En quoi le RGPD concerne-t-il le secteur immobilier ?
Le Règlement général sur la protection des données, RGPD, vise à permettre au citoyen européen un meilleur contrôle des données qu’il transmet sur internet. Cela passe entre autres par une obligation de transparence des entreprises sur l’utilisation de ces données, certaines contraintes sur leur durée de conservation, mais aussi un droit pour le client de demander l’accès ou l’effacement des informations qu’il a fournies.
Les agences immobilières, en tant qu’entreprises qui récoltent des données sur ses locataires (prénom, nom, téléphone, email, RIB, adresse…) sont soumises à ce règlement dès lors qu’elles sont établies en Union européennes ou qu’elles traitent des données de résidents européens.
Les Respecter le RGPD, oui, mais comment ?
Le RGPD requiert de la part du professionnel qui collecte des données personnelles un certain nombre de mesures. De l’information à la conservation en passant par la sécurisation, voici tout ce qu’une agence immobilière doit mettre en place pour adopter une collecte saine des données.
1- L’information
Avant de recueillir les données personnelles de son client, une agence immobilière à l’obligation de l’informer sur :
1️⃣ L’identité de l’organisme qui recueille les données (l’objectif est de permettre au client de connaître les coordonnées de la structure à laquelle il doit s’adresser en cas de réclamation concernant ses données personnelles). Par ailleurs, le collecteur doit indiquer à la personne de quels droits elle dispose sur ses données (droit d’accès, limitation, effacement, rectification, réclamation auprès de l’administration…).
2️⃣ La finalité du traitement des données, et leur durée de conservation (qui découle directement de la finalité qui leur est attribuée).
3️⃣ Le caractère obligatoire ou facultatif du recueil des données (le client doit savoir quelles données sont directement utiles pour servir la finalité indiquée).
4️⃣ Par quelle base légale est justifiée la collecte
Ça fait beaucoup… Oui, à la fois pour le collecteur de données, mais aussi pour le client qui peut avoir tendance à donner son accord sans trop regarder de près les informations qui lui sont transmises.
Pour que la transparence soit efficace, la CNIL (Commission nationale de l’informatique et des libertés) incite les entreprises à prioriser les informations transmises à la personne. Selon elle, le collecteur doit mettre en avant :
-
- L’identité de l’organisme collecteur
- La finalité des données
- Le droit des personnes
La CNIL précise néanmoins que prioriser ne signifie pas occulter certaines informations, aussi, elle incite également à fournir l’information à différentes étapes du parcours utilisateur pour éviter la lourdeur. Par exemple, l’agence immobilière peut signaler à son client les informations prioritaires au moment de la création de compte, puis lui transmettre le reste des avertissements par mail ou via un lien sur son site internet, renvoyant vers une notice d’utilisation des données.
Les données peuvent être recueillies de manière directe, via par exemple la souscription d’un contrat, ou indirecte, par exemple auprès de partenaires commerciaux. Dans un cas comme dans l’autre, l’obligation d’information reste la même.
2- La conservation des données personnelles
Le RGPD est clair : une donnée ne peut pas être collectée « au cas où ». Une agence immobilière qui récolte des informations sur un prospect doit justifier cette récolte par une finalité « déterminée, explicite et légitime ».
La durée de vie de la donnée découle directement de la finalité que l’agence lui donne. Une fois son objectif rempli, la détention par l’agence immobilière, par exemple d’un numéro de téléphone d’un client avec qui elle n’est plus en relation, n’a plus raison d’exister passé un certain temps.
Le règlement européen distingue trois cycles de vie d’une donnée :
- L’utilisation courante : il s’agit d’une donnée personnelle à laquelle l’agence aurait recours régulièrement pour remplir la finalité qu’elle lui a attribuée.
- L’archivage intermédiaire : une fois que la donnée récoltée a rempli son objet, elle peut toutefois être conservée en cas d’obligation légale (exemple : les données de facturation doivent être conservées 10 ans même si la personne concernée n’est plus cliente) ou dans le cas où ces informations auraient une utilité dans la gestion d’un contentieux. L’archivage intermédiaire implique la réduction du nombre de personnes autorisées à accéder aux données.
- L’archivage définitif : cet archivage concerne essentiellement le domaine public. Pour les entreprises privées comme les agences immobilières, une fois l’utilisation courante achevée, à l’exception des quelques cas où elles devraient recourir à l’archivage intermédiaire, les données doivent être effacées.
La durée de l’utilisation courante, qui concerne le plus l’agence, doit être déterminée par elle. Cela ne veut évidemment pas dire qu’elle peut imposer une durée de traitement anormalement longue, car le RGPD précise que la durée doit être « raisonnable ».
La CNIL a considéré que cette « durée raisonnable » de conservation des données personnelles pouvait être floue pour les agences immobilières, aussi, elle a mis à leur disposition un référentiel leur permettant d’y voir un peu plus clair. Ce référentiel considère, à titre indicatif et non contraignant, qu’une durée de conservation raisonnable serait de :
➡️ 3 ans pour les informations de contact issues d’une demande de contact location ou transaction. Pour ces données collectées préalablement à une candidature, il est spécifié que ce délai court à partir du dernier contact des personnes concernées avec l’organisme.
➡️ 3 mois pour les informations de solvabilité des candidats à la location.
➡️ Le temps du contrat pour les données du locataire retenu. La CNIL précise toutefois que l’agence peut conserver en archivage intermédiaire pendant 3 ans ces données de la conclusion du bail jusqu’à sa résiliation. En cas de gestion déléguée du dossier du locataire, la CNIL autorise une conservation des données de 5 ans.
3- Une donnée, ça demande de la sécurité
Les données personnelles sont par essence des données sensibles. Il est à la charge de l’entreprise qui les collecte de garantir leur sécurité contre leur déformation, endommagement ou leur utilisation par des tiers non autorisés.
La CNIL détaille dans son référentiel certaines mesures qu’elle invite les agences immobilières à suivre pour assurer la sécurité des données collectées.
➡️ Sensibiliser les personnes manipulant les données en rédigeant une charte informatique contraignante.
➡️ Authentifier les utilisateurs par le recours à un identifiant et un mot de passe d’une complexité de 12 caractères minimum (dont au moins un caractère spécial). La CNIL incite les agences à mettre en place un système de blocage après un certains nombre de tentatives d’accès à un compte.
➡️ Gérer les habilitations des personnes autorisées à accéder au données, en définissant les profils habilités, en supprimant les accès obsolètes et en réalisant chaque année une revue des habilitations.
➡️ Sécuriser les postes de travail, en prévoyant une procédure de verrouillage automatique de session. Les agences sont incitées à recourir à des antivirus et des « pare-feu ». Sur le volet plus physique, les agences doivent sécuriser leurs locaux aux moyen de portes verrouillées et d’alarmes anti-intrusion.
➡️ Sécuriser le site web, en recueillant notamment le consentement des utilisateurs pour le dépôt des cookies qui ne sont pas strictement nécessaires à la fourniture du service. Les agences sont par ailleurs invitées à vérifier qu’aucun mot de passe ou identifiant n’est transmis dans les URL.
⚠️ Cette liste de recommandation n’est pas exhaustive. Le référentiel de la CNIL propose un tableau plus complet des mesures à mettre en place pour sécuriser les données personnelles.
Respecter le RGPD, oui, mais pourquoi ?
Respecter le RGPD est évidemment une charge pour les agences immobilières qui peut s’avérer contraignant dans sa mise en place. Son application stricte demeure essentielle au vu de la sensibilité que peuvent revêtir les données personnelles collectées. Par ailleurs, à l’heure où la protection des données personnelles est devenue un sujet de préoccupation majeur pour le consommateur, marquer son attachement au respect du RGPD emporte nécessairement la confiance du locataire.
A contrario, les sanctions sont à la fois lourdes pour les entreprises qui n’appliquent pas ce règlement, et relaient une mauvaise image auprès de la clientèle.
Si la CNIL est l’interlocutrice principale des agences immobilières qui souhaitent se doter d’un traitement des données personnelles optimisé, elle est également leur bourreau quand ce traitement est défaillant. La sanction financière qu’elle inflige peut atteindre jusqu’à 4% du chiffre d’affaires de l’entreprise selon la gravité du manquement.
À titre d’exemple, en 2019, une amende de 400.000€ a été infligée à l’encontre d’une agence immobilière dont une faille sur le site internet avait permis l’accès à des données personnelles telles que des copies de carte Vitale, de carte d’identité, de relevé de compte ou de jugement de divorce.
La CNIL ne crucifie pas pour autant la première agence qui ne traiterait pas correctement les données personnelles de ses clients. On distingue 4 étapes dans le cycle d’intervention de l’administration :
➡️ Le simple avertissement
➡️ La mise en demeure
➡️ La suspension du système de traitement des données personnelles
➡️ L’amende
Finalement le RGPD est une contrainte, parfois forte pour les agences immobilières, mais nécessaire pour créer un environnement sain de collecte des données et pour établir une relation de confiance avec ses interlocuteurs.
En s’équipant de la candidature en ligne, vous pouvez bénéficier gratuitement d’un espace de gestion des candidatures et des données en accord avec la réglementation. Pour en savoir plus, découvrez Greenloc en cliquant ici.