Le RGPD et l’immobilier : tout ce qu’il faut savoir pour mettre votre agence en conformité

Le RGPD, malgré ce que l’on pourrait croire de prime abord, n’est pas le nom d’une division de police américaine. Derrière ces quatre lettres se cache en réalité un des plus grands changements concernant le droit du numérique en Europe : le Règlement Général pour la Protection des Données. Un ensemble de règles éditées au niveau européen et qui visent à protéger les internautes de l’utilisation faite de leurs données par les professionnels. Cette loi, qui tombe en plein milieu du scandale Facebook et Cambridge Analytica, est attendue de pied ferme par de nombreux entrepreneurs. En effet, toutes les entreprises sont concernées… dont la vôtre. Alors, quels sont les principes généraux de ce règlement, et surtout, qu’est-ce que cela va changer pour les professionnels? Nous sommes allés à la rencontre d’un expert du domaine pour nous éclairer. 

Le RGPD n’est pas un label, c’est une obligation légale à laquelle toutes les entreprises effectuant des activités nécessitant de la récolte de données en Europe doivent se soumettre. Puisque cette loi vise notamment les GAFA, les amendes peuvent monter très haut : de 10 à 20 millions d’euros, ou jusqu’à 4 % du chiffre d’affaires mondial. Pour cet article, nous nous sommes rapprochés de Arnaud Riou, chargé du projet RGPD et responsable grands comptes chez IMMO SQUARE.

LE RGPD : tout le monde en parle, mais c’est quoi?

Le RGPD, c’est donc un ensemble de règles à appliquer par les professionnels. Cet ensemble vise à protéger les données personnelles des internautes, et surtout l’utilisation qui est faite de ces données par les entreprises. C’est un moyen pour l’Europe de se protéger de la fuite des informations personnelles de ses citoyens vers d’autres continents. Avant de nous intéresser à ce qui va changer pour les agents immobiliers au jour le jour, observons les grandes lignes qui composent le RGPD. Ce règlement est articulé autour de grands axes dont découlent ensuite les règles à mettre en place. 

Le consentement de l’internaute

Le consentement de l’internaute doit désormais être explicitement notifié. Les formulaires sur votre site Internet doivent clairement indiquer que vous récoltez ces informations et que vous allez ensuite les réutiliser pour différents objectifs (que vous devez clairement indiquer). Je vous invite à mettre une phrase rassurante, expliquant que vous ne revendez pas ces informations et qu’elles vous servent à des fins marketing. 

La Transparence

Ce point-là rentre en résonance avec le précédent. L’internaute doit être informé sur l’utilisation que vous allez faire des données que vous récoltez sur lui : si elles vont vous servir à des fins statistiques ou plutôt à des fins marketing, si elles seront transmises à une autre organisation (votre logiciel immobilier, par exemple), la durée pendant laquelle vous allez les conserver… 

La portabilité des données

Le RGPD prévoit un mécanisme de portabilité des données. Concrètement, cela signifie que si vous choisissez de changer de logiciel de transaction au profit d’un nouveau, il faut que votre logiciel actuel soit en mesure de vous fournir vos informations, sous un format exploitable, afin qu’elles soient réutilisées par le nouveau prestataire. 

Le privacy by design 

Le Privacy by Design est l’une des notions au cœur du RGPD. Pour le résumer, c’est un concept qui impose aux entreprises d’intégrer les principes du RGPD dès la conception d’un projet, d’un service ou de tout autre outil lié à la manipulation de données personnelles. Si vous procédez à la refonte de votre site Internet, à la création d’une application pour votre agence, ces projets doivent être pensés autour des règles du RGPD. 

Profilage par algorithme interdit

Désormais, les actions qui auront des impacts sur les individus ne peuvent plus reposer sur un traitement automatisé. Par exemple, pour choisir un locataire, je ne pourrais plus me reposer uniquement sur un algorithme. Il existe cependant des exceptions : par exemple, lors de la récolte des informations, si l’internaute donne son consentement explicite pour un traitement par algorithme. 

Droit à l’effacement

Un internaute peut demander à ce que l’on supprime les données que l’on a sur lui. Ce n’est pas une nouveauté. Cela fait quelques années maintenant que le droit à l’oubli existe et que vous pouvez demander à Google de déréférencer un contenu vous concernant. Mais désormais, cette pratique s’applique à l’ensemble des entreprises qui gèrent de la donnée. Sur une simple demande par mail, un prospect peut vous obliger à effacer les informations que vous détenez sur lui. En tant que professionnel de l’immobilier, cela signifie que vous allez devoir vous assurer que vos outils vous permettent de réaliser cette opération. 

Droit d’information en cas de piratage

Si jamais votre agence se fait pirater, il faut que vous le signaliez à vos clients. C’est obligatoire dans le cadre de relations BtoB. Cependant, la déclaration aux particuliers n’est pas obligatoire si « le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées, de sorte que les données dérobées sont incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, grâce au chiffrement. »

 

 

Concrètement, je fais quoi : entretien avec un expert du RGPD pour l’immobilier

Donc, voilà autour de quoi est articulé le RGPD, mais concrètement, comment le met-on en place au sein de son agence immobilière? Voici les étapes à suivre selon Arnaud Rioux, responsable du projet RGPD chez IMMO SQUARE. 

Quels investissements les professionnels de l’immobilier vont-ils devoir faire pour se mettre en conformité?

Dans les faits, concernant la mise aux normes, Arnaud Rioux explique que plusieurs possibilités s’offrent aux professionnels de l’immobilier. Pour lui, c’est surtout une question de formation en interne. Le RGPD étant au final une suite de processus à mettre en place au sein de l’agence. Voici les possibilités qu’il liste : 

• Lire les documents de la CNIL, prendre le temps qu’il faut, mettre son agence en conformité. C’est une solution chronophage, mais qui a l’avantage de ne pas coûter cher. 
• Traiter la contrainte, sans perdre trop de temps et au meilleur coût. Prendre des consultants externes qui vont faire de la formation au sein de l’agence. Cette solution permet de gagner du temps, mais elle a un coût élevé (profils de type avocats : 1 000 à 1 200 euros par jour).
• Utiliser des solutions industrialisées de formation. Arnaud Rioux explique que des outils de formation de type e-learning vont voir le jour pour permettre aux collaborateurs en agence de se former. C’est un compromis entre le temps et le coût pour la mise en conformité. 

Désigner un « Délégué à la protection des données »

La première chose à faire est de désigner un délégué à la protection des données au sein de votre agence. Selon la CNIL, ce responsable sera « le chef d’orchestre » de la gestion des données dans votre entreprise. Il devra exercer une mission d’information, de contrôle et de formation au sein de votre agence immobilière. 

Cartographier les données que je traite dans mon agence

La première chose que doit faire une agence, c’est de cartographier le traitement de données qu’elle récupère. Quel type de données on gère? Où sont-elles conservées? À qui je les communique? Tous les types de données que vous conservez doivent être répertoriés dans cette cartographie. Par exemple, si vous avez sur votre ordinateur une feuille Excel avec les informations de vos collaborateurs, vous devez le renseigner. 

Créer un registre des traitements

Ensuite, on va être en mesure de rédiger un registre des traitements, un document que l’on peut communiquer à la CNIL quand on a un contrôle. Il faut que celui-ci soit précis, et c’est pour cela que la cartographie est importante. Pour concevoir ce registre, vous devez répondre aux questions suivantes :

• Quelles données je récupère?
• Où sont-elles situées? 
• Pour quelle finalité je les récupère?
• Comment et où je les stocke?
• Comment je sécurise l’accès à ces données?
• Sous quelle modalité les efface-t-on?

Concernant la dernière question sur l’effacement, il y a des normes spécifiques de l’immobilier qui ont été édictées par la CNIL. On apprend par exemple que les données concernant un acquéreur ou un locataire ne peuvent être conservées que dans le cas où la vente ou la location a effectivement eu lieu. Sinon, l’agence doit supprimer les données des personnes au bout de trois mois sans communication avec le prospect. Ce dernier point est très important, car il signifie que si vous relancez le prospect, le délai repart pour trois mois. Vous allez donc devoir mettre en place des procédures de rappel et enclencher des campagnes de communication régulièrement pour conserver les informations du prospect. En soi, c’est une contrainte, mais c’est également bénéfique. 

Prévoir un plan d’action pour « les données inutiles »

Maintenant que l’on a notre registre des traitements, il faut prévoir un plan d’action concernant les données inutiles, nous explique Arnaud. Les entreprises peuvent conserver les informations dont elles ont besoin (pour leur comptabilité, pour la gestion des contrats…), mais elles doivent mettre en place des procédures d’anonymisation. En somme, remplacez les noms et les adresses mails des clients par des pseudos. À terme, cette tâche sera automatisée via les logiciels, pense notre expert. 

Expliciter la finalité de la collecte des données 

Il y aura un changement dans la façon de conserver et collecter les informations des clients. On ne peut plus collecter des données sans raison et sans répertorier ce qu’on fait de ces données. Mais surtout, il faut explicitement déclarer ce que l’on va faire de ses datas. Si elles sont collectées pour être réutilisées à des fins marketing, il faut le préciser; si c’est pour un traitement commercial, c’est pareil. 

Cela fait maintenant plusieurs années qu’une entreprise est légalement obligée de récupérer l’accord explicite d’un particulier lorsqu’elle enregistre ses informations. Une simple case à cocher suffit, mais il est techniquement interdit de la « pré-cocher » de base. Dans les faits, il y a très peu de surveillance sur ces pratiques. Mais pour Arnaud Rioux, il va falloir faire attention, car la CNIL va se montrer beaucoup plus attentive dans les temps qui suivent la mise en place du RGPD. 

Pour notre expert, les agences doivent voir ces contraintes comme une opportunité. L’opportunité de remettre à jour ses bases de données et de créer des process marketing plus rapides et dynamiques. Réfléchissons aux agences qui travaillent sur d’anciens fichiers. Il va falloir s’assurer que tout le monde est d’accord. Faut le voir comme une opportunité. Pour un prospect en transaction, on peut conserver ces données pendant un temps donné (3 mois, je crois). Au bout de cette durée, si on n’a plus d’interactions avec lui, on doit effacer. Donc, on doit avoir une gestion dynamique de mon fichier.

La conformité des prestataires

Si une agence est conforme, il faut que ses fournisseurs le soient aussi, nous explique Arnaud Rioux. L’agence a la responsabilité de vérifier la conformité des prestataires à qui elle transfère ses données. Prenons l’exemple d’une agence qui sous-traite l’édition de ses fiches de paie. Il faut que l’expert comptable auquel l’agence fait appel soit lui aussi conforme au RGPD. Cela vaut également pour le logiciel de transaction dans lequel elle saisit les informations des prospects. Cette partie de gestion des données doit être contractualisée.

Finalement, le RGPD est quelque chose à voir comme une opportunité. C’est l’occasion de repenser vos leviers de communication et d’adopter de nouveaux processus. Par exemple, le délai de conservation des informations vous force à contacter régulièrement les prospects que vous avez en base. C’est aussi l’occasion d’être plus transparent avec les clients et de les rassurer sur l’utilisation que vous faites de leurs données. Désormais, vous avez toutes les cartes en main pour être aux normes et utiliser ce règlement comme une force plutôt qu’une contrainte. Si vous souhaitez creuser le sujet, je vous invite à poser votre question en commentaire et sinon, vous pouvez vous rendre sur le site de la CNIL directement.