Suite à l’entrée en application du Règlement européen sur la protection des données 1 et de la loi du 20 juin 2018 2 , la CNIL a définit son programme de contrôle 2018 3 : l’autorité prévoit expressément de contrôler les agences immobilières dans leurs activités de collecte et de traitement de données, notamment lors de la constitution des dossiers des candidats à la location.
La stratégie de contrôle de la CNIL sonne comme un véritable avertissement à l’égard des acteurs de l’immobilier concernés dont la mise en conformité s’impose dans les plus brefs délais.
Qui sont les professionnels de l’immobilier concernés ?
Tout organisme public ou privé de l’immobilier (agence immobilière, syndic de copropriété, gestionnaire immobilier…) traitant des données relatives à une personne physique (propriétaires, locataires, salariés).
Quelles sont les informations concernées ?
Toute information se rapportant à une personne physique identifiée ou identifiable (ex : nom, date et lieu de naissance, nationalité, mail, téléphone, situation familiale et professionnelle, ressources financières…).
Quelles sont les obligations de mise en conformité 4 ?
• Cartographie des données collectées auprès des propriétaires/locataires et des salariés et création d’un registre (ce document devra être communiqué à la CNIL en cas de contrôle): Quelles données sont collectées ? Où sont-elles situées? Pour quelle finalité ? Où et comment sont-elles stockées? A qui sont-elles destinées ? Comment l’accès à ces données est-il sécurisé? Quelles sont les modalités d’effacement ?
• Information de la personne concernée : Lors de la collecte des données, le responsable de traitement doit informer : de son identité/et de celle de son représentant, le cas échéant de celle du Délégué à la Protection des Données, de la finalité et de la base juridique du traitement, des destinataires de ces informations, le cas échéant des transferts envisagés vers des pays tiers (hors UE), de la durée de conservation, des droits d’accès, de rectification, d’effacement, de limitation et d’opposition, du droit d’introduire une réclamation auprès de la CNIL et du caractère obligatoire ou facultatif des informations collectées.
En pratique : sous forme de Politique de protection des données à destination des propriétaires/locataires, d’une note d’information insérée dans le contrat de travail des salariés et sur tous formulaires à remplir par les personnes concernées et dans une rubrique spécifique du site internet.
• Rédaction/Mise à jour de la charte informatique.
• Vérification/Mise à jour des contrats de sous-traitance : insertion des clauses de confidentialité et de sécurité des données.
Faut-il nommer un DPO ?
Un Délégué à la Protection des Données (DPO) devra être désigné dans le cas où l’activité de l’agence immobilière ou du syndic de copropriété nécessite un traitement impliquant un suivi régulier et systématique à grande échelle des personnes concernées ou un traitement à grande échelle de données sensibles ou relatives à des condamnations pénales.
La désignation d’un DPO dépend donc d’une appréciation de la structure précise de chaque agence.
Quelles sont les sanctions encourues ?
Des amendes administratives pouvant aller jusqu’à 2% du chiffre d’affaires mondial ou 10M€ (absence de registre) ou jusqu’à 4% du CA ou 20M€ pour les infractions les plus graves (non-respect des droits des personnes).
Des sanctions pénales pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende.
Pour conclure :
Si l’annonce de son programme annuel de contrôle apparaît comme une mise en garde, la CNIL maintient son souhait de prendre en compte et valoriser les efforts déjà engagés dans cette quête de conformité.
En fonction du degré de maturité de votre entreprise en la matière, nous pouvons vous accompagner à cette fin selon les étapes suivantes :
• Pré-diagnostic (recensement des traitements et établissement du registre minimal),
• Audit juridique, organisationnel et technique,
• Plan d’action,
• Suivi juridique.
1- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
2- Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles modifiant la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
3- Stratégie de contrôle de la CNIL
4- La norme simplifiée NS-021 relative à la Gestion des biens immobiliers n’a plus de valeur juridique à compter du 25 mai 2018 mais permet aux acteurs concernés d’orienter leurs premières actions de mise en conformité