RGPD : mettez (vite) vos agences en conformité !
Le | Réseaux-franchise
Le nouveau règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Toutes les agences immobilières doivent désormais être capables de prouver que les données personnelles qu’elles utilisent ont été recueillies légalement et qu’elles les gardent bien sécurisées. Faute de quoi, elles risquent jusqu’à 20 millions d’euros d’amende ou 4 % de leur chiffre d’affaires mondial. Si vous n’avez pas encore procédé à votre mise en conformité, voici la marche à suivre
Désigner un délégué à la protection des données
Une agence est dans l’obligation de désigner un délégué à la protection des données seulement si un responsable de traitement gère régulièrement des données sensibles ou fait du suivi régulier et à grande échelle de données personnelles. « Beaucoup d’agences ne sont pas dans ce schéma. Mais nous conseillons de mettre en place un délégué à la protection des données dans les grandes agences parce que très souvent, le pilote va animer et sensibiliser à la protection des données et il sera à la fois en lien avec les autorités de contrôle comme la CNIL et les personnes concernées, qui voudront savoir ce qui est fait de leurs données, pourquoi elles sont traitées… » explique Jérôme Déroulez, avocat au barreau de Paris.
Faire un audit
« Pour mesurer concrètement l’impact du RGPD, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point », recommande la Cnil. Pour commencer, il faut donc se poser les bonnes questions. Comment prospectons-nous ? Comment récupérons-nous les données ? Quels types de données sont récupérées ? Où et comment sont-elles conservées ? Sont-elles partagées ? Qui les traite en interne ? Combien de temps les conservons-nous ? Existe-t-il un risque de violation des données ? Collectons-nous des données sensibles ? « Quand on s’intéresse à la situation matrimoniale, aux revenus, à la santé, il s’agit de données sensibles », précise Jérôme Deroulez.
Effectuer les mises à jour et gérer les risques
Le registre des traitements permet d’identifier les actions à mettre en place pour se plier au nouveau RGPD. « Les obligations concernent la modification des contrats quand les clauses relatives aux protections des données ne sont pas à jour, la modification des mentions légales sur un site internet, celle des conditions générales d’utilisation des données personnelles ainsi que les cookies » détaille Jérôme Deroulez. Il faut aussi faire le point sur les traitements nécessitant le consentement des personnes. Si les données n’ont pas été recueillies selon les conditions prévues par le règlement, il faudra demander aux personnes leur consentement pour pouvoir les conserver. Enfin, vous devrez identifier les traitements susceptibles d’engendrer des risques pour les droits et libertés des personnes concernées. Pour cela, il est recommandé de mener, pour chaque traitement, une étude d’impact. Si vous avez beaucoup à faire, « priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées », recommande la Cnil.
S’organiser et documenter
Pour être en mesure de montrer patte blanche en matière de données personnelles, la Cnil recommande de mettre en place des procédures internes qui garantissent la prise en compte de la protection des données ainsi que les éventuelles failles de sécurité, demandes de rectification d’accès, changement de prestataires… La documentation relative à la mise en conformité vis-à-vis du règlement doit également être constituée. Chaque action doit y être répertoriée. Un travail fastidieux qui peut sembler lourd mais qui peut aussi représenter une opportunité. « Parfois, les clients se rendent compte qu’il y a des données qu’ils n’utilisent pas et qui pourraient être utilisées autrement, estime Jérôme Deroulez. Quand vous avez des prospects et des clients réguliers, c’est également intéressant de leur dire que vous avez un usage responsable des données, qu’il y a une forme de traçabilité car il y a un effet vertueux dans les usages qui se répercute sur l’image d’une marque, d’un réseau, d’une agence. »
Elodie Buzaud