RGPD : ce que doivent savoir les professionnels de l’immobilier

Depuis son entrée en vigueur le 25 mai 2018, le règlement général sur la protection des données ou RGPD a fait couler beaucoup d’encre… Il a surtout nécessité une adaptation importante des pratiques dans certains secteurs, dont l’immobilier ! Voici les principaux changements imputables au RGPD dans l’immobilier.

RGPD : en quoi concerne-t-il les professionnels de l’immobilier ?

Le RGPD a instauré un cadre législatif unique pour l’ensemble des pays européens. Son but est de mieux protéger les données personnelles des utilisateurs sur Internet. Il repose sur 3 notions clés qui résument bien l’esprit du texte :

• Responsabilité,
• Confiance,
• Transparence.

Dans le domaine de l’immobilier, le règlement européen sur la protection des données concerne tous les professionnels qu’ils soient agents indépendants, promoteurs, gestionnaires d’agence, etc., car leur métier est en contact direct et régulier avec la clientèle. Ils se trouvent en première ligne pour travailler avec des données personnelles tous les jours : création de fichiers sur les clients (vendeurs, acquéreurs, bailleurs, locataires…), prospection, etc.

Chaque fois qu’une donnée personnelle, c’est-à-dire le nom, le numéro de téléphone ou encore l’adresse e-mail d’un prospect ou d’un client, est utilisée, les professionnels de l’immobilier doivent désormais avoir le réflexe RGPD. On peut d’ailleurs y voir une occasion d’améliorer la satisfaction client car ces derniers sont de plus en plus sensibles au respect de leur vie privée.

Quelles mesures concrètes pour respecter le RGPD dans l’immobilier ?

Recueillir un consentement explicite

Avec le RGPD, les agences immobilières doivent désormais recueillir le consentement express de l’utilisateur fournissant des données personnelles. Cet accord doit être clairement recueilli de façon explicite pour chaque situation : acceptation des cookies, envoi d’e-mails commerciaux, etc. Par exemple, il faut mettre en conformité son site Internet en prévoyant un formulaire de contact sans cases pré-cochées par défaut…

Informer les clients de leurs droits

L’information des utilisateurs est au cœur du RGPD dans l’immobilier. Chaque fois que le professionnel collecte des données, il doit :

• Indiquer la finalité du traitement des données de façon claire (utilisation marketing, statistique, etc.) ainsi que la base juridique du traitement (le consentement donné, l’exécution d’un contrat comme le mandat de vente…).
• Prévoir une possibilité pour l’internaute de modifier ou de récupérer ses données : c’est ce qu’on a appelé portabilité des données.
• Informer l’internaute de son droit à demander à ce que ses données soient effacées (droit à l’oubli).
• Mentionner les personnes ayant accès aux données, un éventuel transfert de données hors UE ainsi qu’une durée de conservation raisonnable des données. Par exemple, 3 ans maximum si le prospect ne répond à aucune sollicitation.

Créer un registre de traitement des données

Le RGPD dans l’immobilier impose la création d’un registre de traitement des données. Ce registre devra être séparé en fonction des activités de l’entreprise nécessitant de traiter des données (recrutement, prospection, statistiques de ventes…). Pour chaque activité, le professionnel doit détailler a minima :

• L’objectif poursuivi,
• Les catégories de données utilisées (nom, profession…),
• Les personnes ayant accès aux données,
• La durée de conservation des données.

Ce registre devra être à jour et tenu à disposition de la CNIL.

Le RGPD immobilier est d’ailleurs l’occasion idéale d’auditer les données existantes. Un tri s’avère souvent nécessaire pour supprimer les doublons et ne conserver que les données à jour, légalement recueillies et réellement utiles.

Les professionnels doivent y voir une opportunité marketing d’épurer les données contenues dans leur logiciel immobilier comme Unlatch pour se concentrer uniquement sur les plus qualifiées.

Sécuriser les données

La sécurisation des données est un des aspects phares du RGPD immobilier. L’information de toutes les personnes figurant dans votre base de données est nécessaire si votre entreprise a été piratée et qu’il y a un risque pour les droits des personnes. La CNIL doit également être prévenue dans les 72 heures suivant la violation des données.

De plus, dès la conception d’un service ou d’un outil (un nouveau site web, une application…) en lien avec le traitement de données personnelles, il faudra mettre le projet en accord avec le RGPD dès le début. C’est ce qu’on appelle le « privacy by design ».

Nommer un délégué à la protection des données

Le RGPD immobilier prévoit également l’instaurant d’un délégué à la protection des données (DPO). À noter, cette obligation ne concerne que certaines entreprises :

• En cas de traitement de données sensibles (par exemple : informations politiques, religieuses, etc.).
• En présence d’un traitement à grande échelle des données avec un suivi systématique et régulier des individus (par exemple, les banques).

A priori, la nomination d’un data protection officer n’est donc pas nécessaire dans la plupart des agences immobilières. Pour autant, la CNIL recommande de désigner une personne référente pour s’occuper de ces questions dans l’entreprise.

RGPD immobilier : attention aux sanctions !

La date de mise en conformité avec le RGPD était fixée au 25 mai 2018. Mais force est de constater qu’encore aujourd’hui certaines entreprises ne respectent pas entièrement le RGPD.

Attention, si la CNIL a fait montre d’une certaine tolérance jusqu’alors, ce ne sera sans doute plus le cas en 2020. Les premières sanctions du RGPD dans l’immobilier commencent à tomber contre les récalcitrants.

C’est par exemple le cas de la société Sergic condamnée à 400 000 € d’amende le 6 juin 2019. La société spécialisée dans la promotion immobilière, l’achat-vente, la location et la gestion avait laissé en connaissance de cause des failles de sécurité sur son site. Ces failles permettaient l’accès à des documents contenant quantité de données personnelles des usagers (relevé de compte, jugement de divorce, copie de carte vitale, etc.).

L’échelle des sanctions prévue pour sanctionner le non-respect du RGPD immobilier se décline en 4 étapes :

• Avertissement,
• Mise en demeure,
• Limitation ou suspension du traitement,
• Amende pouvant aller jusqu’à 4 % du chiffre d’affaires ou 20 millions d’euros.

L’amende peut donc être salée sans parler de la mauvaise publicité d’une telle sanction… La CNIL peut en effet décider de rendre la sanction publique. Se mettre en conformité avec le RGPD n’est désormais plus une option en 2020. Gérer la transition RGPD dans l’immobilier seul est possible si la taille de la structure est raisonnable. C’est aussi une solution qui limite les coûts. Pour autant, les professionnels de l’immobilier peuvent se faire accompagner par des experts juridiques ce qui sera sans doute plus confortable et plus rapide.

Le RGPD est en passe de changer les pratiques sur Internet pour mieux protéger les données des usagers. Si le RGPD dans l’immobilier est une contrainte supplémentaire pour les professionnels, c’est aussi une opportunité à saisir pour revoir et améliorer ses process.