Le Règlement
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
Le Règlement Général sur la Protection des Données personnelles est entré en action le 25 mai 2018. Il concerne toutes les sociétés, européennes ou non, qui traitent des données personnelles de citoyens européen. Ce règlement a été transcris dans la législation de chaque pays européen. Il a pour but d’unifier les législations sur la protection des données personnelles, et de protéger les citoyens.
Les professionnels de l’immobilier sont donc concernés par ce règlement, au même titre que toute autre société.
Le professionnel de l’immobilier est le Responsable du Traitement. Ce terme officiel désigne le fait que l’agent immobilier ou le syndic est responsable des données personnelles qu’il stocke et qu’il traite. Les logiciels immobiliers, les portails immobiliers et les hébergeurs de site Internet sont des sous-traitants. A ce titre, easySolutions est le sous-traitant de ses clients.
Les professionnels de l’immobilier ont plusieurs obligations légales :
1. Désigner un Délégué à la Protection des Données (DPD en Français, DPO en anglais)
Le DPD est l’équivalent du Délégué du Personnel, mais pour les Données. Il a un rôle d’Alerte, indépendamment de la Direction. Le règlement stipule clairement que le DPD ne peut pas être un membre de la direction, le DRH, etc. Il doit s’agir d’une personne capable de comprendre les enjeux de protection des données personnelles, ayant suffisamment d’ancienneté pour maîtriser le fonctionnement, et n’étant pas en CDD, pour garantir la continuité.
Le DPD est désigné par l’employeur. Le DPD peut être un externe. De nombreuses sociétés se sont lancées dans ce service.
Le DPD a pour mission de :
-
- Tenir les registres (voir plus bas)
- Dénoncer à la CNPD toute « data breach », c’est-à-dire vol de données, piratage, envoi accidentel sur Internet, vol d’un ordinateur contenant des données personnelles et n’étant pas protégé, etc.
- La dénonciation à la CNPD est une obligation légale. Elle doit être faite dans les 72h.
Les registres sont de simples fichiers Excel. Le format n’est ni normalisé ni imposé.
Voici un exemple de Registre des Traitements :
Le délégué à la protection des données n’est obligatoire que pour les sociétés qui traitent des données à grande échelle. Une agence immobilière ou un syndic n’a pas besoin d’un Délégué. Un réseau d’agence immobilière, de part sa taille, doit en désigner un.
2. Gérer les accès aux données
Par facilité et par habitude, les agences immobilières, syndic et gestionnaires peuvent être tenté par donner des accès Administrateur à l’ensemble de leurs employés. Outre le fait que ces accès aux droits trop importants peuvent faire prendre un risque à la société (récupération de données, modification intentionnelle ou non de données, etc), ils sortent du cadre du GDPR. Il faut désormais se poser la question, pour chaque employé, s’il a le droit d’accéder aux données personnelles des clients.
Il faut justifier, dans les registres, que telle ou telle catégorie d’employé à accès aux données des clients.
- Les commerciaux : Accès complet aux données personnelles, pour pouvoir faire leur travail
- Les assistant/assistantes : Accès complet aux données personnelles, pour pouvoir faire leur travail
- La direction : Accès complet aux données personnelles, pour pouvoir faire leur travail
- Les comptables (syndic et gestion) : Accès complet aux données personnelles, pour pouvoir faire leur travail
- Un stagiaire qui vient aider à retravailler les annonces immobilières et à les publier sur les portails : Son poste ne justifie pas l’accès aux données personnelles des clients
- Un technicien qui intervient dans une copropriété : Il peut avoir accès au Travail ou à la Tâche, mais pas forcément à la liste complète des copropriétaires.
Pour se protéger, les professionnels de l’immobilier doivent s’assurer que les contrats de travail de leurs salariés intègrent la notion de données personnelle, et l’encadre, ou plus simplement à mettre à jour le règlement intérieur, en faisant référence aux catégories de salariés. Il faut y indiquer qui a le droit d’accéder aux données, dans quel cadre et pourquoi.
3. Justifier les traitements des données
Un professionnel de l’immobilier ne peut pas traiter les données sans un but valable et professionnel.
Pour les agences immobilières :
- Rappeler un client qui a déposé un call-back sur un site ou un portail, c’est tout à fait normal
- Faire un mailing à des clients pour leur proposer des biens à la vente ou à la location, c’est possible si ces clients ont bien coché une case sur le site ou sur le portail
- Proposer un bien à un locataire qui a loué il y a quelques années, ce n’est pas autorisé puisque le locataire n’en a pas fait la demande.
- Proposer un bien à un propriétaire qui a vendu il y a quelques années, ce n’est pas autorisé puisque le propriétaire n’en a pas fait la demande
Pour les syndics :
- Envoyer des publicités (par exemple pour des biens à vendre) à des copropriétaires, ce n’est pas autorisé puisqu’ils n’en ont pas fait la demande
- Contacter un locataire pour une fuite d’eau, cela ne peut pas être reproché puisqu’il ne s’agit ni de traitement de masse, ni de traitement de profil, ni de publicité, mais bien d’un caractère d’urgence
4. Protéger les accès aux données
Les professionnels ont la responsabilité de mettre en place des procédures « dans les règles de l’art » de protection d’accès aux données. En clair il faut un minimum de stratégie de sécurité.
Par exemple, il ne faut pas transférer par e-mail un fichier Excel non sécurisé qui contiennent la totalité de la base Clients. Le transport d’e-mail est par définition non sécurisé.
Pour faire simple, tout fichier Excel contenant des données personnelles en masse (la liste des copropriétaires, la liste des clients), doit être protégé par un mot de passe. Il en est de même pour l’accès aux différents logiciels de l’agence, ils doivent tous avoir un mot de passe, et un mot de passe sécurisé.
En cas de vol de données ou de piratage, le législateur pourrait reprocher à une agence de ne pas avoir suffisamment protégé l’accès à ses données.
5. Anonymiser
Le Règlement impose aux professionnels d’anonymiser les données personnelles après une période de 5 ans. Cette période commence au dernier échange avec le client.
- Dans le cas d’un prospect, c’est 5 ans après le dernier échange
- Dans le cas d’une vente, c’est 10 années après la date de la facture
- Dans le cas d’un bail, c’est 5 années après la signature du bail ou l’état des lieux
- Dans le cas d’une copropriété, c’est 5 années après la clôture de l’exercice au cours duquel le copropriétaire vendu, ou 5 ans après le paiement de son solde s’il avait un solde à la clôture de l’exercice.
L’anonymisation ne veut pas dire suppression. Il est tout à fait possible de remplacer, dans son fichier Excel ou dans son logiciel, les données personnelles par une suite de caractères (par exemple des étoiles). Cela permettra de tenir des statistiques, sans pour autant disposer des données personnelles.
Concernant la comptabilité (facture pour un acte, comptabilité d’une copropriété, comptabilité d’une gérance locative), la loi Luxembourgeoise impose de conserver les pièces comptables pendant 10 années. Cela signifie qu’il faut conserver les factures, mais pas forcément les fiches clients. Si cependant le logiciel impose de conserver les signalétiques clients pour permettre de ressortir les factures, il suffit d’archiver les clients, et il n’est pas autorisé de leur envoyer les publicités. C’est le Droit à l’Oubli.
6. Communiquer
Dans le cadre du GDPR, le professionnel de l’immobilier doit communiquer comment et pourquoi il traite des données personnelles.
Plus nous informons, plus nous sommes protégés.
6.a. Comment informer ?
La première étape à faire vis-à-vis des clients, c’est d’établir une Politique de Confidentialité. Il s’agit d’un document qui doit être clairement visible sur le site de l’Agent immobilier.
Cependant l’existence de ce document doit être reprise systématiquement. Il faut donc y faire référence, avec un lien direct, dans toutes les signatures mails.
Il faut également y faire référence dans toutes les factures, avec lien explicite (www.nomdelagence.lu/politique-confidentialite), mais également dans les devis, bons de commandes et contrats. Il n’est pas nécessaire de les imprimer en tout petit au dos de chaque document contractuel, le lien explicite a la même valeur.
7. Les relations contractuelles avec les partenaires
Les agences immobilières et syndic ont parfois pris l’habitude, pour des raisons de facilité, de travailler avec des partenaires sans Contrat. C’est désormais une faute qui pourrait être punie, si ce travail engage un échange de données personnelle.
Tout échange de donnée personnelle avec des partenaires et des sous-traitants doit être encadré par un document officiel. Il peut s’agir d’un Contrat, d’un Gentlemen Agreement, d’un Accord de Partenariat, ou de tout autre type de document, tant que celui-ci fait clairement référence aux données transférées, au mode de transfert, aux sécurités mises en place, à l’identification de chaque partie, et au fait que les données ne peuvent pas être transférées à un Tiers sans le consentement écrit du propriétaire de la donnée.
Les principaux portails de la place (atHome.lu, Immotop.lu, Wortimmo.lu, Editus.lu, Weabe.lu, Immo.lu) travaillent tous avec des contrats et dans le respect de la réglementation. Attention aux autres portails, notamment étrangers, qui pourraient faire des phases de gratuité, sans avoir signé un document. Les agrégateurs d’annonces qui renvoient vers une multitude de portails gratuits doivent aussi revoir leur politique.
Les transferts vers des opérateurs hors Europe (voir paragraphe suivant) doivent avoir été déclaré à toute la chaine d’intervenants.
8. Données hors Europe
Le règlement GDPR insiste précisément sur la différenciation entre les traitements en Europe et les traitements hors Europe. Encore une fois, rien n’est interdit, mais le professionnel de l’immobilier qui travaille avec des partenaires (hébergeur, sous-traitant comptable), qui ne sont pas en Europe, est obligé de le communiquer à ses clients.
9. Droit à l’oubli, portabilité des données
Les clients disposent d’un Droit à l’oubli. Ce droit permet à un client de demander à son agent immobilier de détruire ses données personnelles. Rien n’interdit pas contre de garder ses données anonymes, dans un but de statistiques, reporting, etc.
Le règlement GDPR insiste également sur la portabilité des données. Elle concerne principalement les assurances, banques, compagnies de téléphone, etc. Si un client en fait la demande, l’agent immobilier doit lui fournir, sous format standard (Excel, PDF, Word, CSV, etc) sa fiche client, pour qu’il puisse la transférer à un autre professionnel.