RGPD et immobilier : quelles solutions possibles pour la Direction ?
Le Règlement (UE) 2016/679, dit "RGPD", introduit des changements en matière de protection des données personnelles, et notamment celles des clients, prospects et salariés. Il impose aux agences immobilières notamment et à leurs sous-traitants de garantir une protection optimale des données à chaque instant et d'être en mesure de le démontrer (en documentant leur conformité).
Les impacts du RGPD sur une entreprise dans le secteur de l'immobilier
Oui, l'obligation de conformité au RGPD (règlement général sur la protection des données) concerne votre agence immobilière car vous traitez des données relatives aux personnes. L'entrée en vigueur de cette règlementation européenne a plusieurs effets :
- Responsabilisation accrue des agences immobilières en matière de garanties de sécurité des données collectées et traitées (papiers et numériques)
- Renforcement des droits des personnes concernées qu'il s'agisse des prospects, clients dans le transactionnel, locataires en gestion ou des salariés et apporteur d'affaires
- Élargissement du champ d'application à tous les résidents de l'Union Européenne.
- Les contrôles et les sanctions seront également renforcés, et notamment sur les petites agences également avec la procédure de sanction simplifiée de la CNIL.
Les entreprises dans le secteur immobilier (pas uniquement les agences immobilières, mais aussi des gestionnaires d'actifs, les promoteurs, les entreprises de syndics, conciergerie, etc) sont particulièrement concernées, avec notamment l'obligation pour ces entreprises de nommer un DPO (Délégué à la Protection des Données).
Il existe de nombreuses offres et un grand nombre de prestataires proposant leurs services pour aider à la mise en conformité RGPD des organismes.
L'un des enjeux pour les agences immobilières notamment, est d'associer la mise en conformité au RGPD et les pratiques terrain.
La mise en place du RGPD en agence immobilière est un sujet complexe
Les problématiques découlant du terrain
"Avec le RGPD, on ne peut plus travailler"
"Comment protéger la confidentialité de mes prospects ?"
"Comment réaliser une cartographie des données et connaître les bases légales ?"
"Comment rédiger une procédure en cas de violation de données adaptée à mon agence immobilière ?"
Les problématiques de la Direction
"C'est bien beau le RGPD, mais je n'ai pas le temps de m'en charger et mes équipes non plus !"
"Quelle agence immobilière a un Juriste en interne spécialisé en protection des données aujourd'hui ? Aucune."
"Je n'ai pas 30 000 € à mettre dans le RGPD tous les ans !"
"Je ne veux pas d'une amende de 4% sur mon CA"
Les 3 options de la Direction d'agence immobilière pour éviter les sanctions
Avant d'entrer dans le détail des solutions possibles, revenons rapidement sur la notion de Délégué à la Protection des Données.
Le DPO en agence immobilière : définition
Le DPO est le Délégué à la protection des données personnelles de votre agence immobilière en charge de conseiller la Direction ("Responsable de traitement") de la politique à suivre en matière de protection des données personnelles (papier et numérique). Attention, la fonction de DPO est "juridique" (avant d'être "informatique").
Le DPO vous représente auprès des autorités (CNIL), gère avec vous les demandes RGPD et vous accompagne en cas de violation de données (phishing, perte d'un téléphone portable, mail au mauvais destinataire, etc.) ou de contrôle des autorités. Dans la majorité des cas, le DPO est aussi en charge de réaliser la mise en place et le suivi de la conformité des agences immobilières dans le temps. Choisir un DPO externe n'est pas forcément définitif. Votre entreprise peut changer de DPO et désigner un DPO interne à l'agence auprès de la CNIL après un an d'accompagnement par exemple.
Pourquoi choisir un DPO pour vos agences ?
Car votre agence immobilière traite des données intrusives dans le cadre de son activité concernant les personnes (locataires, propriétaire, clients, etc.) tels que :
- les informations bancaires,
- le RFR,
- la situation familiale, etc
Et qu'a fortiori, vous conservez ces données dans le temps pour de nouvelles opportunités commerciales. Vous êtes donc en permanence en risque de perdre ou de vous faire voler ces informations, ce qui peut causer une amende de 4% du chiffre d'affaire.
Option 1 (complexe) : réaliser sa conformité avec un DPO interne seul
Votre DPO interne rédige les documents essentiels de la conformité pour sécuriser votre établissement et réussir vos évaluations. Attention, la désignation d'un DPO membre de la Direction est impossible pour cause de conflit d'intérêts. D'autant plus que choisir un DPO interne implique que votre salarié est le temps suffisant (environ 50% d'un ETP) et les compétences nécessaires pour s'occuper du RGPD dans le temps. Dernièrement, si votre salarié part, vous êtes sans protection.
Option 2 (viable) : votre DPO interne est accompagné par un spécialiste RGPD
Pour faire face à l'insécurité juridique, votre DPO interne a peut-être besoin d'un accompagnement : formation et vérification du travail et outil RGPD. Chez Blockproof, nous pouvons vous aider en ce sens.
Option 3 (idéale) : réaliser sa conformité avec un DPO externe
Vous n'avez pas le temps, les ressources internes et l'énergie de vous en occuper ? Optez pour le DPO externe qui réalisera la mise en place, la formation interne et le suivi de la conformité de votre entreprise dans le secteur immobilier. Il peut s'agir d'un spécialiste RGPD tel que Blockproof, d'un avocat ou d'un consultant RGPD.