Comme tous les secteurs, celui de l’immobilier est envahi par l’informatique. Au-delà de la protection des systèmes d’information, avec l’entrée en vigueur le 25 mai 2018 du Règlement Général sur la Protection des Données (RGPD), les agences immobilières devront protéger les données à caractère personnel qu’elles détiennent.
En effet, dans le cadre de leurs activités, les agences collectent, traitent des données personnelles et décident des finalités pour lesquelles elles sont collectées.
A titre d’exemple, la constitution d’un fichier clients/prospects est un traitement de données personnelles.
Les agences immobilières sont des responsables de traitement et font ainsi l’objet d’une attention toute particulière. L’impact du RGPD est donc évident et cela implique de nombreux changements dans la gestion de leurs données clients.
Le règlement prévoit de supprimer les déclarations auprès de la CNIL pour les remplacer par la tenue d’un registre des activités de traitements effectués sous leur responsabilité. Ce registre doit explicitement indiquer quelles données ont été traitées, où elles l’ont été, de quelle manière et les raisons de ce traitement[1]. Le texte prévoit par ailleurs un régime dérogatoire pour les entreprises de moins de 250 salariés. Les agences immobilières se situant sous ce seuil pourraient donc se voir appliquer cette exception, ce qui limiterait fortement l’impact du RGPD sur leurs activités.
Toutefois, la tenue d’un registre de traitement reste obligatoire si le traitement que les agences effectuent :
- Est susceptible de comporter un risque pour les droits et libertés des personnes concernées,
- N’est pas occasionnel,
- Porte sur des données sensibles (relatives à l’origine raciale, à la vie ou l’orientation sexuelle, à des condamnations pénales ou des infractions …).
En tout état de cause, il peut être prudent pour les agences immobilières de veiller à tenir un tel registre. En effet, cette dérogation ne permet pas de s’affranchir de la logique de compliance du règlement européen : il appartient ainsi aux agences de se montrer proactives dans la mise en place de mesures permettant d’assurer le respect de la réglementation, et nul doute que les contrôles à venir porteront sur ce type de documentation.
Par ailleurs, le texte impose la nomination d’un Délégué à la protection des données (DPD)[2]. Présenté comme le « gardien » du RGPD, il a vocation à s’assurer du respect des obligations mises à la charge des agences immobilières par le règlement et pilote la mise en œuvre de l’ensemble des process dédiés à la conformité juridique des traitements.
Le DPD sera obligatoire dans les agences immobilières :
- Pour les traitements à grande échelle,
- En cas de suivi régulier et systématique à grande échelle des personnes,
- Lorsqu’il est imposé par une législation nationale.
Là encore, la nomination d’un Délégué à la protection des données permettra aux agences immobilières de justifier de leur démarche de mise en conformité. Externaliser cette fonction via un contrat de prestation de service peut apparaître une solution stratégique tant au niveau de la gouvernance interne qu’au regard des coûts.
Si des clarifications restent à être apportées sur le caractère obligatoire ou facultatif de la désignation d’un DPD, il est vraisemblable que l’obligation devienne rapidement la règle.
Le cabinet HAAS, fort d’une expertise de plus de vingt ans en droit des nouvelles technologies, bénéficie d’une triple labellisation CNIL et accompagne régulièrement ses clients dans la mise en conformité de leurs traitements en vue de la sécurisation de ceux-ci.
Le cabinet HAAS propose à ce titre l’externalisation de la fonction DPD, la réalisation d’études d’impact (PIA), la formalisation de référentiels sécurité ou encore la dispense de formations relatives aux enjeux de la loi Informatique et libertés dans le cadre d’une offre globale de DataCompliance.
Pour tout renseignement, veuillez nous contacter ici.
[1] Art. 30 § 5, RGPD
[2] Art. 37, RGPD