Entré en vigueur le 25 mai 2018, le RGPD ne manque pas de faire parler de lui auprès des professionnels. Par extension, c’est le Règlement Général pour la Protection des Données (RGPD). Il définit, en son sens, un renfort considérable de la protection des données personnelles d’un individu au sein de l’UE.
RGPD, oui mais qu’est-ce que c’est ?
Il abrite la récupération et l’utilisation des données personnelles de contacts clients ou prospects d’une entreprise. (Nom, numéro de téléphone, email, âge, profession, centres d’intérêts…) Bref, toutes infos personnelles que les clients peuvent transmettre à un professionnel.
Par conséquent, derrière ce sigle sont régis de nombreuses règles, textes de références auxquels les entreprises se doivent d’être en conformité. Avant tout, essayons d’y voir plus clair.
Et pour mon agence immobilière ?
Tout comme de nombreuses activités professionnelles, les agences immobilières n’échappent sans nul doute au RGPD. À l’instar d’une entreprise qui récolte et stocke des informations sur de nouveaux acquéreurs, propriétaires, locataires…, le RGPD cible tous les acteurs de l’immobilier. En passant tant par les agences que par les réseaux, tous ces secteurs d’activité sont tenus d’œuvrer pour la protection des traitements de données personnelles clients.
Il subsiste deux règles notables qui scindent les agences en deux catégories distinctes. Tout d’abord, l’envergure d’une agence est prépondérante sur ses obligations. En effet, une agence de grande ampleur se devra de nommer un délégué à la protection des données (DPO ou Data Protection Officer). Par opposition, une agence de petite taille dite locale pourra faire abstraction de cette exigence.
La dimension transversale de la RGPD n’offre aucune discordance entre les entreprises et les agences immobilières. En effet, il s’adresse à tous professionnels qui recueillent des données personnelles sur leurs clients.
Quelques points essentiels sur le RGPD
- Une connaissance de la nature des données personnelles traitées (noms, adresses, numéros de téléphone, email …).
Une prise de conscience sur les lieux de stockage des données personnelles ainsi recueillies.
En conséquence, toute agence a la responsabilité de vérifier la conformité des prestataires à qui elle transfère ses données confidentielles. - Une tenue rigoureuse d’un registre des activités de traitement.
Vous vous devez d’être en mesure de rédiger un registre des traitements, un document que vous communiquerez à la CNIL en cas de contrôle. Il est impératif que celui-ci soit précis et conforme aux exigences et c’est en se sens que la cartographie est importante.
Cette procédure nécessite de soulever quelques questions qui nous animent en tant que professionnel : quelles données je récupère, où sont-elles situées, pour quelle finalité je les récupère, comment et où je les stocke, comment je sécurise l’accès à ces données, sous quelle modalité les efface-t-on … - Forte de son importance, la sécurisation des données personnelles peut être mise en place par vos propres moyens ou établie par un prestataire en conformité RGPD.
Outre cette clause, en cas de fuite de données occasionnée par un vol de téléphone, ordinateur, ou encore suite à un piratage de vos serveurs de stockage, vous êtes tenus d’informer la CNIL dans les 72 heures.
Le RGPD, comment cela fonctionne ?
Au delà de ces premières caractéristiques, quatre piliers phare sont à respecter et à surveiller dans le temps pour assurer l’efficacité du système mis en place.
1 – Le recensement des fichiers
Les agences devront tenir un registre dans lequel seront listés tous les traitements de données récoltées. Dépendant d’une bonne maîtrise des impératifs, un modèle de registre est mis à votre disposition par la CNIL.
Vous devez identifier et renseigner les principales activités de votre agence concernées par la collecte et le traitement de données. (Gestion des clients prospects, recrutement, formation, gestion de la paye). Il est conseillé de créer une fiche par activité avec :
- objectif à atteindre
- catégories de données utilisées
- accès aux données
- urée de conservation des données
Le dirigeant de l’entreprise bénéficie de la responsabilité de ce registre qui devra être exhaustif et mis à jour en temps et en heure conformément à l’exigence du RGPD.
Sauf les événements ponctuels, organisés et pour lesquels une collecte de données a été établie, peuvent être exclus de ce registre.
2 – Le tri des données
Dans une dynamique pratique et logistique, les données feront l’objet d’un tri à la source et d’une sélection faite selon :
- l’utilité des données pour votre activité,
- la portée du traitement réalisée sur la vie privée des concernés, avec un accent particulier à l’égard des données « sensibles »,
- l’accès aux données,
- la durée de conservation en fonction de leur utilisation.
3 – Le respect des droits des personnes
Il est primordial, afin de tracer la bonne trajectoire de votre agence, de respecter les droits légitimes de vos clients. Ainsi vous jouez un rôle central et obligatoire afin d’informer vos consommateurs de l’existence du droit à la portabilité de leurs données, du droit à la modification et du droit à leur suppression.
Dans une finalité web ou papier, tout formulaire ou questionnaire visant à collecter des données personnelles doit ainsi comporter des mentions d’informations telles que :
- Finalité de la collecte de données,
- Fondement juridique de la collecte réalisée,
- Transmission des données collectées vers les services dédiés,
- Durée de conservation des données par l’entreprise,
- Possibilités d’accès aux données par les concernés,
- Possibilité de transfert des données hors de l’Union Européenne,
C’est une étape importante qui permet à l’entreprise d’agir en toute transparence. Aussi, la CNIL met à disposition des exemples de mentions que vous pouvez adapter sur mesure à vos besoins.
Il est inéluctable de disposer d’un système capable de fournir à chaque contact toutes les informations récoltées sur lui, dans un format lisible et exploitable.
En cas de demande de suppression par le propriétaire des données, le délai maximum en est de 30 jours.
L’accès à ces données ainsi que leur demande de modification ou suppression seront menés à bien soit grâce à un espace dédié pour les contacts soit par un formulaire spécifique dédié.
4 – La sécurisation des données
Abordé plus haut dans l’article, le respect des données d’un individu est indétrônable. Dès qu’une violation de données à caractère personnel est constatée, il faut la notifier à la CNIL. Mais aussi aux propriétaires des données concernés s’il y a un risque élevé pour les droits et libertés de celui-ci, dans un délai de 72 HEURES MAXIMUM. Le RGPD en entrant en vigueur, a instauré une nouvelle échelle de sanctions applicables à toutes les entreprises qui ne s’y conformeront pas. Pour cette raison, l’amende pourra concerner 4% du chiffre d’affaires avec un plafonnement à 20 millions d’euros.
Par ailleurs, la CNIL met à disposition un document centré sur les spécificités de la gestion locative reprenant toutes les informations.
À NOTER !
Finalement, les enjeux associés au RGPD sont d’offrir à vos clients l’opportunité d’avoir la main sur leurs données personnelles. Mais aussi d’agir en toute transparence avec vos clients et de les rassurer sur l’utilisation de leurs données.
En définitive, pour tout renseignement complémentaire sur le RGPD vous pouvez consulter le site internet de la CNIL, très complet sur les mises en conformité.
En conclusion, cet article n’est qu’un résumé de quelques règles à respecter concernant le RGPD. Le site de la CNIL soulève bien d’autres points à ne pas négliger. IMMOSIGN vous conseille vivement de vous rapprocher d’experts de la CNIL pour toutes interrogations sur le RGPD.