le notaire. Prévu par l’article 30 du RGPD, il vous permettra d’avoir une vue d’ensemble de la collecte des informations personnelles dans votre agence immobilière. Il fait également partie intégrante des documents officiels de conformité à la RGPD. 

Il doit comporter les éléments suivants : 

  • Les acteurs : cela peut être des entreprises avec qui vous analysez les données, des agents immobiliers, des agents commerciaux immobiliers ou des notaires… En d’autres termes, toutes entités ayant un rapport, de près ou de loin, aux données personnelles collectées. 
  • La typologie des données : nom, date de naissance, adresse, numéro de téléphone, salaires…
  • La finalité des données : vous devez décrire l’objectif de la collecte de ces données. Est-ce pour une vente immobilière ou une location ?
  • Le risque et les mesures de sécurité : dans cette catégorie, l’objectif est de décrire le risque que les données peuvent encourir (vol, piratage..) ainsi que les mesures que vous avez prises pour pallier à ce risque. Nous reviendrons par la suite sur la sécurité des informations. 
  • Le flux : cette partie du document vise à comprendre le parcours que peuvent effectuer les données sur le territoire ou à l’international. 
  • Les personnes qui vont traiter ces données : qu’elles soient internes ou externes à votre agence. 

Reprendre les contrats avec les sous-traitants ou partenaires

Comme nous l’avons vu précédemment, les sous-traitants ou les partenaires, sont aussi soumis à la RGPD et cela doit figurer dans vos contrats. En effet, la loi exige « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (article 28 du RGPD). Vous devez alors mettre par écrit toutes instructions aux prestataires ou partenaires qui ont accès à ces données. 

Afin de respecter la RGPD, votre contrat doit comporter les éléments suivants : 

  • L’objet et la durée de la prestation 
  • Le type de données
  • Les catégories de personnes concernées
  • Les droits et obligations au sous-traitant ou partenaire
  • L’engagement du sous-traitant ou partenaire à signaler dans l’immédiat toute fuite de données
  • Une garantie du sous-traitant ou partenaire que les outils d’analyses sont conformes à la RGPD

Vous devez également faire signer à votre prestataire ou votre partenaire un accord de confidentialité ! 

La documentation d’encadrement des transferts

Le registre des données, explicité précédemment, fait notamment référence aux flux des données sur le territoire et à l’international. Afin de pouvoir tracer ces déplacements, il vous ait demandé de répertorier tout document lié aux transports des données hors Union Européenne, tels que les clauses contractuelles types, les « Binding Corporates Rules » (BCR) ou encore les certifications. 

Cette règle concerne moins les agences immobilières qui opèrent à une échelle locale ou nationale. Elle est néanmoins importante à connaître si vous prévoyez d’étendre vos activités immobilières à l’étranger.

Informer les clients

Comme vous vous en doutez, il est absolument essentiel et obligatoire d’informer vos clients de la collecte de leurs données personnelles dans le cadre d’une transaction immobilière. Les articles 12, 13 et 14 de la RGPD rédigent cette obligation de transparence.

L’idée principale est de permettre à ces personnes de pouvoir autoriser la collecte de leurs données, mais aussi de pouvoir les consulter, les rectifier ou les supprimer. Pour cela, vous devez les informer de la durée de conservation de ces données et leur en assurer la maîtrise. 

Rédiger une preuve de consentement

Bien évidemment, il est interdit de collecter des informations personnelles à l’insu des personnes. Les agences immobilières doivent donc conserver un document attestant le consentement du client. Vous devez y faire apparaître : 

  • La date et l’heure du consentement
  • L’identité de l’individu
  • Le mode de collecte
  • L’information fournie à l’utilisateur lors de son consentement

Ne collecter que les données nécessaires

Une étape fondamentale est de réfléchir à l’utilisation des données que vous collectez et de ne sélectionner que celles dont vous avez réellement besoin. La RGPD vous demande de ne pas collecter des informations « au cas où », afin de respecter les utilisateurs. 

Cela est rédigé dans le principe de finalité et de minimisation. Il est primordial de réfléchir en amont aux informations dont vous allez avoir besoin pour effectuer la transaction immobilière.

La sécurité des données personnelles 

Les attaques envers les données personnelles sont nombreuses et de plus en plus fréquentes. Elles peuvent avoir des conséquences dramatiques pour les clients et pour votre agence, surtout que vous détenez des informations sensibles : adresse, salaire, coordonnées bancaires… Cela peut notamment conduire à une dégradation de l’image, à des amendes ou même à une cessation d’activité. 

Pour cela voici quelques petits conseils : 

  • Utilisez des logiciels fiables et recommandés
  • Choisissez attentivement vos mots de passe et systèmes d’identification
  • De même choisissiez votre équipe avec prudence
  • Faites des sauvegardes régulières
  • Sécurisez votre wifi et faites particulièrement attention lors de vos déplacements

L’analyse d’impact sur la protection des données

Le dernier document à remplir est l’analyse d’impact des données personnelles. En quelques mots c’est une évaluation par décision automatisée qui aura un effet juridique. Il a pour objectif de valider la conformité de votre système d’utilisation à la RGPD. Il mesure également l’impact sur la vie privée des utilisateurs. 

Il fait partie des trois pièces de documentation sur le traitement des données certifiant la conformité. À ce propos, vous devez constituer un dossier comportant : 

  • Le registre des données
  • L’encadrement des transferts 
  • L’analyse d’impact sur la protection des données

Même si cela peut paraître contraignant pour votre agence, la mise en place de ces règles permet de gagner la confiance des clients en leur laissant le contrôle de leurs données personnelles. Ce sujet est important dans le cadre de votre activité et ainsi il convient d’en informer vos agents immobiliers et aux employés. Vous avez maintenant les clefs en main pour vous conformer au Règlement Général sur le Protection des Données, alors qu’attendez-vous ?


Articles similaires