RGPD. Ces quatre lettres n’ont l’air de rien, comme ça, vues de loin. Mais prononcez-les devant un chef d’entreprise, et vous verrez ses cheveux devenir tout blancs !
Comme si les changements de réglementation qui ont touché le secteur de l’immobilier en 2017 ne suffisaient pas (piqûre de rappel ici), d’autres secousses arrivent cette année… Et plus vite que vous ne le pensez ! Parce que le 25 mai prochain, il faudra que votre entreprise soit en conformité avec les dispositions du règlement général pour la protection des données – le fameux RGPD qui effraie tant les patrons.
Oui : l’Union européenne s’est décidée à agir en faveur de la protection des données. Et bien que les décisions venues de Bruxelles aient généralement peu d’impacts concrets, le RGPD, à l’inverse, va changer pas mal de choses à votre quotidien.
Vous êtes agent immobilier, gestionnaire d’agence, agent indépendant, agent mandataire, gestionnaire de réseau, succursaliste ou promoteur ? Vous avez vaguement entendu parler du RGPD sans être entré dans le détail, en sachant qu’il entre en application prochainement ? Vous avez besoin d’un guide pour comprendre de quoi il en retourne – et vous préparer convenablement ?
Nous avons listé les 11 questions les plus souvent posées au sujet du RGPD immobilier. Et nous y avons apporté les réponses dont vous avez besoin !
1. RGPD : de quoi s’agit-il ?
Le RGPD, c’est le Règlement général pour la protection des données. Il s’agit d’un texte européen, adopté le 14 avril 2016 par le Parlement, qui ambitionne de définir un cadre juridique flambant neuf pour réglementer la collecte, le traitement et l’utilisation des données à caractère personnel.
Bon, d’accord. Dit comme ça, ce n’est pas forcément plus clair.
Alors, tâchons de simplifier les choses au maximum.
Dès que vous enregistrez une information concernant un prospect ou un client, il s’agit d’une donnée personnelle. Cette donnée est « personnelle » parce qu’elle permet d’identifier la personne qui vous l’a fournie. Et hop ! Vous tombez sous le coup de la future réglementation ! Il faudra donc assurer la sécurité de cette donnée après avoir obtenu le consentement de la personne concernée.
Et cette réglementation sera applicable au 25 mai 2018. Ce jour-là, vous devrez absolument être en conformité avec la nouvelle loi.
C’est aussi simple que ça ?
Pas vraiment, parce que le RGPD immobilier (la réglementation appliquée au domaine qui vous intéresse !) implique de prendre en compte plusieurs obligations. Celles-ci seront détaillées plus bas, avec les façons de les mettre en œuvre.
Mais, pour ce qui est du socle, de l’esprit de cette réglementation, pas besoin de chercher plus loin : il s’agit de protéger les données personnelles et les droits des citoyens concernant celles-ci. De réinjecter de la confiance entre ceux qui fournissent des informations et ceux qui les traitent et les utilisent. Et d’accroître le contrôle individuel sur les données personnelles : aujourd’hui, seules 15 % des individus reconnaissent avoir un contrôle total sur les données qu’ils fournissent en ligne ! L’info se trouve dans cette infographie mise en ligne sur le site de l’UE.
Vous voulez en savoir plus ?
Vous pouvez jeter un œil au texte complet du RGPD. Et découvrir sur cette infographie les nouveaux droits offerts aux individus en matière de données :
2. RGPD : de quelles données parle-t-on ?
Le RGPD concerne toutes les données personnelles, mais également les systèmes (au sens large) qui permettent leur traitement.
On considère comme « donnée personnelle » toute information qui conduit à pouvoir identifier un individu : nom, âge, adresse, numéro de téléphone, email, profession, centres d’intérêt, identifiant et mot de passe pour un compte Internet, localisation, infos sur la santé, revenus, profil culturel, etc.
Le RGPD porte donc sur la quasi-totalité des données que vous êtes susceptibles de collecter au sujet de vos prospects et clients.
Pour autant, il faut opérer une distinction importante dans le cadre du RGPD immobilier. Car la réglementation distingue ce qui relève des données personnelles et ce qui touche aux données dites « sensibles ». Cette data sensible contraint les entreprises et les organismes à mettre en place encore plus de garde-fous, compte tenu des risques qu’elle représente.
Mais que sont ces données sensibles ?
Il s’agit des données relatives à la santé, à la vie sexuelle, à l’origine ethnique, aux convictions religieuses, aux opinions politiques ou philosophiques et à l’appartenance syndicale. Sans oublier les données génétiques et biométriques. Ainsi que toute mention à des infractions ou à des condamnations pénales.
Ça, c’est pour les données elles-mêmes.
Le RGPD immobilier vous oblige également à prendre en compte les systèmes de traitement de ces données. Peu importe qu’ils soient manuels ou automatisés (comprendre : que vous collectiez et traitiez les données vous-mêmes, à la main, par exemple en remplissant un fichier Excel, ou que vous utilisiez une solution logicielle de type marketing automation). Dès lors qu’ils s’attachent à des fichiers structurés, ces systèmes tombent sous le coup de la réglementation.
3. RGPD : qui est concerné ?
Mais alors, qui est concerné exactement ?
Par le RGPD en général, d’abord, toutes les entreprises, administrations et associations qui collectent, traitent et utilisent des données à caractère personnel. Le texte les désigne en tant que « responsables de traitement ».
Ensuite, tous les responsables de traitement établi sur le territoire européen, ou dont les systèmes de traitement sont installés sur ce territoire, et dont les données collectées sont issues de citoyens qui vivent eux-mêmes dans l’un des pays de l’Union européenne. Y compris si ces données sont destinées à être transférées dans des pays tiers.
Par le RGPD immobilier, toutes les structures immobilières qui collectent, traitent et utilisent des données dans le cadre de leurs activités (agences indépendantes, succursales, agences franchisées, réseaux de mandataires, agents indépendants, promoteurs).
4. RGPD immobilier : pourquoi les entreprises immobilières sont-elles concernées ?
Mais pourquoi diable les structures immobilières sont-elles concernées également par le RGPD ?
La réponse découle de l’ADN même de la réglementation :
Dès lors que vous manipulez des données, vous êtes sous le coup du RGPD immobilier. De la même façon que vous êtes concerné par les modifications du code de la route à partir du moment où vous possédez une voiture, même si vous ne l’utilisez que pour des déplacements limités !
Et c’est votre cas, puisque ces informations constituent la base de votre relation client : vous collectez, traitez et utilisez des données à caractère personnel dans le cadre de vos activités quotidiennes. Ne vous y trompez pas : le seul fait de mettre en place un fichier de prospects (vendeurs, acheteurs, bailleurs, locataires), c’est déjà faire du traitement de données personnelles !
Ces fichiers peuvent concerner aussi bien la gestion de votre agence (données administratives, juridiques, économiques et financières ; données sur vos collaborateurs, partenaires et sous-traitants), vos prospects et clients, ou la gestion de vos biens en catalogue.
Ce faisant, votre agence ou votre réseau est considéré(e) comme responsable du traitement des données.
Pour autant, une précision importante : les agences immobilières ne manipulent pas de données sensibles, ou du moins ne sont pas censées le faire. En toute logique, vous récoltez uniquement des données personnelles considérées comme peu sensibles, à savoir :
- Le nom du prospect/client
- Son âge
- Son adresse
- Son numéro de téléphone
- Son adresse email
- Son identifiant et son mot de passe (éventuellement, si vous mettez à disposition de vos clients un espace personnel au sein de votre site web)
Ces données, récoltées à partir de vos prospects vendeurs, acquéreurs, bailleurs et locataires, ne sont pas considérées comme sensibles. Leur traitement limite donc vos responsabilités au regard du règlement (notamment la gestion des risques et la nomination d’un DPO, voir plus loin). Ce qui ne vous empêche pas d’être pleinement impliqué dans le RGPD immobilier !
5. RGPD : quelles obligations de consentement ?
C’est le gros morceau de ce RGPD qui effraie tant les foules : la notion de consentement.
Qu’est-ce à dire ?
Le consentement, c’est l’action de dire « oui » à une demande. « Tu me prêtes 1 000 euros ? », « Oui ! ».
Ou bien, dans le cas qui nous intéresse, celui du RGPD immobilier : « Tu me permets d’utiliser tes données personnelles pour les intégrer à mon fichier prospect, afin que je puisse t’envoyer des emails promotionnels à l’avenir ? ». Si c’est un « oui », il faut que ce « oui » soit clair et ne souffre aucune discussion.
En somme, la nouvelle réglementation vous impose d’obtenir le consentement de vos contacts au moment où ils vous fournissent des informations les concernant. C’est ce qu’on appelle, en langage marketing, le « opt-in ». C’est-à-dire que le contact ne doit pas seulement dire « oui » à la collecte, mais aussi vous accorder le droit d’utiliser les données fournies après avoir pris connaissance de la finalité de votre traitement.
Mieux encore : ce consentement ne doit pas seulement être explicite. Le RGPD implique que cet accord doit être aisément vérifiable par un organisme externe (par la CNIL, en l’occurrence).
Et cela, peu importe le support : par téléphone, directement en agence, via email, etc.
6. RGPD : quelles obligations d’information ?
Obtenir le consentement de vos prospects est une chose. Leur fournir les bonnes informations en est une autre.
Au moment de la collecte, le RGPD immobilier vous oblige à renseigner votre contact sur 6 points :
- Qui ? La structure qui demande le consentement, donc : vous !
- Quoi ? La finalité de la collecte, donc pourquoi vous faites cela : pour communiquer avec vos prospects et clients, pour envoyer des offres marketing, etc.
- Comment ? La base juridique du traitement des données (par exemple, suite à la signature d’un mandat de vente ou de recherche)
- Où ? Le registre où ces données seront conservées
- À qui ? Les éventuels destinataires de ces données (si vous comptez les transférer vers un partenaire, un client, une succursale, un sous-traitant, un pays tiers, etc.)
- Combien ? Pour combien de temps ces données seront conservées
Attendez, ce n’est pas tout !
L’obligation d’information imposée par le RGPD immobilier concerne également l’autorité nationale de protection des données – la CNIL, en France. Ces données doivent être intégrées à un registre que la CNIL pourra consulter à tout moment, dans un format simple, lisible et facilement accessible. Dans votre cas, puisque les données ne sont pas volumineuses, un simple fichier Excel suffira.
Attention :
S’il n’est pas nécessaire d’y faire figurer les données en elles-mêmes, mais uniquement le type de données récoltées (ou « métadonnée »), il faut néanmoins pouvoir produire ces données concrètes à la demande.
7. RGPD : le droit à l’oubli, qu’est-ce que c’est ?
Autre gros morceau du RGPD : le droit des individus à disposer de leurs données, au besoin en les faisant supprimer.
On parle alors de « droit à l’oubli », une expression que vous avez sans doute déjà entendue.
Ce faisant, le RGPD immobilier confère le droit à vos prospects et clients de demander la suppression des données personnelles qui les concernent (ou leur simple modification), notamment s’ils estiment que la possession de ces données porte atteinte à leurs droits ou leurs libertés. Il faut également pouvoir offrir une porte de sortie à vos contacts, leur donner la possibilité de se désinscrire d’une newsletter, par exemple.
Enfin, le RGPD immobilier vous impose également de respecter le droit à la portabilité des données. Par ce biais, chaque individu peut demander à avoir accès à ses données personnelles et/ou à les récupérer pour les transférer vers un autre organisme. Un prospect vendeur, par exemple, peut très bien exiger que vous lui rendiez ses données personnelles dans un format lisible, pour qu’il puisse les fournir à une autre agence immobilière.
Cela suppose d’avoir mis en place un système susceptible de fournir les données appartenant à un individu, dans un format exploitable, dans un délai de 30 jours après la demande.
Néanmoins, il est intéressant de savoir que le RGPD immobilier vous laisse une marge de manœuvre sur ce point.
Pourquoi ?
Parce que même si un prospect ou un client vous demande d’effacer ses données personnelles, vous aurez le droit de conserver les informations non sensibles : celles qui sont indispensables à la gestion de votre relation client. Du moins, jusqu’à l’échéance de cette relation, par exemple jusqu’à l’expiration du mandat de vente ou de recherche !
8. RGPD : quelles obligations de sécurité ?
Enfin, le RGPD comprend un volet dédié à la sécurité des données. Deux points se partagent l’affiche :
- D’une part, la nécessité d’informer l’autorité de protection (la CNIL) en cas de violation des données personnelles de vos contacts. Et de prévenir les personnes concernées si le problème rencontré risque d’impacter les droits ou les libertés de ces personnes.
- D’autre part, l’obligation de s’assurer de la conformité de ses systèmes de collecte et de traitement des données. On parle, pour les entreprises qui produisent ces systèmes, de « privacy by design » : la mise en place de mesures de protection dès l’origine du logiciel.
9. Nomination d’un DPO : quelles entreprises sont concernées ?
Le RGPD impose également la nomination d’un « chef » des données personnelles : un Data Protection Officer ou Délégué à la protection des données (DPO). Ce « gardien du temple de la data » joue le rôle de tampon, au sein des entreprises, entre les obligations à appliquer et les moyens mis en œuvre pour y parvenir. En somme, il se charge de veiller à ce que tout se déroule au mieux dans le meilleur des mondes de la protection des données.
Le RGPD immobilier vous contraint-il à nommer un DPO ?
En réalité, cette mesure ne vous concerne que dans de rares cas. Cette obligation n’est valable que pour les organismes et autorités publics, les entreprises qui traitent des données sensibles (voir plus haut) et celles qui, dans le cadre de leurs activités, sont forcées de suivre un grand nombre d’individus de façon systématique et régulière (ce qui vaut surtout pour les compagnies d’assurances, les banques, les opérateurs de téléphonie et d’Internet, etc.). Dans ce dernier cas, le traitement doit se faire à grande échelle.
A priori, donc, rien à voir avec votre structure. Les agences immobilières, les succursales et les réseaux de mandataires ne devraient pas se sentir visés par cette portion du RGPD immobilier. Pas de DPO pour vous.
Sauf si vous traitez des données à grande échelle ou que vous suivez vos contacts de manière régulière et systématique, pas seulement dans le cadre d’un mandat !
En tout état de cause, la CNIL recommande fortement aux entreprises, même de petite taille, la nomination d’un Délégué à la protection des données – ou du moins, l’externalisation de cette fonction. Disons que ce serait une soupape de sécurité supplémentaire. D’autant que cette exception pourrait rapidement devenir une règle dans les années à venir !
10. RGPD immobilier : quelles sanctions en cas de non-conformité ?
Si vous refusez de vous mettre en conformité avec le RGPD immobilier, ou si vous avez manqué de temps pour le faire, qu’est-ce qu’il vous en coûtera ?
La procédure prévue se décline en quatre étapes :
- Avertissement
- Réprimande
- Suspension des systèmes de traitement
- Amende : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires !
Vous comprenez qu’il vaut mieux ne pas jouer avec le feu…
11. RPGD immobilier : comment se mettre en conformité ?
Le RGPD est clair : toutes les entreprises doivent mettre en œuvre les « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». En somme, à vous de jouer !
La CNIL vous conseille de procéder comme suit :
- Cartographier : mener une étude pour recenser les données traitées, les outils de traitement et les supports utilisés (ordinateurs, disques durs externes, serveurs, logiciels, outils de communication, supports papier, etc.) ;
- Élaborer un registre des traitements à partir de ces informations ;
- Identifier et prioriser les actions à mener pour se mettre en conformité ;
- Vérifier que vos prestataires sont eux-mêmes en conformité avec le RGPD immobilier (si votre gestion de données est externalisée, et même si vous utilisez des logiciels de traitement fournis par des prestataires extérieurs : par exemple, votre agence digitale Facilogi vous garantit le respect des dispositions du RGPD immobilier pour ses solutions) ;
- Le cas échéant, gérer les risques (en cas de manipulation de données sensibles et en cas de violation de ces données, par exemple en mettant en place un mailing automatique qui informe l’utilisateur pour qu’il puisse modifier son mot de passe si celui-ci a été piraté) ;
- Organiser les processus en interne (mettre en place les actions nécessaires, notamment en ce qui concerne le consentement de vos contacts) ;
- Documenter sa conformité pour en faire la preuve auprès de l’autorité de protection des données (principe d’ « accountability »), et tenir un registre de traitement.
Plus d’infos sur la procédure sur le site de la CNIL.
En somme, il vous appartient de vous mettre en conformité avec le RGPD immobilier avant le 25 mai 2018. Et, pour cela, de vous montrer proactifs dans la mise en place des mesures adéquates.
Mais comment faire, concrètement ?
Même si vos systèmes de traitement sont au point et que vous respectez toutes les obligations de la réglementation, comment vous assurer que la collecte des données au quotidien soit conforme ?
En bref : comment garantir l’obtention du consentement des utilisateurs dans le cadre de vos différents canaux de collecte, à partir de votre site web, par téléphone, au sein de votre agence, en signant un mandat de vente ou de recherche, et lors de la prospection ?
Cliquez sur les liens pour accéder à des articles explicatifs dédiés à chaque canal de collecte !
pas de commentaires