Le RGPD (Règlement général sur la protection des données) est le texte de référence permettant de protéger les données personnelles. Les agences immobilières, qui traitent une grande quantité de données personnelles, ne font pas exception à cette règle : quelles sont les obligations RGPD pour les agences immobilières et comment vous pouvez mettre en place les bonnes pratiques pour assurer votre conformité ? Explications.
Pourquoi les agences immobilières sont-elles concernées par le RGPD et ePrivacy ?
Au même titre que n’importe quelle autre entreprise européenne, les agences immobilières sont soumises au RGPD, le règlement européen qui encadre les traitements de données personnelles depuis le 25 mai 2018.
Grâce à l’outil RGPD Admeet pour les agences immobilières, simplifiez la conformité de votre site web : nous avons pré-encodé pour vous les finalités de traitement de données spécifique au secteur de l’immobilier.
Les données personnelles collectées et traitées par les agences immobilières
Commençons par rappeler ce que sont les données personnelles : les données personnelles englobent toutes les informations permettant d’identifier directement ou indirectement une personne physique.
Dans le cadre de vos activités quotidiennes (opérations immobilières, ventes et locations de biens, prospection, recrutement de nouveaux agents immobiliers, etc.), vous êtes amenés à collecter et traiter une multitude de données personnelles, telles que :
- Des informations d’identification : noms, adresses, numéros de téléphone, adresses e-mail, etc. ;
- Des informations financières : revenus, capacité d’emprunt, historique de crédit, etc. ;
- Les préférences de logement de vos clients : nombre de chambres, emplacement, budget, etc. ;
- Des données sensibles : données de santé, situation familiale, etc. ;
- Données de localisation : adresses des biens visités, etc.
Ces données personnelles peuvent concerner vos clients (locataires, vendeurs, acheteurs), mais également vos collaborateurs (agents immobiliers, etc.).
Même si la collecte de ces données personnelles est très souvent une obligation légale pour les agents immobiliers, n’oubliez pas qu’elles sont soumises à l’application du RGPD. Par conséquent, vous devez prendre des mesures pour protéger les données personnelles que vous manipulez dans le cadre de votre activité.
L’importance du RGPD pour les agences immobilières
Si vous êtes intimidés par le RGPD, que vous l’ignorez par manque de ressources ou de budget ou que vous avez tout simplement d’autres priorités, il n’en reste pas moins d’une importance capitale pour les agences immobilières : outre le fait qu’il s’agisse d’une obligation légale, le respect du RGPD peut devenir un véritable avantage concurrentiel pour vous.
En effet, l’utilisation et l’exploitation des données par les entreprises suscitent de plus en plus d’inquiétude auprès des citoyens, et c’est là que la conformité RGPD vient les rassurer.
En vous conformant au RGPD, vous démontrez ainsi votre engagement envers la protection des données personnelles de vos clients, de vos prospects, mais également de vos agents et partenaires.
Non-conformité RGPD et ePrivacy : quels risques pour mon agence immobilière ?
Vous le savez certainement, mais le non-respect des obligations RGPD peut entraîner des sanctions administratives, pénales, mais également réputationnelles, puisqu’une sanction rendue publique par la CNIL peut avoir un impact négatif considérable sur l’image et la réputation de votre agence immobilière, et ainsi pousser les clients à se tourner vers des agences immobilières qui offrent une plus grande transparence et une meilleure protection des données personnelles.
En 2019, c’est suite à la plainte de la part d’un candidat à une offre de location que la CNIL a infligé à la société Sergic une amende de 400 000 euros pour “atteinte à la sécurité des données et non-respect des durées de conservation”. Sergic est une société spécialisée dans la promotion et la gestion immobilière, l’achat, la vente et la location de biens immobiliers. La CNIL a notamment pu constater que la société Sergic avait manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD. En effet, le site web n’était pas suffisamment sécurisé et permettait aux utilisateurs de télécharger les pièces justificatives nécessaires à la constitution de leur dossier pour la location d’un bien, sans authentification préalable.
Pour éviter les sanctions, il est donc crucial de s’assurer de sa conformité RGPD. Mais comment s’y prendre ?
Les principales obligations RGPD à respecter par les agences immobilières
Conformément au RGPD, les agences immobilières sont considérées comme responsables de traitement. Et en tant que responsables du traitement, vous êtes donc légalement tenus de garantir que les données personnelles soient traitées conformément aux dispositions du RGPD, notamment :
- En ne collectant que les données personnelles strictement nécessaires à vos traitements de données (principe de minimisation) ;
- En mettant en place des mesures techniques et organisationnelles pour assurer la sécurité des données : renforcez vos mesures de sécurité grâce au chiffrement, au pare-feu et à l’authentification à deux facteurs, par exemple. Si vous gérez des biens en copropriété, veillez à vous assurer que seules les personnes autorisées y ont accès ;
- En garantissant la transparence auprès de vos clients et prospects avec une politique de confidentialité rédigée en Legal Design, qui doit se trouver dans tous les points de collectes de données personnelles. Cela inclut les données collectées via le site web, mais également les données externes. À ce titre, Admeet permet de générer une politique de confidentialité conforme aux obligations RGPD et ePrivacy et adaptée à vos besoins.
- En recueillant le consentement lorsque nécessaire (notamment en cas de dépôt de cookies sur le site web de votre agence immobilière – voir le paragraphe dédié dans l’article) ;
- En respectant les droits des individus, et notamment le droit d’accès, de rectification et de suppression de leurs données personnelles ;
- En désignant un DPO lorsqu’il est obligatoire, notamment si vous traitez des catégories particulières de données à grande échelle ou si vos activités entraînent un suivi régulier et systématique des personnes concernées à grande échelle. Il est à noter que, si la désignation d’un DPO n’est pas obligatoire pour votre activité, elle est néanmoins encouragée par la CNIL.
Appliquer le RGPD dans votre agence immobilière : guide pratique
Réaliser un audit de vos traitements de données
Pour démarrer la mise en conformité de votre agence immobilière, la première étape est de réaliser un audit de l’ensemble de vos traitements de données que vous mettez en œuvre dans le cadre de vos activités. Cet audit préalable vous permettra d’identifier :
- Les traitements de données que vous mettez en œuvre (location ou vente de bien, prospection commerciale, organisation ou participation à des évènements ou des salons professionnels, etc.) ;
- L’ensemble des données personnelles que vous collectez sur les acheteurs, vendeurs, locataires, prospects, collaborateurs, etc. ;
- Les finalités et les mesures de sécurité que vous avez mises en place ;
- Les sous-traitants et destinataires auxquels vous transmettez ces données (notaires, organismes publics, banques, CRM, etc.).
Ce premier travail vous donnera une vue d’ensemble de vos pratiques actuelles et vous permettra d’identifier les points de non-conformité et de mettre en place votre registre des traitements de données.
Mettre en place le registre des traitements de données mis en œuvre par votre agence immobilière
Une fois que vous avez la vision globale de vos traitements de données, il va falloir mettre en place ce qu’on appelle le « registre des traitements de données ». Conformément au RGPD, chaque agence immobilière doit tenir un registre de l’ensemble des traitements de données mis en œuvre. Ce registre recense pour chaque traitement de données :
- La finalité du traitement ;
- Les catégories de données traitées ;
- Les personnes concernées ;
- Les destinataires des données ;
- Les durées et/ou les critères de conservation des données ;
- Les mesures de sécurité mises en place pour protéger les données ;
- Les éventuels transferts de données hors de l’Union européenne.
Le registre est un véritable outil de pilotage de la conformité RGPD et pourra être audité par la CNIL à tout moment.
Assurer la transparence lors de la collecte des données nécessaires
Lorsque vous collectez des données personnelles dans le cadre de vos activités immobilières, il est crucial d’assurer la transparence à l’égard de vos clients ou prospects. Pour ce faire, informez-les clairement des données que vous collectez, pourquoi vous les collectez, combien de temps vous les conservez, etc.
Cette obligation de transparence passe par la mise à disposition de mentions d’information et d’une politique de confidentialité claire et détaillée, notamment sur votre site web.
Attention aux transferts de données personnelles
Aussi, lorsque vous transférez des données personnelles en dehors de l’Union européenne, assurez-vous de respecter les règles relatives aux transferts de données :
– Vérifiez si le pays de destination offre un niveau de protection adéquat, notamment grâce à la carte interactive de la CNIL ;
– Si le pays n’offre pas de niveau de protection adéquat, vérifiez l’existence de garanties mises en place par le destinataire (clauses contractuelles types, règles d’entreprise contraignante BCR, etc.).
Sensibiliser vos agents immobiliers à la protection des données personnelles
Les agents immobiliers manipulent de nombreuses données personnelles dans leurs activités quotidiennes, parfois même sans en avoir conscience, ce qui présente un risque de violation de données.
Mais bien évidemment, on ne peut pas comprendre ce qu’on ne connaît pas : les agents immobiliers ne sont pas des experts de la protection des données personnelles et n’en saisissent pas nécessairement tous les enjeux. C’est pourquoi il est indispensable de sensibiliser vos équipes à la protection des données personnelles pour réduire ce risque au maximum.
Le site web de votre agence immobilière : comment le rendre conforme au RGPD et à la directive ePrivacy pour inspirer confiance à vos clients ?
Dans le cadre de votre activité en tant qu’agence immobilière, avoir un site web pour présenter vos biens et trouver vos clients est un must have. Mais encore faut-il que votre site web soit conforme au RGPD.
Les éléments essentiels pour un site web conforme au RGPD et à l’ePrivacy
Pour mettre en conformité le site web de votre agence immobilière, identifiez tout d’abord les traitements de données personnelles que vous mettez en œuvre par le biais de celui-ci, par exemple :
- Formulaire de contact ;
- Estimation d’un bien en ligne ;
- Dépôt de dossier en ligne ;
- Recrutement d’agents immobiliers ;
- Abonnement à une newsletter, etc.
Lorsque vous traitez des données personnelles, le respect du RGPD est une obligation légale. Pour ce faire, plusieurs documents obligatoires doivent être mis en place comprenant :
Politique de confidentialité en Legal Design
Elle doit être détaillée et rédigée en Legal Design, afin de rendre ce document légal clair et intelligible pour votre public cible. Cette politique doit expliquer clairement quelles données personnelles sont collectées, dans quel but, comment elles sont traitées, qui y a accès et comment les utilisateurs peuvent exercer leurs droits. Elle doit être placée sur tous les points de collecte et doit couvrir toutes les données collectées via le site web, mais également les données externes.
Politique de cookies en Legal Design
Elle explique comment sont utilisés les cookies sur votre site (types de cookies, finalités de chacun des cookies, gestion des préférences par l’utilisateur, conséquences de l’acceptation ou du refus des cookies).
Bannière cookies
Elle sert à informer les visiteurs de votre site web de l’utilisation des cookies et de recueillir le consentement des utilisateurs au placement cookies non essentiels sur leur terminal. Cette bannière doit être claire, concise et visible à tout moment sur le site et doit inclure un lien vers la politique de cookies. Pour être conforme, vérifiez bien que ces cookies ne soient pas déposés sur le terminal de l’utilisateur avant qu’il n’ait donné son consentement. Veillez également à enregistrer la preuve du consentement en cas de plainte d’une personne concernée ou de contrôle de la CNIL. Cette bannière doit être accessible à tout moment sur le site web pour permettre à l’utilisateur de changer d’avis et de retirer son consentement.
CMP (Consent Management Platform)
Elle permet de gérer les préférences en matière de cookies : la CMP permet de gérer et de stocker la preuve des consentements cookies par catégorie. Si votre site web dépose des cookies non essentiels sur le terminal de vos utilisateurs, veillez à mettre en place une bannière de cookies et une gestion des preuves de consentements par le biais d’un Consent Management Platform (CMP).