Agents immobiliers : comment vous conformer au RGPD en 6 étapes concrètes ?

Précédemment, nous avons expliqué les 6 principaux changements qu’apporte le RGPD par rapport à la Loi Informatique et Libertés, Après la théorie, la pratique : nous vous donnons ici les grandes étapes pour vous conformer à la nouvelle règlementation, sans prétendre à l’exhaustivité.

Précédemment, nous avons expliqué les 6 principaux changements qu’apporte le RGPD par rapport à la Loi Informatique et Libertés (voir notre article « RGPD : les 6 changements qui vont impacter votre activité »).

Après la théorie, la pratique : nous vous donnons ici les grandes étapes pour vous conformer à la nouvelle règlementation, sans prétendre à l’exhaustivité.

Sachez que la CNIL met à votre disposition sur son site de précieux guides pour vous accompagner. Plus qu’un organe de contrôle, c’est le garant de la protection de vie privée des individus ; ils sont à votre écoute pour vous aider dans votre mise en conformité.

Etape 1 : recrutez votre Délégué à la Protection des Données (DPD ou DPO).

C’est le garant du respect du Règlement et le point de contact avec l’autorité de contrôle et les personnes concernées.

Son rôle est crucial dans votre mise en conformité puisqu’en tant que véritable chef d’orchestre il exercera une mission d’information, de conseil et de contrôle en interne.

Le rôle et les missions du DPO sont très étendus et conduisent à piloter la gouvernance des données personnelles de votre agence.

Votre cabinet d’avocats peut vous proposer une prestation sur-mesure de « DPO externalisé ». Vous pouvez également partager un DPO avec d’autres agences, c’est ce que l’on appelle le « DPO-mutualisé ».

Notre prochain article détaillera le rôle et le profil du DPO et sa valeur ajoutée pour votre activité.

Etape 2 : Cartographiez l’ensemble de vos traitements de données à caractère personnel.

Pour identifier votre plan d’action de mise en conformité, commencez par dresser un inventaire de l’ensemble de vos traitements (y compris ceux dont vous avez confié la mise en œuvre à un prestataire qui agit pour votre compte).

Chaque traitement de données personnelles (de vos clients, salariés, prestataires, etc.) doit être identifié. Pour chaque traitement porté dans un Registre des traitements. Vous devez y inscrire plusieurs mentions :

  • le nom et les coordonnées du responsable du traitement ;
  • les personnes ayant accès aux données ;
  • les sous-traitants, les données concernées ;
  • les données sensibles ou à risque, la ou les finalités du traitement ;
  • le lieu de stockage des données ;
  • leur durée de conservation ;
  • les mesures de sécurité mises en œuvre pour garantir leur sécurité et leur confidentialité ;

Ce Registre doit être mis à jour régulièrement. Nous vous proposerons un modèle de Registre dans un article ultérieur.

Exemples de traitements :

  • Enregistrement des salaires des collaborateurs ;
  • Stockage et mise à jour d’un fichier client, prospect ou résident (pour les syndics et administrateurs de biens) ;
  • Collecte d’informations sur un site internet (nom, prénom, coordonnées, …) ;
  • Stockage de formulaires papier complétés (mandats, bon de visite, contrat de location, etc.) ;
  • Collecte et stockage de données personnelles envoyées par un tiers (exemple : envoi des coordonnées d’acheteurs par un portail immobilier tel que Seloger.com, Leboncoin, Bien’ici, etc.) ;

Etape 3 : Priorisez vos actions et gérez les risques.

Le Registre des traitements doit vous permettre d’identifier les actions prioritaires à mener pour être conforme.

A ce stade, commencez par identifier le fondement de chacun de vos traitements.

Pour être licite, vos traitements doivent obligatoirement répondre à l’une des conditions suivantes :

  • avoir obtenu le consentement des personnes concernées ;
  • être nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à sa demande ;
  • être nécessaire au respect d’une obligation légale à laquelle vous êtes soumis ;
  • être nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ;
  • être nécessaire à l’exécution d’une mission d’intérêt public dont vous seriez investi ;
  • être nécessaire à des intérêts légitimes que vous poursuivrez.

Après avoir identifié le fondement de votre traitement, concentrez-vous en priorité sur les traitements nécessitant le consentement des personnes afin de vous assurer que celui-ci a bien été recueilli dans les conditions prévues par le RGPD (acte positif et éclairé). Si tel n’est pas le cas, vous allez devoir solliciter toutes les personnes concernées par votre traitement afin de leur demander leur consentement à poursuivre le traitement.

Fini le clic sur un bouton qui vaut acceptation des CGU ou du transfert des données à des partenaires. Les recommandations du G29 (ensemble des CNIL européennes) sont claires : l’utilisateur doit consentir explicitement en cochant une case (non pré-cochée) qui indique la finalité de la collecte, le destinataire des données, et son droit de suppression, modification ou d’opposition à l’utilisation des données. Précisez également comment la personne peut exercer ce droit (en envoyant un email au DPO par exemple).

Ne cachez pas ces mentions dans vos CGU ou dans un menu déroulant : elles doivent être visibles, non ambiguës et complètes.

Vous devez être en mesure de prouver que les personnes figurant dans vos fichiers vous ont autorisé à collecter certaines de leurs données

Etape 4 : révisez les mentions légales et les Conditions générales de votre site internet, ainsi que votre politique de gestion des cookies.

Faites ce travail avec un professionnel du droit, c’est impératif.

Vérifiez que l’information des personnes physiques est suffisante :

  • mentions obligatoires d’information légale dans les formulaires ;
  • procédures mises en place pour l’exercice des droits des personnes ;
  • coordonnées du DPO.

S’agissant des cookies : listez dans un tableau le nom de chaque d’eux, sa nature, sa finalité, sa durée de conservation. Pour chacun des cookies identifiez ceux strictement nécessaires au fonctionnement de votre site internet (cookies de connexion) et ceux qui vous permettent de réaliser des analyses comportementales en ligne ou de la publicité ciblée. Le recours à cette seconde catégorie de cookies suggère l’insertion d’un bandeau qui doit s’afficher dès qu’un utilisateur accède à votre site : vous devez lui proposer d’accepter/refuser ou personnaliser les cookies. Sur le site de la CNIL (voir ici), vous trouverez les mentions légales obligatoires types ainsi qu’une liste de solutions centralisées de recueil du consentement, gratuites et libres de droit, que vous pouvez intégrer sur votre site pour être conforme sur ce point.

Nous vous vous recommandons également la rédaction d’une charte « Protection de la vie privée », accessible en permanence dans le bas de page de votre site internet. Cela rassurera vos internautes. Pour information, la Charte figurant sur le site www.mandatsexclusifs.fr a été lue par près de 6% des visiteurs du site.

Sachez que la CNIL a développé des outils d’audit automatique de sites internet : les Conditions générales, les mentions légales des formulaires, la politique Cookies, … font partie des premiers éléments visibles qui peuvent attirer son attention et l’inciter à réaliser un contrôle de votre entreprise.

Etape 5 : Révisez les clauses de vos différents contrats.

Faites-vous aider par un professionnel du droit pour mettre en conformité les contrats passés avec vos sous-traitants (hébergeur de site internet, comptable, etc.) et vos clients particuliers ou professionnels.

Le RGPD prévoit un formalisme nouveau et l’insertion d’une série de clauses obligatoires.

L’absence de ces clauses vous expose à une sanction pouvant atteindre 10 000 000 d’euros ou 2 % de votre chiffre d’affaires annuel mondial total.

Etape 6 : Documentez votre conformité

Pour respecter le principe d’ « accountability », vous devez démontrer que vous êtes conforme au règlement. Pour cela, créez un dossier papier et/ou numérique « Informatique et Libertés » contenant l’ensemble de votre documentation :

  • Les mesures techniques et organisationnelles prises pour protéger la vie privée, notamment les processus interne, la lettre de mission du Correspondant Informatique et Libertés, etc. ;
  • La documentation relative aux traitements de données : cartographie des traitements et des données traitées, Registre des traitements, analyses d’impact, charte informatique et libertés, etc. ;
  • Les modalités d’information des personnes : CGU, mentions sur le site et les formulaires, bandeau cookies, modalités de recueil du consentement, procédures pour l’exercice des droits des personnes, etc. ;
  • Les rôles et responsabilités des acteurs impliqués dans les traitements : contrats avec vos sous-traitants, vos clients, contrats de travail (charte informatique, charte sécurité des systèmes d’information)

Cadre de Vie (http://www.cadredevie.fr), en partenariat avec le cabinet Simon associés (www.simonassocies.com) vous propose une chronique d’une dizaine d’articles dans le Journal de l’Agence pour vous expliquer concrètement, comment vous conformer au RGPD et comment l’intégrer dans vos processus métiers actuels.

Dans le prochain article, nous nous concentrerons sur le Délégué à la Protection des données (le DPO) et vous expliquerons sa valeur ajoutée pour l’agence immobilière.

Par Amira BOUNEDJOUM ,  Avocat à Simon Associés & Loïc GALVIER Délégué à la Protection des données, Cadre de Vie.

 

A propos des auteurs 

Amira BOUNEDJOUM, SIMON ASSOCIES , avocat spécialisée en protection des données à caractère personnel.

Amira Bounedjoum intervient tant en conseil qu’en contentieux, et accompagne au quotidien de grandes entreprises, publiques et privées, en droit des nouvelles technologies et notamment en protection des données à caractère personnel, cyber-sécurité et e-réputation.

Principales publications : Divers articles en droit des données personnelles, droit des nouvelles technologies et robotique dans des revues juridiques et presse écrite ; Participation à l’ouvrage Droit de la Données, Principes théoriques et approche pratique, (Matthieu Bourgeois, Droit & Professionnels, LexisNexis nov 2017)

LE CABINET SIMON ASSOCIES

Fondé en 1992, Simon Associés est un cabinet d’avocats d’affaires reconnu ayant des bureaux intégrés à Paris, Lyon, Montpellier, Nantes, Grenoble, Fort-de-France et Pointe à Pitre.

Au service des entreprises, des dirigeants et de leur activité, Simon Associés compte aujourd’hui en France plus d’une soixantaine d’avocats, dont 21 associés. Il rassemble plus d’une centaine de professionnels avec le réseau national Simon Avocats.

 

Categories: Juridique
Loic Galvier: Loïc Galvier, Data Protection Officer (Délégué à la Protection des données) de Cadre de Vie. Après une formation d'ingénieur à Télécom ParisTech, d'e-business à HEC Paris puis de droit à la Sorbonne, Loïc a fondé une filiale d'AXA Assurance & Banque dédié au data management puis s'est spécialisé en immobilier. En 2017, il rejoint Cadre de Vie pour assurer la protection de la vie privée et la qualité de service. Cadre de Vie est une société créée par Stéphane Vié (ancien Directeur général d'ORPI) en 2016 qui édite le site www.mandatsexclusifs.fr . Cadre de Vie détecte les propriétaires qui souhaitent vendre leur logement avec l'aide d'un agent immobilier, puis propose gratuitement à ces agents des services utiles pour signer plus de mandats exclusifs. Les agents bénéficient également de la diffusion 100% gratuite de leurs annonces sur d'importantes audiences complémentaires aux portails traditionnels : sites de banque, assurance, e-commerce, énergéticien, FAI, … avec près de 2 millions de visiteurs uniques ayant un vrai projet de changement de logement.