En avril 2016, le parlement européen a voté l’adoption d’un nouveau règlement dédié à la protection des données personnelles. Celui-ci vient renforcer la loi « Informatique et Libertés » de 1978 en introduisant de nouveaux principes visant à responsabiliser les entreprises en matière de traitement des données personnelles. A compter du 25 mai 2018, l’ensemble des agences immobilières devront elles aussi, se conformer à ce nouveau règlement.
Mais en quoi consiste ce RGPD ? Quelles sont les nouvelles obligations imposées aux professionnels de l’immobilier ?
1) Le RGPD ? Qu’est-ce que c’est ?
Le RGPD (Règlement Général sur la Protection des données) vise à règlementer l’utilisation des données personnelles des entreprises implantées sur le territoire Européen dans le but de protéger les consommateurs et les particuliers.
Ce règlement adapte la législation à l’évolution des nouvelles technologies et encadre toutes les opérations de traitement (la collecte, l’usage, le stockage, le transfert…) des données personnelles.
Toutes les entreprises qui traitent des données permettant d’identifier une personne physique (tels que le prénom, le nom, l’âge, l’adresse e-mail, l’adresse IP, le numéro de téléphone) devront respecter ce réglement.
2) Quels sont les principaux objectifs du RGPD :
Les autorités demandent plus de transparence concernant le stockage et l’usage des données collectées afin de responsabiliser d’avantage les entreprises et protéger les données personnelles des consommateurs ou les particuliers.
- Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles (récupération de ses données personnelles…) et de dispositions propres aux personnes mineures ;
- Responsabiliser les acteurs stockant ou traitant des données (responsables de traitement et sous-traitants) ; on passe d’une logique de déclaration à une logique de responsabilisation, la plupart des formalités préalables du type déclaration auprès du régulateur (La Cnil) auront disparu ;
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données (la CNIL par exemple), qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.
3) Pour quelles raisons les professionnels de l’immobilier sont-ils concernés ?
« Toutes les entreprises traitant des données personnelles sont concernées. »
Dans le cadre de leur activité, les professionnels de l’immobilier collectent, stockent et traitent des données personnelles au quotidien.
A titre d’exemple : la création de fichiers acquéreur / vendeurs / prospects est considérée comme un traitement des données personnelles.
L’ensemble des acteurs du secteur immobilier au même titre que leurs sous-traitants (partenaires : portails immobiliers, logiciels, CRM immobilier…) sont donc directement concernés et doivent commencer à se préparer au respect des nouvelles obligations prévues par le RGPD !
Chaque entreprise devient responsable de l’usage de ces données personnelles et devra prouver qu’elles respectent ce règlement.
4) Comment ? Quelles nouvelles obligations pour les agences immobilières le 25 mai 2018 ?
A compter du 25 mai 2018, les entreprises devront être en capacité de démontrer à tout moment qu’elles respectent le règlement. Il faudra à cette date pouvoir montrer que l’entreprise a bien commencé à cartographier dans un registre, l’ensemble des traitements et processus comprenant des données à caractère personnel.
Comme l’expose J.Lessy, secrétaire général de la CNIL :
« Si le 25 mai 2018 ne doit pas être perçu comme une date couperet, mais comme une étape, il convient de se préparer dès maintenant. Le RGDP est un texte dense qui introduit de nouveaux principes, de nouvelles obligations. Collectivement, nous devons tous – régulateur et entreprises – participer dès à présent à sa bonne appropriation. ».
Les nouvelles obligations prévues par ce réglement:
- Nommer un responsable des données personnelles (Un DPO – le Délégué à la Protection des Données)
- Assurer le consentement explicite des personnes concernées quant à la collecte de leurs données et leur usage et détruire systématiquement les données une fois la finalité terminée.
- Répondre aux nouveaux droits fondamentaux : le droit à l’oubli, Garantir l’accès, la modification, la rectification, la suppression et la portabilité des données.
- Informer les employés et leur faire signer une annexe RGPD au contrat de travail relative au traitement de leurs données personnelles et les responsabiliser en y intégrant les obligations de sécurité à respecter pour le traitement des données stockées ou utilisées par l’entreprise.
- Assurer la sécurité des données, afin de prévenir toute perte, vol ou divulgation des données personnelles ; en cas d’incident, informer sous 72h la CNIL ainsi que les personnes susceptibles de subir une atteinte à leurs données personnelles.
- Maintenir un registre à jour, documentant l’ensemble des mesures et procédures qui ont été mises en œuvre pour se mettre en conformité (localisation des données, objectifs, gestion de ces données…) …
5) Quelles sanctions en cas de non-conformité ?
Le nouveau règlement européen RGPD prévoit un renforcement des contrôles et des sanctions allant jusqu’à 20 millions d’euros et 4% du chiffre d’affaires annuel mondial pour les sociétés (montant le plus élevé appliqué).
Pas de commentaire