Le 25 mai 2018, le Réglement général sur la protection des données (RGPD) est entré en vigueur. Ce texte européen fixe de nouvelles règles quant à l’utilisation des données personnelles des résidents européens par les entreprises ou les administrations. Les professionnels de l’immobilier sont particulièrement concernés par cette nouvelle réglementation, puisqu’ils sont amenés à traiter et à stocker des données personnelles, comme l’adresse, le type de bien, le statut (propriétaire ou locataire) ou encore le niveau de revenus de leurs clients. Grâce à l’aide d’un expert, nous avons passé au crible les mesures que vous devez désormais mettre en pratique.
L’obligation de l’accord explicite ou l’exécution d’un contrat
Le RGPD n’impose pas systématiquement de recueillir le consentement des personnes pour utiliser leurs données. Par exemple, les données nécessaires à l’exécution d’un mandat de vente ou d’un bail locatif, peuvent être traitées sans autre forme de consentement. Dans les autres cas, lorsque le constamment est exigé, il peut prendre la forme d’une case à cocher (NON pré-cochée) assortie d’un paragraphe d’information des personnes. Les particuliers doivent par ailleurs avoir accès facilement aux conditions d’utilisation et d’exploitation de leurs données : celles-ci doivent être présentées de manière claire et concise. Étienne Drouard, associé du cabinet K&L Gates et expert en données personnelles, soulève déjà la complexité induite par ce nouveau règlement : « La cartographie des nombreux acteurs de la chaîne de l’immobilier est complexe, souligne-t-il, d’autant que chacun noue des relations contractuelles avec les autres. Les intermédiaires qui vont avoir accès à ces données personnelles peuvent être nombreux : les portails d’annonces, les promoteurs, les bailleurs sociaux… Il est donc très important de bien contractualiser entre professionnels l’utilisation de ces données. ». Bien souvent, l’agent immobilier se trouve être le premier collecteur des données personnelles d’un utilisateur : « Si on ne contractualise pas l’utilisation des données, chacun s’en retrouve responsable pour les autres ! », avertit Étienne Drouard.
La tenue d’un registre précis
Les entreprises doivent tenir une liste précise et facilement accessible du type de données personnelles qu’elles récupèrent auprès des particuliers. Les données en elles-mêmes doivent être répertoriées dans un fichier clair, que les organismes de contrôle (comme la Cnil) doivent pouvoir consulter sur demande.
Le droit à a récupération et à la portabilité des données
Les particuliers doivent désormais avoir droit à la portabilité de leurs données personnelles. Un client qui déciderait ainsi de changer de réseau d’agences immobilières doit pouvoir faire transférer facilement ses données d’un réseau à un autre. Cette disposition va de pair avec le droit à la récupération des données : un particulier qui l’exige a le droit de récupérer toutes les données qu’il aurait confiées à un agent immobilier, et celui-ci a le devoir de ne plus les conserver. « Néanmoins, tempère Étienne Drouard, les entreprises ont évidemment le droit de conserver certaines données de leurs clients : celles qui permettent d’établir leur comptabilité, leur facturation, ou éventuellement en cas de contentieux », précise-t-il.
La nomination d’un data protection officer (DPO)
Le RGPD fixe le rôle du DPO, le « data protection officer ». Comme son nom l’indique, cet employé est celui à qui revient la charge de veiller sur les données personnelles recueillies par l’entreprise. Sa présence peut ne pas être obligatoire en fonction du type de données gérées par les structures, mais Étienne Drouard préfère se montrer prudent : « Ne pas avoir de DPO, c’est plutôt un souci, explique le spécialiste, car les organismes de contrôle peuvent vous demander de justifier pourquoi vous n’en avez pas besoin. D’autant que les professionnels de l’immobilier sont quasi-immanquablement confrontés à des systèmes de géolocalisation des biens, qui peuvent être rattachés à une annonce et à une personne, et pour lesquels la nomination d’un DPO est obligatoire… ».
Pas d’inquiétude à avoir cependant : chaque agence immobilière n’a pas l’obligation de recruter un data protection officer, les coûts peuvent être mutualisés, par exemple au sein des réseaux immobiliers