L’agent immobilier et ses obligations face au RGPD

Le 25 mai 2018, le règlement européen est entré en application, remplaçant certaines formalités auprès de la CNIL. En contrepartie, la responsabilité des entreprises est renforcée concernant la protection des données nominatives dont elles disposent. Les agences immobilières sont bien-sûr concernées.

Toutes détiennent des données sur la vie privée de plusieurs types d’interlocuteurs :

  • les clients et les parties aux contrats dont ils sont les intermédiaires (acquéreur, vendeur, bailleur, locataire, copropriétaires, etc…),
  • les collaborateurs,
  • les sous-traitants ou prestataires.

Le RGPD, qu’est ce que c’est ?

Il s’agit du règlement général sur la protection des données personnelles issu du Parlement européen et du Conseil du 27 avril 2016.

Ce texte est complété en France par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles qui a modifié la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Si vous collectez et traitez diverses données personnelles, vous êtes donc soumis à ce dispositif.

Le RGPD est entré en vigueur le 25 mai 2018. Il est applicable aux contrats en cours à cette date. Il en est de même pour la loi n°2018-493 précitée.

Le but de ce dispositif est d’assurer la protection des données de chaque personne que vous avez en votre possession afin de protéger leur vie privée et leur en permettre la maîtrise.

Qu’est-ce que vous devez faire en tant qu’agent immobilier ?

Vous devez mettre en place des mesures techniques et d’organisation pour assurer un niveau de protection optimal des données personnelles et prouver que vous avez réalisé le traitement de ces données.

Pour cela, vous devez alors :

Nommer un DPO (délégué à la protection des données), ou a minima, un référent. Celui-ci remplace le correspondant Informatique et Libertés.

Il est obligatoire uniquement si les activités de l’entreprise consistent en un suivi régulier et systématique des personnes se traduisant par un volume important de données et de personnes concernées. Mais aussi s’il s’agit de traitements à grande échelle de données sensibles ou relatives à des infractions ou condamnations pénales.

Ses missions consistent à :

  1. Informer sur les règles en vigueur et conseiller l’entreprise ou ses sous-traitants, et les salariés qui procèdent au traitement de données à caractère personnel, de leurs obligations;
  2. Réaliser l’inventaire des traitements de données personnelles de l’entreprise;
  3. Concevoir des actions de sensibilisation du personnel de l’entité;
  4. Conseiller l’entité sur la réalisation d’études d’impact sur la protection des données et d’en vérifier l’exécution;
  5. Contrôler le respect de la réglementation;
  6. Coopérer avec l’autorité de contrôle (la CNIL);
  7. Piloter la conformité en continu.

Vous avez également la possibilité d’externaliser cette fonction en passant par un prestataire.

Il faut tenir un registre des traitements des données personnelles

Ce registre facilite la mise en œuvre de la conformité de l’entreprise au RGPD et démontre la volonté de mise en conformité en cas de contrôle de la CNIL.

Intérêt du registre :

  1. Il précise qui peut avoir accès aux traitements et aux données, pourquoi, combien de temps, où et comment celles-ci sont traitées. Sera porté sur le registre le traitement des données personnelles de chaque client, salarié ou prestataire après avoir justifié de la nécessité de cet enregistrement des données et après avoir recueilli le consentement de l’intéressé.
  2. Il donne les actions à mener pour se mettre en conformité avec la réglementation, telles que :
  • Vérifier que seules les données strictement nécessaires à la poursuite des objectifs de l’entreprise sont collectées et traitées ;
  • Savoir sur quelle base juridique se fonde le traitement (consentement de la personne, contrat, obligation légale, intérêt légitime, etc.) ;
  • Revoir les mentions d’information pour qu’elles soient conformes aux articles 12, 13 et 14 du RGPD ;
  • Vérifier que les sous-traitants de l’entreprise connaissent leurs nouvelles obligations et que les clauses contractuelles les rappellent en matière de sécurité, de confidentialité et de protection des données personnelles traitées ;
  • Prévoir, quel que soit le traitement, les modalités d’exercice des droits des personnes concernées : droit d’accès et de rectification, droit à la portabilité, faculté de retrait du consentement ;
  • vérifier les mesures de sécurité, notamment informatiques, mises en place.

3. Il permet de gérer les risques et de les réduire.

Mise en place de procédures internes garantissant la protection des données

Il vous faut organiser des processus internes afin d’assurer en permanence un haut niveau de protection des données personnelles.

Il faut organiser la remontée d’information, c’est-à-dire :

  • Construire un plan de formation et de communication des collaborateurs,
  • Traiter les demandes et réclamations des personnes concernées quant à l’exercice de leurs droits en la matière,
  • Et anticiper les violations de données en prévoyant une notification à l’autorité de protection des données et aux personnes visées dans les meilleurs délais.

Documenter la conformité pour prouver le respect du dispositif RGPD

Il vous faut constituer un dossier comprenant la documentation relative aux traitements de données personnelles de l’entreprise (par exemple : le registre des traitements, politique d’archivage), les informations relatives aux personnes concernées avec les procédures mises en place pour l’exercice de leurs droits, ainsi que les conventions qui définissent les rôles et responsabilités des différents acteurs (contrats avec les sous-traitants, procédures internes de violation de données, preuves du consentement des personnes concernées).

>> Pour votre activité de gestion locative, voir les formations spéciales immobilier

Références juridiques :
Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016
Loi n°2018-493 du 20 juin 2018

Partager cet article surShare on FacebookTweet about this on TwitterEmail this to someonePrint this page