RGPD/EPrivacy : Comment mettre en règle le site web de votre agence immobilière ?

Est-ce important pour votre agence que son site web soit en règle par rapport aux différentes règlementations en vigueur (RGPD, EPrivacy, etc.) ?

De nos jours, les gens consultent de plus en plus les sites web (ou les applications) pour trouver des biens à louer ou à acheter.

Ceux qui souhaitent mettre leur bien immobilier en location, en vente ou encore trouver un syndic ou un régisseur effectuent généralement leur recherche en faisant un premier tri sur base des informations trouver sur les sites de ces agences.

Si une information claire permet de créer la confiance, un site web non conforme peut également vous créer des ennuis, les manquements étant facilement constatables par une autorité de protection des données (APD, l’administration en charge du suivi du RGPD et de l’EPrivacy) sans que vous en soyez même conscient.

Jusqu’au moment où vous recevez le courrier de demande d’information supplémentaires de la part de cette même APD.

Dans cet article, nous faisons le point sur les différents aspects à prendre en considération pour un site web conforme.

La création ou la révision du site web de votre agence

Réflexion sur la structure et vos objectifs

Si vous décidez de créer ou de modifier le site web de votre agence, il est important que vous réfléchissiez aux points suivants :

• Quels seront les utilisateurs de votre site web ?

• Des prospects qui recherchent une agence à qui confier leur bien immobilier pour le louer ou le vendre
• Des candidats acheteurs ou locataires à la recherche d’une bonne opportunité
• Des propriétaires d’un immeuble avec des parties en copropriété à la recherche d’un syndic
• Des propriétaires d’un immeuble à la recherche d’un régisseur pour gérer le bien à leur place
• Des travailleurs ou de potentiels travailleurs cherchant un employeur répondant à leurs valeurs

• Pour quelles raisons viendront-ils sur votre site ?
  • Chercher de l’information sur votre agence, vos services ou sur le secteur immobilier globalement (formalités, enjeux, conseils que vous donneriez dans une section blog)
  • Accéder à du contenu / une plateforme spécifique (demandant la création d’un compte utilisateur) pour marquer son intérêt pour un bien, programmer une visite, obtenir des informations sur leur dossier chez vous
  • Vous poser des questions (via un formulaire en ligne)
  • Être tenu au courant des actualités de votre agence et des nouveaux biens mis en location ou en vente (via une newsletter ou un flux RSS)
  • Postuler à un emploi
  • …

Une fois cela clarifié, vous aurez une meilleure compréhension des fonctionnalités dont vous aurez besoin.

Ces fonctionnalités nécessiteront très probablement que vous collectiez des informations concernant vos visiteurs, aussi appelées “données personnelles” auprès des différents utilisateurs lorsqu’ils visiteront votre site.

Impact des législations et des pratiques

Certaines données personnelles seront collectées via des cookies et autres technologies permettant de tracer l’utilisateur sur votre site => Allez à “Site web de votre agence immobilière et les cookies”

Pour toutes les autres données personnelles = > Allez à “Site web de votre agence immobilière et les données personnelles”

Votre site, comme tous les sites, vous impose aussi de respecter des obligations ou des bonnes pratiques n’ayant pas spécialement de lien avec les données personnelles => Allez à “Les incontournables pour tous les sites web”

Site web de votre agence immobilière et les cookies (EPrivacy)

Les cookies et autres traceurs

Les cookies sont de petits fichiers texte qui vont accéder à l’ordinateur, smartphone, etc. du visiteur de votre site web et qui vont collecter des informations.

Classiquement, les cookies peuvent être classés en familles, ce qui va :

• aider les visiteurs de votre site web à comprendre plus rapidement l’objectif global du cookie ;
• vous aider à déterminer si vous devez demander le consentement de votre visiteur avant de déposer ou lire le cookie.

Les cookies nécessaires

Pour permettre le fonctionnement du site ou permettre au visiteur du site d’utiliser les fonctionnalités qu’il a demandées.

On parle bien ici de la nécessité du point de vue du visiteur de votre site, pas de votre point de vue de gestionnaire du site.

Ex : sécurisation du site, gestion du consentement des cookies

Les cookies statistiques

Pour mesurer et analyser l’audience du site.
Ex : nombre de visites sur le site, identifier les pages les +/- visitées

Les cookies fonctionnels

Pour permettre une expérience conviviale et personnalisée (améliore la navigation sur le site).

Ex : intégration de contenu provenant d’une plateforme tiers.

Les cookies marketing

Pour présenter au visiteur des publicités ciblées sur ses centres d’intérêt présumés ou tenter de comprendre ses centres d’intérêt.

D’autres technologies (traceurs) peuvent permettre d’arriver aux même résultats et doivent donc respecter les mêmes règles.

En savoir plus sur les cookies et traceurs :

• sur le site de l’APD (autorité de protection des données belge)
• sur le site de la CNIL (autorité de protection des données française)
• notre article détaillé sur le sujet

Que devez-vous mettre en place par rapport aux cookies et traceurs (EPrivacy) ?

Afin de concrétiser votre obligation d’informer les visiteurs de votre site de la présence de ces technologies ainsi que la nécessité dans certains cas d’obtenir leur consentement, vous avez plusieurs outils à implémenter :

La bannière cookies

Ce bandeau qui apparait sur l’écran du visiteur de votre site vous permet :

• de lui communiquer un premier niveau d’information sur la présence de cookies et autres traceurs sur votre site ;
• de collecter le consentement si nécessaire via des boutons à activer (la bannière étant liée à votre plateforme de gestion de consentement).

Si votre fournisseur de bannière vous propose des boutons de consentement activés par défaut, sachez que ce n’est plus une pratique autorisée. Évitez aussi les éléments graphiques et autres techniques qui incitent de manière trompeuse à accepter tous les cookies.

Idéalement, cette bannière comporte un lien vers une politique de gestion de cookies (voire même vers la politique de protection des données – RGPD) et reste accessible facilement de n’importe quelle page du site internet (sans être intrusive).

La politique de gestion de cookies

Cette politique de gestion de cookies constitue le deuxième niveau d’information, dans laquelle vous devriez aborder les sujets suivants :

• Votre identité (en tant qu’organisme responsable du site et donc du dépôt des cookies / utilisation de traceurs) ;
• Pour chaque cookie / traceur
  • son nom
  • sa catégorie / famille
  • est-il essentiel ou non (consentement requis si non essentiel) ?
  • le ou les finalités / objectifs du dépôt de cookies / traceurs
  • combien de temps il reste sur le terminal (session, durée précise)

La plateforme de gestion de consentement

La plateforme de gestion de consentement, c’est l’outil qui vous permet de faire le suivi des consentements que vous avez obtenus ou non.

Elle vous permet donc, par exemple, de démontrer que vous avez bien obtenu le consentement d’un visiteur particulier à un moment T pour l’utilisation de certains cookies.

Site web de votre agence immobilière et les données personnelles (RGPD)

Les données personnelles et le RGPD

Une donnée personnelle, c’est toute information qui permet d’identifier directement ou indirectement un être humain.

Elle peut être :

• collectée via les cookies ;
• observée via les traceurs ;
• directement collectée via des formulaires que vous demandez aux visiteurs de votre site de compléter ;
• reçu d’autres organisations (administrations, ancien employeur du candidat travailleur, etc..) ;
• générée par vous (lorsque vous prenez des notes et tirez des conclusions en lien avec la personne).

Depuis 2018, le Règlement Général sur la Protection des Données (ou RGPD) a renforcé les obligations et les droits en lien avec l’utilisation des données personnelles. Il est donc crucial, si ce n’est pas déjà le cas, de modifier votre site en tenant compte de vos obligations en la matière.

Comme déjà énoncé, un site internet laissant apparaitre des infractions au RGPD est très facilement contrôlable par l’APD locale (l’administration compétente) ou par d’autres personnes intéressées (des associations de défense des droits des consommateurs, des activistes, etc.).

Si vous souhaitez éviter des sanctions (incluant de fortes amendes) et contribuer à protéger la vie privée des visiteurs de votre site (via une utilisation conforme de leurs données personnelles), s’intéresser au RGPD et à comment l’implémenter dans votre activité est donc indispensable.

La politique de confidentialité, une expression de votre obligation d’information

Une de vos obligations, en tant que “responsable du traitement” est d’informer les visiteurs de votre site sur votre intention de collecter et d’utiliser certaines de leurs données personnelles.

Pour cela, vous devrez établir un document appelé politique de confidentialité ou de vie privée. En vrai, choisissez le nom qui sera le plus évocateur pour vos visiteurs, il n’y a pas d’obligation légale à ce sujet.

La politique de confidentialité, son contenu

La liste des sujets à aborder

Voici les sujets que vous devrez aborder dans ce document :

Si les données personnelles n’ont pas été directement reçues de la personne : les catégories des données personnelles et comment elles ont été collectées.

Pour toutes les données personnelles (collectées directement ou non) :

• Identité et coordonnées du responsable de traitement (votre établissement)
• Coordonnées du délégué à la protection des données / DPD (si vous en avez un)
• Quels sont les droits que la personne peut exercer pour contrôler votre utilisation de ses données personnelles ? Comment peut-elle les exercer ?
• Spécifiquement, le droit pour la personne de faire une réclamation / porter plainte auprès de l’autorité de protection des données (en Belgique via www.autoriteprotectiondonnees.be)
• Pour chaque finalité (raison pour laquelle vous souhaitez utiliser ses données) :
• Quelle est la base légale qui justifie selon vous que vous pouvez utiliser les données personnelles ?
• Est-ce que la personne est obligée de fournir ses données ? Si elle ne le fait pas, quelles sont les conséquences ?
• Qui va recevoir les données personnelles au sein de votre organisation (quel département / fonction) et ailleurs (quelle autre organisation / administration qui serait responsable ou sous-traitant), pour effectuer quoi ?
• Combien de temps allez-vous conserver les données personnelles (durée précise ou critère objectif permettant d’évaluer cette durée) ?
• Les données sont-elles transférées dans des pays hors EU / accessibles depuis des pays hors EU ?
• Utilisez-vous le profilage ou une prise de décision complètement automatisée sur base des données personnelles que vous collectez ?

Ce document devra être accessible de n’importe quelle page de votre site internet.

=> Pour simplifier cet exercice, chez Admeet, nous avons décidé d’inclure dans notre solution de politique de vie privée une liste de finalités de traitement pré-encodées sur base des recommandations (référentiels sectoriels) des autorités de protection des données.

A quoi votre agence utilise-t-elle les données personnelles qu’elle collecte?

Dans la déclaration de confidentialité de votre site, vous devrez au minimum aborder les collectes et utilisations de données personnelles qui ont lieu via votre site, mais rien ne vous empêche d’y ajouter des traitements / utilisations de données qui ont lieu plus largement, dans les différentes activités de votre agence.

Fonctionnalités du site pour lesquelles vous devriez expliquer l’objectif d’utilisation

• inscription à une newsletter
• formulaire de question / prise de rendez-vous
• plateforme de suivi de dossier et autre partie réservée à des utilisateurs enregistrés
• possibilité de publier des photos ou de commenter
• cookies
• …

Exemples d’objectifs expliquant l’utilisation de données personnelles (via votre site ou plus globalement)

• Permettre la mise en location/vente des biens immobiliers (constituer les dossiers, publier les annonces sur divers plateformes, préparation de la visite du bien, …) ;
• Établir les dossiers des candidats acquéreurs / locataires pour présélection ou sélection finale ;
• Gestion de votre personnel ;
• Permettre le suivi en tant que syndic d’un bien en copropriété ;
• Promouvoir l’image de l’agence en laissant en ligne des biens récemment vendus (voir plus bas “un exemple de sanction prononcée à l’encontre d’une agence immobilière”, à ce sujet) ;
• …

Il vous sera alors facile de renvoyer vers le site internet pour informer les personnes concernées de ces autres utilisations de données.

La politique de confidentialité n’est que la porte d’entrée

L’obligation d’information n’est qu’une des obligations que vous devez respecter pour être en conformité avec le RGPD.

Ces obligations consistent en :

• le suivi de principes à respecter (vous permettant de déterminer si l’utilisation que vous décidez d’instaurer est conforme ou non) ;
• l’octroi de droits aux personnes dont vous souhaitez utiliser les données (droits qu’ils pourront choisir d’exercer et auxquels vous devrez répondre dans un délai de 30 jours) ;
• la mise en place d’outils et de procédures (multiples registres, documentation obligatoire incluant la politique de confidentialité, mesures de sécurité adaptées aux risques encourus par les personnes, évalués par une analyse d’impact relative à la protection des données).

Ces obligations sont applicables à toutes vos utilisations de données personnelles, celles qui sont liées aux fonctionnalités de votre site, mais pas uniquement.

Un exemple de sanction prononcée à l’encontre d’une agence immobilière

En 2022, l’APD a sanctionné une agence immobilière qui n’avait pas donné suite à une demande d’exercice de droit d’un acheteur.

L’agence avait laissé en ligne l’annonce concernant le bien acheté, sans avoir ni informé l’acheteur du bien de cette pratique, ni avoir obtenu son consentement (ou invoqué une autre base légale justifiant qu’elle avait le droit de le faire) et sans avoir fait le tri des données laissées à disposition du public.

Certaines données (adresse du bien, localisation via Google Maps, numéros d’identification des parcelles cadastrales) pouvaient être considérées comme des données personnelles (bien appartenant à l’acheteur) et n’étaient pas nécessaires à l’objectif de marketing poursuivi par l’agence.

L’agence a été condamnée à supprimer les informations (sur toutes les plateformes utilisées) et à notifier l’acheteur et l’APD une fois cela fait.

Les incontournables pour tous les sites web

Voici d’autres sujets à ne pas oublier quand vous travaillerez sur votre site internet (sans que cette liste soit exhaustive) :

Les “mentions légales”

Grâce à elles, votre visiteur sera capable d’identifier clairement qui est l’éditeur responsable des contenus mis en ligne sur le site et comment il peut contacter cet éditeur en cas de questions ou de problèmes (de manière plus globale).

Ces mentions sont :

• Nom de l’éditeur responsable du site
• Dénomination / forme de la personne morale
• Adresse siège social
• Adresse e-mail de contact
• Numéro d’entreprise “BE…” + RPM (ville d’inscription) si personne morale
• les coordonnées de l’hébergeur du site.

Vous pouvez également ajouter (pas obligatoire) :

• les liens vers vos conditions générales d’utilisation qui peuvent inclure :
  • une clause rappelant au visiteur que les contenus publiés sur le site sont protégés par le droit d’auteur et qui lui octroie éventuellement une licence d’utilisation (sous conditions) ;
  • une clause limitant la responsabilité de votre établissement en cas d’erreur dans le contenu ou le renvoi vers des sites ;
• rappeler les liens vers les politiques de confidentialité et de gestion de cookies.

La sécurité de votre site

Vous devez également vous assurer que vous mettez (ou demander à votre agence web) de mettre en place des mesures techniques pour protéger votre site et les données personnelles des visiteurs qui transitent par celui-ci.

Pour plus de détails, nous vous renvoyons

• à notre article sur les sites d’e-commerce.
• au guide de la sécurité des données personnelles publié par la CNIL et sa fiche n°9 “Sécuriser les sites web”

Les recommandations qui y sont mentionnées sont fournies par la CNIL (France) mais sont tout à fait pertinentes pour la Belgique.

Un site en conformité inspirant la confiance comme avantage concurrentiel

Le secteur immobilier est définitivement un secteur pouvant bénéficier d’informer les différentes personnes impactées de manière claire et transparente, afin de susciter la confiance et éviter les mauvaises surprises.

Que ce soit les visites de domicile, la publication de photos de l’intérieur sur une plateforme, la récolte de données pour constituer les dossiers, l’agence est amenée à collecter de nombreuses données personnelles.

Pour contribuer à nourrir cette confiance, construire et maintenir un site internet “en conformité” (notamment de la directive EPrivacy et du RGPD) est un passage incontournable.

Et comme vous le constatez, ce n’est pas un projet qui s’improvise.

Les enjeux sont importants que ce soit :

• pour votre agence (éviter les sanctions et vous positionner comme une agence qui prend soin de la vie privée aussi bien de ses clients propriétaires que des acheteurs et locataires) ;
• pour les utilisateurs de votre site (qui pourraient subir des impacts négatifs en cas de violation de données personnelles, les fameuses “fuites” de données).

Nous espérons que cet article vous aura permis de mieux saisir les différentes thématiques à mettre en œuvre.

Et si vous recherchez un partenaire pour vous accompagner dans ce projet, chez Admeet, nous vous proposons des outils de gestion de cookies et de politique de confidentialité facile à prendre en main, garantis 100% gain de transparence en toute conformité !