Le RGPD, présentation et ambitions

Le Règlement Général sur la Protection des Données (ci-après « RGPD ») est entré en vigueur en 2018. Ce règlement européen vise à protéger les données personnelles des citoyens du vieux continent. Il a vocation à s’appliquer à toutes les organisations qui collectent et traitent des données personnelles. 

Il fournit également un ensemble de règles et de principes sur la façon dont les données des individus doivent être collectées, stockées, utilisées et partagées. L’objectif est de s’assurer que les entreprises traitent les données personnelles avec responsabilité, dans le respect maximal de la vie privée des personnes concernées. 

Un règlement central dans la vie des professionnels de l’immobilier 

Les professionnels de l’immobilier évoluent dans un environnement où la protection des données est primordiale. En effet, dans votre profession vous êtes amenés à collecter, traiter et stocker une grande quantité de données à caractère personnel des personnes qui évoluent dans la sphère de votre activité (les propriétaires, les locataires, les acheteurs et locataires potentiels, mais également le personnel de votre entreprise, etc.). Par données à caractère personnel on entend notamment les noms, numéros de téléphone, adresses, coordonnées bancaires, données d’identification de biens, etc. ; en bref toutes les données concernant une personne de manière directe ou indirecte. 

Toutes les entreprises européennes qui traitent des données personnelles sont concernées par le RGPD. Ainsi, il en va de même pour les professionnels de l’immobilier (que vous soyez une agence immobilière, un syndic de copropriété, un promoteur immobilier, etc.). 

Les objectifs du RGPD sont simples : il s’agit à la fois de renforcer les droits des personnes mais aussi de responsabiliser les acteurs du traitement de données personnelles. Avec le RGPD on passe d’une logique de déclaration préalable à une logique de responsabilisation et d’auto-certification. C’est donc à vous de jouer pour vous mettre en conformité. 

Les obligations découlant du RGPD

Le RGPD énonce plusieurs principes dont le respect est essentiel pour assurer votre mise en conformité :

  • Le principe de finalité 

Les données sont collectées dans un but déterminé, explicite et légitime. Ainsi, elles ne peuvent pas être traitées ultérieurement de façon incompatible avec l’objectif initial. 

  • Le principe de proportionnalité et de pertinence

Les données collectées doivent être pertinentes et strictement nécessaires au regard de la finalité du traitement. Ainsi, seules les données nécessaires à l’opération doivent être collectées et traitées.

  • Le principe d’une durée de conservation limitée 

Les données collectées ne peuvent pas être conservées à l’infini. Ainsi, une durée de conservation précise doit être fixée, en fonction du type de données et de la finalité du traitement. 

  • Le principe de sécurité et confidentialité 

Le responsable du traitement doit garantir la sécurité des données. Il doit notamment veiller à ce que seules les personnes autorisées aient accès à ces données. 

  • Les droits des personnes 

Le RGPD énonce un certain nombre de droits concernant les personnes dont les données à caractère personnel sont traitées. Ces droits comprennent notamment le droit à l’information, le consentement, le droit d’accès, le droit à l’oubli, etc.

Les bonnes pratiques à adopter

Pour se conformer au RGPD et le rester, les bonnes habitudes de la protection des données doivent être mises en place. Pour commencer, il est nécessaire d’analyser la nécessité de nommer un délégué à la protection des données, également connu sous le nom en anglais de Data Protection Officer (ci-après « DPO »), qui n’est pas toujours obligatoire.  

En effet, cette obligation ne concerne pas toutes les entreprises, mais les autorités de protection des données recommandent de recourir à un DPO dès qu’on effectue régulièrement des traitements de données personnelles. A grande échelle, un DPO peut être commun à plusieurs entités (par exemple commun à plusieurs agences) ce qui vous permet de minimiser les coûts mais de maximiser votre conformité. Il va agir comme le chef d’orchestre de la gestion des données dans votre entreprise. Son rôle est d’informer, de contrôler et de former les personnes avec qui vous travaillez afin de les sensibiliser à la protection des données et de vous permettre de rester en conformité. Il peut être interne ou externe à la société.

Bien que le DPO ait un rôle important à jouer dans la mise en conformité, il n’a qu’un rôle de conseiller. Ainsi le chef d’entreprise restera seul responsable en cas de non-respect des obligations RGPD.

Ensuite, un registre des traitements doit être établit. Ce registre correspond au recensement de tous les traitements de données personnelles effectués dans l’entreprise (état des lieux des données collectées et traitées). Il sera séparé en fonction des différentes activités (recrutement, prospection, vente, etc.) et pour chacune de ces activités l’entreprise devra détailler un certain nombre d’informations sur le traitement en question. Ce registre doit être actualisé en permanence et être tenu à disposition de l’autorité de contrôle (au Luxembourg la Commission Nationale pour la Protection des Données (CNPD)) en cas de contrôle.

En outre, des mesures de sécurité et de protection des données pour garantir la confidentialité, l’intégrité et l’accessibilité des données doivent être mises en place. Ces mesures passent par le cryptage des données, la limitation de l’accès aux seules personnes autorisées (les données personnelles ne doivent pas être divulguées à des tiers non autorisés), la mise en place de procédures de sauvegarde et de restauration des données, la mise en place de mesures de protection contre les attaques (virus et autres logiciels malveillants) et enfin par l’anticipation c’est-à-dire prévoir un plan d’action en cas de violation de données. Ainsi, il est important de mettre en place des procédures de notification et de gestion des violations de données. Les maîtres mots ici sont : la prévention, la détection et la réaction.

Enfin, une vérification de la conformité de vos prestataires et la mise en place des contrats spécifiques avec eux doit être réalisée. En effet, vous devez vous assurez que toutes les entreprises avec qui vous êtes amenés à travailler prennent bien en compte les obligations RGPD. Ainsi, il faut notamment faire attention aux logiciels qui peuvent être mis à votre disposition ou des sites internet conçus ou hébergés pour votre entreprise. Le RGPD instaure des obligations de privacy by design, c’est à dire de mettre en conformité tous les nouveaux produits dès leur conception, mais aussi de privacy by default, qui oblige les anciens produits à être conforme aux obligations RGPD. Vous devez donc vérifier que vos prestataires respectent bien ces principes afin d’établir des relations sûres et conformes. 

Le RGPD comme levier d’opportunités 

Les règles du RGPD peuvent paraître strictes et contraignantes, surtout pour des PME, mais elles peuvent être abordées comme une opportunité pour votre entreprise. 

D’abord d’un point de vue marketing, c’est l’occasion d’épurer les données contenues dans les différents logiciels que vous pouvez utiliser (remettre à jour ses bases de données et créer des process plus rapides et dynamiques). Mais également d’un point de vue relationnel, le RGPD vous oblige à être plus transparent, ce qui permet d’interagir plus efficacement avec les personnes concernées et donc d’améliorer l’expérience client. 

De plus, une attention particulière doit être portée sur les sanctions. En effet, personne n’est à l’abri d’un contrôle et plusieurs agences immobilières ont déjà été sanctionnées pour des violations RGPD. Certes l’amende peut être conséquente (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel) mais c’est surtout l’image de votre entreprise qui peut en pâtir. Les violations de données peuvent entrainer une perte de confiance accrue de votre clientèle mais aussi de vos prestataires et collaborateurs, ainsi il ne faut pas prendre ce risque à la légère.

Toutes ces raisons doivent vous encourager sur la voie de la conformité. Pour vous simplifier la vie, n’hésitez pas à vous faire accompagner par des experts juridiques. Pour une mise en conformité totale et rapide. Une fois celle-ci effectuée, à vous de jouer pour apprendre à travailler en respectant les bonnes pratiques et en veillant au respect des différente règles ! 

Par Me Renaud LE SQUEREN, Partner – Avocat à la Cour, DSM Avocats à la Cour.