Comment le Règlement Général sur la Protection des Données impacte-t-il les agents immobiliers ?

Depuis mai 2018, l’ensemble des entreprises françaises, tous secteurs d’activité confondus, doit respecter les mesures du Règlement Général sur la Protection des Données (RGPD) en matière de données personnelles. Les agents immobiliers sont donc directement concernés par cette réforme. Mais que faire pour s’y adapter ?

C’était au mois de juin 2019. Un groupe important d’administration de biens écopait d’une amende de 400 000 €. La raison ? Selon la CNIL (Commission nationale de l’informatique et des libertés), il aurait « insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées ». Un manquement grave aux dispositions du RGPD.

RGPD : de quoi s’agit-il ?

Comme toutes les entreprises, l’ensemble des acteurs de l’immobilier a, depuis un an, l’obligation de se conformer à ce texte afin de protéger les données personnelles des personnes physiques (informations relatives au nom, prénom, numéro de téléphone, mail, adresse IP du particulier…) collectées dans le cadre de leur activité. Le texte acte le principe d’une limite de conservation des données dans le temps : « Les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans doivent être supprimées », précise la CNIL. « Lorsque ces données sont nécessaires pour répondre à une obligation légale ou réglementaire, elles peuvent être archivées le temps nécessaire à l’accomplissement de l’obligation en cause. Elles seront ensuite supprimées lorsque le motif justifiant leur archivage n’aura plus raison d’être. »

Agents immobiliers : ce qu’il faut faire.

Pour respecter leurs obligations, les professionnels de l’immobilier, et donc les agents immobiliers en premier lieu, doivent agir sur six points clefs. Toutefois, tant que la gestion des données personnelles n’exige pas un suivi régulier et systématique des personnes à grande échelle, les agences immobilières ne sont pas obligées de recruter un délégué à la protection des données (DPO). La présence de cet expert, chargé de toutes les actions entourant la protection des données personnelles, est toutefois un plus pour être sûr de respecter à la lettre le RGPD.

 

  • Constituer un registre du traitement des données personnelles. Les agents doivent d’abord réaliser l’inventaire de l’ensemble des données qu’ils possèdent (sur leurs clients comme sur leurs salariés). Ils doivent préciser dans un registre le support sur lequel elles sont stockées, les personnes qui y ont accès ou encore la finalité de la conservation de ces informations. En effet, la finalité peut provenir d’obligations légales ou relever du marketing et de la communication.

 

  • Faire le tri dans leurs données. Le but de cet exercice est de ne conserver que les données dont l’entreprise a réellement besoin. Une attention particulière est portée aux données sensibles (par exemple sur la santé ou encore les condamnations pénales), ces dernières faisant l’objet d’un cadre spécifique pour être conservées. Pour ce faire, l’agent immobilier veille à instaurer des règles d’archivage permettant d’effacer régulièrement les données collectées. Si des données ont été collectées sans l’accord du client, l’agent immobilier doit le lui notifier et obtenir son consentement pour les conserver.

 

  • Obtenir le consentement des personnes. Il s’agit d’obtenir de chaque personne présente dans une base de données son consentement clair pour le recueil et le traitement de ses données personnelles. Cela doit se faire dans des termes simples et non équivoques. L’acceptation doit découler d’un acte positif et ne peut se faire par défaut. En outre, le consentement n’est donné que pour un usage précis (par exemple la prospection commerciale) et pour une durée limitée. Dans certains cas, ce consentement n’est pas obligatoire, par exemple quand les données sont nécessaires à l’exécution d’un contrat de location ou de vente.

 

  • Respecter les droits des personnes dont les données ont été collectées. Le RGPD en consacre plusieurs afin d’assurer un maximum de transparence et de contrôle sur les données. Un droit d’accès permanent aux données avec l’obligation pour l’entreprise de les fournir sous un mois. Un droit de rectification dans les meilleurs délais, mais aussi d’effacement en cas de retrait du consentement. En cas de partage de données, les partenaires ou sous-traitants de l’agent seront tenus par cette décision. Un droit à la portabilité des données, soit la possibilité pour un particulier de récupérer dans un format lisible, structuré et interopérable toutes ses informations personnelles, par exemple en cas de changement d’agence immobilière. Il est recommandé de faire examiner par un spécialiste du droit les mentions légales et conditions générales du site internet, notamment afin que les personnes soient bien informées de leurs droits.

 

  • Encadrer l’usage des cookies. Les professionnels doivent en justifier la nature, la finalité ou la durée de conservation des données qui en sont issues. Un bandeau doit s’afficher sur l’écran dès qu’un internaute se connecte au site, lui proposant d’accepter, de refuser ou de personnaliser les cookies mis en place.

 

  • Sécuriser les données. Le RGPD rend obligatoire l’analyse d’impact (ou « privacy impact assessment ») relative à la protection des données. L’agent immobilier doit donc recenser l’ensemble des données personnelles qu’il possède, les supports sur lesquels elles sont enregistrées (ordinateur, portable, cloud…). Il identifie alors les menaces possibles et les mesures existantes ou prévues pour y répondre. Cela va de l’obtention d’un antivirus performant et à jour au changement régulier des mots de passe permettant d’accéder aux données personnelles des clients.

Des sanctions importantes encourues.

Les sanctions pour ceux qui ne se mettent pas en règle peuvent être très sévères, jusqu’à 10 000 000 d’euros d’amende ou 2 % du chiffre d’affaires annuel mondial de l’entreprise. En cas de contrôle de la CNIL, lorsque les vérifications opérées conduisent à caractériser des manquements significatifs, cette dernière peut mettre en demeure le professionnel de se mettre en conformité et il devra, une fois l’ensemble des mesures techniques et organisationnelles mises en place, communiquer à la CNIL un dossier dans lequel il aura recensé lesdites mesures prises pour être en conformité.