Suite à un grand nombre de plaintes, la CNIL a contrôlé en 2018 de nombreuses agences immobilières pour vérifier leur respect du RGPD. En cause le nombre important d’informations demandées aux candidats à la location et leurs garants.
Début juillet 2019, la CNIL publiait un compte rendu* de ses actions en pointant les erreurs les plus courantes des agences immobilières en matière de RGPD. Cette publication prend un sens tout particulier alors qu’un important réseau immobilier vient d’être condamné publiquement à une amende administrative de 400 000 euros. La presse et les réseaux sociaux n’ont pas tardé à republier cette décision rendue publique par la CNIL, doublant cette sanction d’un « bad buzz » dont ce réseau se serait bien passé.
Alors, comment assurer la conformité de votre agence au RGPD quant à ses activités Locatives ? Voici quatre règles importantes à retenir :
1ere règle : « Le minimum de données, tu exigeras. »
Le RGPD demande de limiter les informations collectées au strict nécessaire pour apprécier la solvabilité du candidat et son garant. C’est précisément le respect de cette règle que souhaitait vérifier la CNIL. Or, celle-ci a constaté une conformité assez générale de la profession, résultant d’une bonne connaissance de la Loi ALUR . En effet, le Décret de 2015 pris en application de celle-ci liste de façon exhaustive les documents autorisés :
Justificatifs d’identité (CNI, passeport, permis de conduire, …),
Justificatifs de domicile (dernières quittances de loyer, dernier avis de taxe foncière, …)
Justificatifs concernant la situation professionnelle (un contrat de travail pour les salariés, un certificat d’identification pour un travailleur indépendant, un Kbis pour les dirigeants d’entreprise, …)
Justificatifs de ressources (dernier ou l’avant-dernier avis d’imposition, trois derniers bulletins de salaires, justificatif de versement de retraite pour les retraites, …)
Pour autant, si la liste des documents « autorisés » est connue et respectée, une agence doit porter attention à un autre aspect pour ne pas enfreindre cette première règle. Nous appelons les gérants d’agence à porter une grande vigilance aux commentaires saisis par les négociateurs dans le logiciel de l’agence ! Est à proscrire tout commentaire n’ayant aucune utilité pour sélectionner le locataire, voire pire comportant ou présumant des informations religieuses, politiques, ethniques, de santé, indiquant l’orientation sexuelle du candidat. Rappelons le cas d’un réseau immobilier de très grande notoriété sanctionné il y a quelques années à ce titre : des négociateurs avaient saisi de leur propre chef des commentaires jugés « excessifs » dans leur logiciel.
2nde règle : « Les données, tu sécuriseras. »
Dans sa publication, la CNIL constate que cette règle (ainsi que les deux suivantes) est en revanche trop peu respectée par les agences immobilières. Sécuriser vos données signifie prendre les mesures nécessaires pour qu’elles ne soient ni divulguées à des tiers, ni rendues indisponibles, ni modifiées indûment. Au rang des mauvaises pratiques quotidiennes, on retrouvera par exemple :
l’armoire à dossiers non fermée à clé,
l’usage partagé entre membres de l’agence d’un même identifiant de connexion au logiciel de transaction,
Le recours à un mot de passe trop ‘léger’ (ou inscrit sur le post-it),
Un site web non sécurisé …
Le réseau immobilier sanctionné à 400 000 € avait été ainsi sanctionné pour un bug informatique connu mais non rapidement corrigé : en changeant légèrement l’URL, un client accédait aux données d’un autre client du réseau (copies de cartes d’identité, d’avis d’imposition, d’attestations délivrées par la CAF, Relevés d’identité bancaire. …).
Pour clore le sujet de la sécurité, nous conseillons vivement aux responsables d’agence de prendre le sujet à bras le corps non seulement pour être conforme au RGPD mais aussi pour protéger leur chiffre d’affaires ! Prenons l’exemple assez courant du négociateur qui « claque la porte de l’agence » en copiant (voire détruisant !) les fichiers clients de son ancien employeur…
3ème règle : « Les données, tu conserveras de façon raisonnable.»
Les données des locataires sont conservées trop longtemps selon la CNIL. Au quotidien, cela va se traduire par la conservation de tous les justificatifs des candidats reçus pour une location pourtant signée il y a des mois (voire un, deux ou trois ans !). C’est également cette durée excessive qui a été condamnée par la CNIL en juin par une sanction de 400 000 € (en plus d’un défaut de sécurité).
Attention ! Cette règle est souvent mal comprise . Le RGPD ne vous demande pas pour autant de détruire immédiatement les données une fois le logement attribué ! Cette destruction vous mettrait en difficulté en cas d’actions en justice (par exemple pour discrimination). Une fois la location attribuée, placez les pièces des candidats refusés dans une base ou une armoire à part des dossiers « actifs ». Seul le gérant ou la personne en charge du contentieux y aura accès (donc à l’exclusion des négociateurs). Cette armoire ou ces fichiers seront particulièrement sécurisés. C’est une fois les délais de prescription passés que vous pouvez et devez détruire les pièces.
4ème règle : « Les locataires, tu informeras . »
Les candidats à la location et leurs garants doivent être informés des conditions de traitement de leurs données : leurs droits, la durée, les type de données, les mesures de sécurité … C’est probablement la non conformité la plus risquée car la plus visible ! En effet, la CNIL a le pouvoir de faire des contrôles en ligne sans en informer l’agence. Cette non-conformité est d’autant plus regrettable qu’il est assez simple d’y remédier.
Le RGPD : Une aubaine pour les agences immobilières ?
Turn-over des négociateurs, pression des propriétaires, force des habitudes et méconnaissance des règles … les agences ont pas mal de circonstances atténuantes pour expliquer ces non-conformités. Mais, ces explications ne seront plus recevables dès lors que la CNIL a communiqué clairement à leur sujet. C’est ainsi que Marie-Laure Denis, Présidente de la CNIL, déclarait dans La Tribune en avril dernier : « Je considère qu’il faut désormais faire preuve de davantage de fermeté. Notre action de régulation ne sera efficace que si nous actionnons à parts égales les deux leviers à notre disposition, c’est-à-dire la pédagogie d’un côté, et le contrôle avec éventuellement des sanctions de l’autre. »
Pour conclure, si le RGPD est vécu comme une contrainte, elle est aussi une aubaine pour les professionnels de l’immobilier. En dépit du travail fait par la profession, celle-ci souffre encore d’une mauvaise image aux yeux de 70% des Français (Enquête Consortium Immobilier, 2017). Or, pour 9 Français sur 10, le respect de leur vie privée devient un critère de choix d’une entreprise (IFOP 2018). Assurer la conformité au RGPD de votre agence est une nouvelle opportunité pour générer de la confiance, vecteur fort de réussite dans l’immobilier.
Philippe LABARE
Expert RGPD certifié Bureau Veritas et ancien Directeur Marketing de réseau immobilier, Philippe LABARE forme et accompagne lesacteurs de l’immobilier dans leur mise en conformité avec pragmatisme, pédagogie et méthode. Ses interventions s’articulent autour de plusieurs formules, allant de l’ « Audit 24h00 » (pour TPE) jusqu’à un accompagnement sur du plus long terme (Pour les réseaux d’agences).