Une Mise en conformité obligatoire pour les acteurs de l’immobilier

Le Règlement Général pour la Protection des données, entrée en vigueur le 25 mai 2018, concerne la récupération et l’utilisation de toutes données personnelles de clients, internautes ou prospects des entreprises.

A titre d’exemple, les données personnelles sont : le nom, le numéro de téléphone, l’e-mail, l’âge, la profession, et les centres d’intérêts.
Il s’agit de toutes les données récoltées auprès des acquéreurs, propriétaires et locataires.
En tant que collecteurs de données, les acteurs de l’immobilier doivent désormais adopter une démarche de conformité.
Ainsi, toute entreprise établie en France doit apporter la preuve de sa mise en conformité par différents moyens listés dans le règlement : tenue d’un registre des traitements, cartographie des traitements, mesures de protection des données et éventuellement nomination d’un DPO.

Dans le RGPD, le responsable est désigné comme la personne morale ou le service qui détermine les finalités et les moyens du traitement.
A cet effet, le RGPD impose la mise en place d’un registre des activités de traitement et oblige dans certains cas les responsables de traitement de désigner un délégué à la protection des personnes.
L’obligation de tenir un registre des traitements implique :

• De faire l’inventaire des traitements (internes mais aussi externalisés)
• Vérifier le respect des droits des personnes (Mentions légales et procédures d’accès et suppression)
• Revoir les contrats de sous-traitance (responsabilité du prestataire)

L’Article 30 du RGPD impose que le registre de traitement soit matérialisé par écrit.
Le responsable de traitement doit également indiquer dans le registre les mesures prises pour assurer la sécurité des données personnelles collectées et traitées.
Les points de vigilance en matière de sécurité des données sont les suivants :

• Gestion des accès
• Protection du réseau
• Violations de données personnelles (procédure de gestion, détection, alerte CNIL et information des personnes)

Enfin, l’article 37 du RGPD prévoit également pour les entreprises l’obligation de nommer un délégué à la protection des données (DPO).

Il conviendra au cas par cas d’apprécier ou non l’obligation de désigner un DPO et d’en justifier par écrit.

S’agissant des données personnelles de vos salariés, votre société clairement identifiée comme responsable de traitement en France.
A ce titre, les obligations ci-dessus rappelées incombent personnellement à votre société.

TRANSPARENCE DES TRAITEMENTS DE DONNEES

Il conviendra de cartographier l’ensemble des traitements relatifs aux données personnelles collectées auprès de vos contacts. (Établissement d’un registre et information sur les traitements mis en place consultable à tout moment par la CNIL)

• Finalités du traitement auquel sont destinées les donnéers
• La base juridique du traitement
• Les informations sur les destinataires des données à carcatère personnel
• La durée de conservatiuon des données et leurs archivage

CONSENTEMENT EXPLICITE DES CONTACTS

Les contacts doivent donner clairement et de manière véritable leur consentement quelque soit le support : téléphone, emails, formulaire de contact, contrat.
Les collecteurs doivent fournir la preuve du consentement
Le RGPD oblige notamment à revoir les mentions qui figurent sur le site internet, les formulaires de contact, les alertes e-mails et les contrats de mandat

DE NOUVEAU DROITS POUR LES PERSONNES

La portabilité des données :
Droit à l’accès, à la modification et à la suppression des données
Il faut être capable de fournir à chaque personne l’ensemble des informations récoltées sur elle , dans un format lisible et exploitable dans un format lisible et exploitable.
Le délai maximum pour accéder à une demande de suppression des données est de 30 jours.

OBLIGATION DE SECURITE DES DONNEES

Le RGPD impose aussi de garantir la sécurité et la confidentialité des données des salariés et s’assurer de la conformité des traitements des sous-traitants (comme les prestataires de site et de logiciel immobilier par exemple).
Lorsqu’une violation de donnée est constatée, il faut la notifier à la CNIL ainsi qu’aux individus concernés.

RISQUE IMPORTANT

Le défaut de conformité constitue un risque de sanctions potentiellement lourdes.
Aux termes des articles 58 du RGPD et 45 de la loi informatique et libertés, l’autorité de contrôle (la CNIL en France) peut réaliser des contrôles a posteriori qui reposent sur la réalisation de vérifications sur place auprès des responsables de traitement et le prononcé de sanctions administratives.
Avec le RGPD, la sanction financière peut s’élever jusqu’à 10 millions d’euros ou 2% du chiffre d’affaire mondial, le montant le plus élevé étant retenu pour les entreprises.

LES ACTIONS DE CONFORMITE :

Au vu de ces éléments sur la RGPD, il conviendra de voir ensemble quelles sont les actions menées au sein de votre société.

• Former ses collaborateurs au RGPD
• Designer un Délégué à la Protection des Données
• Cartographier les données traitées dans l’entreprise
• Créer un Registre des traitements
• Vérifier la conformité de ses prestataires