Cabinet Naudin > Actualités juridiques > La protection des données personnelles (RGPD) concerne aussi et surtout les professionnels de l’immobilier
keyboard_arrow_leftRetour
RGPD et Immobilier

La protection des données personnelles (RGPD) concerne aussi et surtout les professionnels de l’immobilier

1.) Qu’est-ce que le RGPD ? 

Ce règlement général (RGPD) offre un cadre renforcé et harmonisé de la protection des données tenant compte des récentes évolutions technologiques (Big Data, objets connectés, Intelligence Artificielle) et des défis qui accompagnent ces évolutions devenues cœur de métier des professionnels de l’immobilier (Extranet, annonces en ligne…)


Ce texte place l’individu au cœur d’un dispositif légal renforçant ses droits (consolidation des obligations d’information, restrictions en termes de recueil de consentement, nouveau droit à la portabilité des données, à l’effacement, etc.) et par conséquent les obligations des professionnels.


L’idée défendue par ce RGPD n’est pas nouvelle. En effet, l’Union européenne avait déjà érigé cet objectif de protection de données personnelles à travers des textes de portée plus générale (Directive européenne n°95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données)


Désormais, l’Union européenne se dote d’un texte servant de base et de référence à tous les pays membres puisqu’il s’agit d’un règlement, plus contraignant et non plus d’une directive.


Ce nouveau texte est obligatoire et directement applicable dans tout État membre.


Le nouveau Règlement Général européen sur la Protection des Données personnelles (RGPD) est paru au Journal Officiel de l’Union européenne et entrera en application le 25 mai 2018.


Les entreprises et professionnels doivent donc se mettre en conformité au plus tard le 24 mai 2018.
Tout l’enjeu pour les entreprises est donc de définir concrètement quelles sont leurs obligations afin de pouvoir se mettre en conformité dans les délais.


2.) Qui est concerné par le RGPD ? 


Chaque citoyen européen aura la possibilité d’imposer l’application du RGPD et de faire valoir les droits et garanties qui l’accompagnent à toute entreprise (européenne ou non) qui collecte ses données personnelles. Les professionnels de l’Immobilier français sont directement impactés. 
Notons que que le secteur privé n’est pas le seul concerné, l’ensemble du secteur public est également assujetti aux règles contraignantes du RGPD.

 
3.) Quelles sont les objectifs de ce règlement ?


Les objectifs du législateur européen sont clairs : renforcer le droit des personnes, qui pourront plus facilement maîtriser leurs données personnelles, et responsabiliser les acteurs traitant ses données.


A.) La désignation d’un délégué à la protection des données.
 
Un délégué (interne ou externe à l’entreprise) sera désigné et sera chargé de vérifier la bonne application du règlement européen sur la protection des données au sein de l’entreprise.


Successeur du CIL (Correspondant Informatique et Libertés), le délégué à la protection des données sera l’interlocuteur privilégié de la CNIL et devra faire remonter les manquements qu’il constate.


L’article 37 du RGPD rend obligatoire la désignation d’un délégué à la protection des données dans certains cas.


Cette désignation sera obligatoire dans tous les organismes « dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle » mais également ceux « dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions » ainsi que les autorités publiques.


Les missions de ce délégué sont les suivantes :

  • Informer et conseiller
  • Contrôler le respect de ces dispositions et des règles internes du responsable de traitement
  • Dispenser des conseils
  • Coopérer avec la CNIL

Il sera donc obligatoire de laisser à la disposition du délégué à la protection des données les moyens pour mener à bien sa mission notamment en vérifiant qu’il possède les qualités professionnelles et les connaissances spécifiques nécessaires, mais également en mettant à sa disposition les moyens matériels et ressources dont il a besoin.


La mise en place d’un tel référant a pour vocation d’établir des rapports de confiance entre les entités en renforçant la sécurité juridique et informatique.


B.) La mise en conformité des entreprises en 6 étapes.
 
Selon la CNIL, pour se préparer au mieux à la mise en place de ce règlement européen, il convient de respecter 6 étapes qui permettront aux entreprises de ne pas faire d’impasse et d’être en conformité dès mai 2018.

  1. Désigner un délégué à la protection des données. Son rôle est primordial, il faut donc le choisir avec soin.
  2. Cartographier les traitements de données personnelles.
  3. Prioriser les actions à mener dans le cadre du RGPD.
  4. Mener des analyses d’impact
  5. Organiser les processus interne
  6. Documenter la conformité et la mettre à jour régulièrement.

Ce processus de mise en conformité étant complexe, il est recommandé aux entreprises de ne pas attendre le dernier moment et de se pencher sur cette question dès aujourd’hui afin d’éviter les sanctions en cas de non-conformité.


C.) Le renforcement des obligations du responsable de traitement
 
Les obligations maintenues :

  • Respect du Principe de finalité : vos traitements doivent avoir un but précisément défini.
  • Respect du principe de proportionnalité qui deviendra le principe de minimisation : seules les données nécessaires à la finalité doivent être traitées.
  • Limitation de la durée de conservation des données.
  • Obligation d’information des personnes : qu’il s’agisse d’un formulaire de collecte, de l’exécution d’un contrat, ou de vos salariés, les personnes concernées par vos traitements de données doivent être informées de la finalité, des données collectées, de leurs destinataires, de leur durée de conservation, des droits qu’elles détiennent sur ces données…

Les obligations préexistantes renforcées 

  • Encadrer des transmissions de données : les transmissions de données à vos sous-traitants devront être encadrées par un contrat prévoyant les garanties de sécurité et de confidentialité imposées à ce dernier, qui ne pourra pas recruter un autre sous-traitant sans votre accord préalable.
  • Assurer la sécurité du traitement : vous devrez prendre les mesures de sécurité techniques et organisationnelles appropriées compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, du traitement ainsi que des risques pour les droits et libertés des personnes physiques.
  • Garantir les droits des personnes : vous devrez répondre dans un délai d’un mois aux personnes concernées qui souhaitent faire valoir leurs droits sur leurs données.
  • Recueillir le consentement : le consentement bénéficie d’une nouvelle définition, il devra être libre, spécifique, éclairé et univoque
 
La création de nouvelles obligations à la charge du responsable de traitement
 
  • Garantir les nouveaux droits des personnes concernées : droit à l’effacement, droit à la limitation du traitement, droit à la portabilité des données
  • Notifier les failles de sécurité dans les 72h : à l’autorité de contrôle ainsi qu’à la personne concernée si elle est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.
  • Etablir un registre des activités de traitement
  • Désigner un DPO qui sera obligatoire dans de nombreux cas. La personne adéquate pour assumer ce rôle, compte tenu des compétences et de l’indépendance requise, notamment pour assumer la mission de contrôle de la conformité juridique des traitements, risque d’être difficile à trouver, heureusement, cette fonction peut être externalisée.
  • Mener une étude d’impact sera obligatoire dans de nombreux cas, elle permettra de documenter les mesures de sécurité imposées au responsable de traitement, mais aussi de respecter les principes de privacy by design et by default.

4.) Quelles sont les sanctions en cas de violation du RGPD ?
 
Adopté le 27 avril 2016, le RGPD prévoit des sanctions extrêmement dissuasives :

  • Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial pour des manquements notamment au Privacy By Design, Privacy By Default, en matière de PIA, etc…
  • Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).

Ces montants sont des plafonds.


La CNIL a d’ailleurs fait savoir qu’elle n’hésiterait pas à appliquer ces sanctions administratives en cas de manquement dès l’entrée en vigueur du RGPD.


Si la plupart des communicants sur le sujet insistent plus particulièrement sur les sanctions administratives, les sanctions pénales ne sont pas en reste. En effet, l’article 84 1° du Règlement énonce que les Etats peuvent déterminer le régime des sanctions applicables en cas de violation des obligations prévues, autres que les sanctions administratives.


Les sanctions pénales en cas de manquement aux règles en matière de protection des données sont déjà prévues en droit français et réprimées par les articles 226-16 à 226-24 du Code pénal.


D’autre part, la CNIL peut désormais ordonner aux organismes/entreprises sanctionnés d’informer de cette sanction les personnes dont les données ont fait l’objet du manquement, à leurs frais bien entendu. Elle peut en outre prononcer des sanctions financières sans mise en demeure préalable des organismes lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité.


Le Cabinet NAUDIN a mis en place, avec ses partenaires, un processus permettant aux professionnels de l'immobilier d'être en conformité avec ses nouvelles obligations.
 
 
Ce bien m'intéresse
Les champs indiqués par un astérisque (*) sont obligatoires
specialiste divorce enfant garde alternee pension marseille
Prendre rendez-vous
mail Nous contacter
call 04 26 85 36 67