Depuis le 25 mai 2018, suite à l’entrée en vigueur du Règlement Général sur la Protection des Données, le secteur de l’immobilier doit également protéger toutes les informations à caractère personnel qu’il détient et traite.

Définition du RGPD

Le RGPD, acronyme de Règlement général sur la protection des données, est un ensemble de règles et de réglementations européennes qui vise à renforcer et à harmoniser la protection des données personnelles des individus au sein de l’Union européenne (UE). Il est entré en vigueur le 25 mai 2018.

Le RGPD établit un cadre juridique pour la collecte, le traitement et la conservation des données personnelles par les entreprises et les organisations. Il vise à accroître le contrôle des individus sur leurs propres données et à garantir une utilisation appropriée et sécurisée de celles-ci.

Le RGPD se donne pour mission de :

• Renforcer le droit des citoyens
• Responsabiliser davantage les acteurs traitant des données
• Renforcer le contrôle et l’application des sanctions sur tout le territoire européen

Voici quelques points clés du RGPD :

• Consentement : Les organisations doivent obtenir le consentement explicite et éclairé des individus pour collecter et traiter leurs données personnelles.
• Transparence : Les organisations doivent fournir des informations claires et compréhensibles sur la collecte, l’utilisation et la conservation des données personnelles.
• Droits des individus : Les individus ont le droit d’accéder à leurs données personnelles, de les rectifier, de les supprimer, de s’opposer à leur traitement et de demander leur portabilité.
• Fixer des durées de conservation : Les données ne peuvent être concernées indéfiniment. Elles ne sont conservées en « base active », c’est-à-dire la gestion courante, que le temps strictement nécessaire à la réalisation de l’objectif poursuivi. Elles doivent être par la suite détruites, anonymisées ou archivées dans le respect des obligations légales applicables en matière de conservation des archives publiques.
• Responsabilité et sécurité des données : Les organisations sont tenues de mettre en place des mesures de sécurité appropriées pour protéger les données personnelles contre les accès non autorisés, les pertes ou les fuites.
• Inscrire la mise en conformité dans une démarche continue : La conformité n’est pas gravée dans le marbre et figée. Elle dépend du bon respect au quotidien par les agents, à tous les niveaux, des principes et mesures mis en œuvre. Vérifiez régulièrement que les traitements n’ont pas évolué, que les procédures et les mesures de sécurité mises en place sont bien respectées et adaptez-les si besoin.

Transferts de données en dehors de l’UE : Les transferts de données personnelles vers des pays hors de l’UE sont soumis à des règles spécifiques pour garantir un niveau de protection adéquat.

Le consentement

Le consentement, tel que défini par le RGPD (Règlement général sur la protection des données), est l’une des bases légales permettant de traiter des données personnelles. Il s’agit d’une expression volontaire, spécifique, éclairée et univoque de la volonté de la personne concernée par les données (le titulaire des données) d’accepter le traitement de ses données à caractère personnel par une organisation.

Selon le RGPD, le consentement doit remplir les critères suivants :

• Volontaire : Le consentement doit être donné librement, sans contrainte ni pression exercée sur la personne concernée.
• Spécifique : Le consentement doit être spécifique à chaque finalité du traitement des données. Cela signifie que les personnes doivent être informées de manière claire et précise des différentes utilisations prévues de leurs données.
• Éclairé : Le consentement doit être basé sur une information claire et compréhensible fournie à la personne concernée. Les personnes doivent être informées de manière transparente sur les droits dont elles disposent, les finalités du traitement, les types de données collectées, les destinataires des données, etc.
• Univoque : Le consentement doit être exprimé de manière positive, par une action ou une déclaration claire de la personne concernée, indiquant son accord avec le traitement de ses données.

Le consentement peut être retiré à tout moment par la personne concernée. Les organisations doivent également être en mesure de démontrer qu’elles ont obtenu un consentement valide, en gardant une trace des consentements recueillis.

La transparence

Le RGPD exige une information claire et détaillée, adaptée au contexte spécifique, dès lors qu’il y a collecte des données, de manière directe ou indirecte. Les modalités de communication de cette information doivent être adaptées afin de garantir la transparence.

La transparence permet aux personnes concernées :

• De comprendre pourquoi leurs données sont collectées ;
• De comprendre comment leurs données seront traitées ;
• D’exercer leurs droits et de garder le contrôle sur leurs données.

Pour les responsables de traitement, la transparence favorise un traitement équitable des données et permet d’établir une relation de confiance avec les personnes concernées.

Dans tous les cas, il convient de préciser :

• Identité et coordonnées de l’organisme (responsable du traitement de données) ;
• Finalités (à quoi vont servir les données collectées) ;
• Base légale du traitement de données (c’est-à-dire ce qui donne le droit à un organisme de traiter les données) : il peut s’agir du consentement des personnes concernées, du respect d’une obligation prévue par un texte, de l’exécution d’un contrat, etc.) ;
• Caractère obligatoire ou facultatif du recueil des données (ce qui suppose une réflexion en amont sur l’utilité de collecter ces données au vu de l’objectif poursuivi – principe de « minimisation » des données) et conséquences pour la personne en cas de non-fourniture des données ;
• Destinataires ou catégories de destinataires des données (qui ont besoin d’y accéder ou de les recevoir au vu des finalités définies, y compris les sous-traitants) ;
• Durée de conservation des données (ou critères permettant de la déterminer) ;
• Droits des personnes concernées (les droits d’accès, de rectification, d’effacement et à la limitation sont applicables pour tous les traitements)
• Coordonnées du délégué à la protection des données de l’organisme, s’il a été désigné, ou d’un point de contact sur les questions de protection des données personnelles ;
• Droit d’introduire une réclamation auprès de la CNIL.

Dans les cas spécifiques :

• Les intérêts légitimes poursuivis par le responsable du traitement (exemple : prévention de la fraude) si le traitement est fondé sur la base légale de l’intérêt légitime ;
• Le fait que les données sont requises par la réglementation, par un contrat ou en vue de la conclusion d’un contrat ;
• L’existence d’un transfert des données vers un pays hors Union européenne (ou vers une organisation internationale), les garanties associées à ce transfert et la faculté d’accéder aux documents autorisant ce transfert (exemple : les clauses contractuelles types de la Commission européenne) ;
• L’existence d’une prise de décision automatisée ou d’un profilage, les informations utiles à la compréhension de l’algorithme et de sa logique, ainsi que les conséquences pour la personne concernée ;
• Le droit au retrait du consentement à tout moment, si le base légale du traitement est le consentement des personnes ;
• Les autres droits applicables au traitement, en fonction de sa base légale : droit d’opposition et droit à la portabilité.

Si la collection des informations est indirecte, il faut préciser la catégorie des données recueillies ainsi que la source des données.

Le droit des individus

Grâce au règlement de la CNIL, les personnes peuvent exercer des droits bien spécifiques :

Le droit à l’information

Pour garantir la légalité et la loyauté de la collecte de données personnelles, il est essentiel de fournir aux personnes une information claire et précise. Cette information doit inclure les éléments suivants :

• L’identité du responsable du traitement des données.
• La finalité du traitement des données.
• Le caractère obligatoire ou facultatif des réponses et les conséquences éventuelles en cas de non-réponse.
• Les destinataires des données.
• Les droits des personnes concernées, tels que le droit d’accès, de rectification et d’opposition.
• Les éventuels transferts de données vers des pays situés en dehors de l’Union européenne.

Cette information doit être fournie préalablement à la collecte des données. Le support utilisé pour communiquer cette information peut varier en fonction des caractéristiques du traitement des données, par exemple un panneau d’information pour la vidéosurveillance ou une mention d’information sur un formulaire. En cas de collecte de données par téléphone, il est important de lire cette information à la personne concernée.

Le recueil du consentement

Le consentement est une action active de l’utilisateur, clairement exprimée et de préférence écrite. Il doit être donné librement, de manière spécifique et éclairée. Par exemple, dans un formulaire en ligne, il peut être matérialisé par une case à cocher qui n’est pas préalablement cochée.

Le consentement doit être obtenu avant la collecte des données, d’où l’importance du terme « préalable ». Le consentement préalable de la personne concernée est particulièrement requis dans les situations suivantes :

• Lors de la collecte de données sensibles.
• Lors de la réutilisation des données à d’autres fins.
• Lors de l’utilisation de cookies pour des finalités spécifiques.
• Lors de l’utilisation des données à des fins de prospection commerciale par voie électronique.

Le droit d’opposition

• Les personnes doivent avoir la possibilité de s’opposer à la réutilisation de leurs coordonnées à des fins de sollicitations, notamment commerciales, lorsqu’elles passent une commande ou signent un contrat. Un choix clair et explicite doit être offert aux personnes via une case à cocher sur le formulaire ou le bon de commande, qui n’est pas pré-cochée par défaut. Il n’est pas suffisant de simplement mentionner ce droit dans les conditions générales.
• Toute personne a le droit de s’opposer, pour des motifs légitimes, au traitement de ses données, sauf dans les cas où ce traitement est obligatoire en vertu de la loi, par exemple dans les fichiers fiscaux.

Les droits d’accès et de rectification

Toute personne a le droit de :

• Accéder à l’ensemble des informations la concernant.
• Connaître l’origine des informations la concernant.
• Accéder aux informations sur lesquelles le responsable du fichier s’est basé pour prendre une décision la concernant. Par exemple, les éléments ayant influencé le refus d’une promotion ou le score attribué par une banque qui a conduit au rejet d’une demande de crédit.
• Obtenir une copie de ces informations, moyennant des frais raisonnables.
• Exiger la rectification, le complément, la mise à jour ou la suppression de ses données, selon les cas.

Ce droit à l’accès peut être exercé par écrit ou sur place.

Le responsable du fichier doit répondre à une demande dans un délai maximum d’un mois à partir de la réception de la demande. Si une demande est faite en personne et ne peut être traitée immédiatement, un avis de réception daté et signé doit être remis au demandeur.

Si la demande est incomplète, par exemple en l’absence d’une pièce d’identité, le responsable du fichier est en droit de demander des informations supplémentaires. Dans ce cas, le délai de réponse est suspendu et recommence à courir une fois que les éléments manquants ont été fournis.

Le responsable du fichier a le droit de refuser une demande d’accès. Dans ce cas, il doit justifier sa décision et informer le demandeur des moyens de recours disponibles pour contester cette décision.

Le responsable du fichier n’est pas tenu de répondre aux demandes qui sont manifestement abusives, par exemple en raison de leur nombre excessif, de leur caractère répétitif ou systématique.

Si le responsable du fichier ne détient aucune donnée sur la personne faisant valoir son droit d’accès, par exemple si les données ont été supprimées ou si l’organisme n’a aucune information sur la personne, il doit quand même répondre au demandeur dans le délai d’un mois.

Le droit d’accès doit être exercé dans le respect des droits des tiers. Par exemple, un employé d’une entreprise ne peut obtenir des données relatives à un autre employé.

Les évaluations annuelles de classement ou de potentiel de carrière sont communicables si elles ont été utilisées pour prendre une décision. L’employeur n’est pas tenu de les communiquer si elles sont encore de nature prévisionnelle.

Le droit à la portabilité

Toute personne a le droit de recevoir les données personnelles qu’elle a fournies à un responsable de traitement et de les réutiliser. Elle peut également demander à ce que ces données soient transmises directement à un autre responsable de traitement, lorsque cela est techniquement possible.

Le droit à la portabilité des données permet à une personne de :

• Recevoir ses données personnelles dans un format structuré, couramment utilisé et lisible par machine (par exemple, un fichier informatique).
• Demander que ces données soient transmises directement à un autre responsable de traitement, lorsque cela est faisable techniquement.

Cela donne à la personne un meilleur contrôle sur ses données personnelles et lui permet de les utiliser de manière plus flexible et interopérable entre différents services et systèmes.

Fixer des durées de conservation et droit à l’oubli

La CNIL a créé des outils pour aider les professionnels à déterminer les durées de conservation des données. Un guide pratique explique le principe de limitation de conservation et propose des conseils pour sa mise en pratique. Il présente également un outil de référentiel des durées de conservation.

Ces référentiels, sous forme de tableaux, fournissent des durées obligatoires imposées par la loi ou recommandées par la CNIL. Ils servent de point de repère pour les responsables de traitement, qui peuvent les adapter en fonction de leur contexte spécifique. Ces outils sont destinés à tous les professionnels, quels que soient leur secteur et la taille de leur structure.

Les données personnelles répondent à un cycle de vie particulier en trois étapes :

La conservation en base active

La durée de conservation des données correspond à la période nécessaire pour atteindre l’objectif pour lequel elles ont été collectées ou enregistrées. Par exemple, dans le cas d’une entreprise, les données d’un candidat non retenu seront conservées pendant un maximum de 2 ans par le service des ressources humaines, sauf si le candidat demande leur suppression.

Pendant cette période, les données seront facilement accessibles aux services opérationnels concernés, dans leur environnement de travail habituel, afin de remplir leurs missions liées au traitement des données.

L’archivage intermédiaire

Lorsque les données personnelles ne sont plus nécessaires pour atteindre l’objectif initial (par exemple, lorsque les dossiers sont clos), mais qu’elles conservent un intérêt administratif pour l’organisme (comme la gestion d’un éventuel contentieux) ou qu’elles doivent être conservées pour se conformer à une obligation légale, il est possible de consulter ces données de manière ponctuelle et motivée par des personnes spécifiquement autorisées.

L’archivage définitif

Certaines informations sont archivées de manière permanente en raison de leur valeur et de leur intérêt. Contrairement à la conservation dans la base de données active, les deux dernières étapes ne sont pas toujours mises en œuvre. Leur pertinence doit être évaluée pour chaque traitement, et lors de chaque phase, un tri sera effectué entre les données.

La responsabilité et la sécurité des données

Avant de mettre en place un traitement de données personnelles, le responsable du fichier doit analyser les risques potentiels pour la vie privée des personnes concernées. Il doit prendre une approche globale et évaluer les conséquences que le traitement pourrait avoir sur ces personnes. Une fois les risques identifiés, il doit mettre en œuvre les mesures appropriées pour les réduire et assurer la protection des données.

La démarche en quatre étapes consiste à :

• Étudier le contexte : délimiter et décrire les traitements de données, leur contexte et leurs enjeux.
• Étudier les mesures : identifier les mesures existantes ou prévues pour respecter les exigences légales et traiter les risques liés à la vie privée.
• Étudier les risques : évaluer les risques liés à la sécurité des données qui pourraient avoir un impact sur la vie privée des personnes concernées, et s’assurer qu’ils sont traités de manière proportionnée.
• Validation : prendre la décision de valider la manière dont les exigences légales sont respectées et les risques traités, ou d’itérer les étapes précédentes.

L’utilisation du catalogue de bonnes pratiques permet de déterminer des mesures proportionnées aux risques identifiés. Cela inclut la protection sur :

• Les éléments à protéger (minimisation des données, chiffrement, anonymisation, exercice des droits),
• Les impacts potentiels (sauvegarde des données, traçabilité, gestion des violations de données)
• Les sources de risques (contrôle des accès, gestion des tiers, lutte contre les codes malveillants)
• Les supports (la réduction des vulnérabilités des supports, matériels, logiciels, réseaux, documents papier).

En utilisant les guides, l’utilisateur peut sélectionner une ou plusieurs mesures appropriées pour traiter les risques identifiés et les réduire à un niveau acceptable.

Inscrire la mise en conformité dans une démarche continue

La conformité n’est pas une condition immuable et fixe. Elle repose sur le respect quotidien des principes et des mesures mises en place par tous les acteurs, à tous les niveaux de l’organisation.

Il est important de procéder régulièrement à des vérifications pour s’assurer que les traitements de données n’ont pas évolué, que les procédures et les mesures de sécurité mises en place sont effectivement respectées. Si nécessaire, il convient d’apporter des adaptations pour garantir une conformité continue et efficace.

Les personnes concernées par le RGPD

Le RGPD s’applique à toutes les entités, qu’elles soient privées ou publiques, quels que soient leur taille et leur secteur d’activité, qui collectent et/ou traitent des données personnelles. Cela concerne non seulement les organismes établis sur le territoire de l’Union européenne, mais aussi ceux situés en dehors de l’UE qui ciblent directement les résidents européens.

Il est important de noter que le RGPD englobe également les sous-traitants qui traitent ou collectent des données personnelles pour le compte d’autres entités.

Ainsi, si vous collectez et/ou traitez des données personnelles, vous avez des obligations envers les personnes concernées conformément au RGPD.

Pour en revenir au secteur de l’immobilier, le RGPD concerne bien TOUTES les professions de l’immobilier : agents, chasseurs, mandataires, etc., ainsi que leurs sous-traitants.