Immobilier et RGPD : les 11 choses à savoir
23 août 2024
Le RGPD, ou « Règlement Général sur la Protection des Données », a été un véritable séisme pour plusieurs secteurs d’activité. Depuis son entrée en vigueur le 25 mai 2018, ce texte de loi européen hautement contraignant a donné quelques sueurs froides aux professionnels de l’immobilier.
Il n’est pas aisé de comprendre sa complexité ni toutes les nouvelles obligations qui pèsent sur les agences immobilières et de nombreuses questions se posent :
- De quelles données personnelles parle-t-on ?
- En quoi le RGPD s’applique-t-il au secteur immobilier ?
- Que faire concrètement des données personnelles de vos prospects et de vos clients ?
- Que risquez-vous si vous ne respectez pas les règles imposées par ce texte ?
Pas de panique ! Vous trouverez ci-dessous, les 11 choses essentielles à savoir pour que le RGPD n’ait plus aucun secret pour vous.
#1 — En quoi le RGPD concerne l’immobilier ?
Le RGPD concerne toute entreprise, publique ou privée, qui procède à une collecte ou à un traitement de données personnelles. Le RGPD a une application territoriale, c’est-à-dire qu’il concerne toutes les entreprises établies dans un des pays de l’Union européenne.
Les agences immobilières, qui collectent de nombreuses données personnelles au quotidien, sont donc concernées par les obligations imposées par ce texte. En effet, pour pouvoir traiter avec vos clients et effectuer des opérations immobilières courantes, vous devez leur demander un certain nombre d’informations. Par exemple : nom, prénom, adresse email, numéro de téléphone.
#2 — Qu’est-ce qu’une donnée personnelle ?
Une donnée personnelle est toute information qui permet d’identifier une personne, comme : nom, prénom, date de naissance, adresse, numéro de téléphone, email, ses sources de revenus, ses identifiants ou ses mots de passe, etc.
En pratique, toutes les données que vous êtes amenés à collecter dans le cadre votre activité immobilière tombent sous le coup du RGPD. Qu’il s’agisse de prospection, vente, ou bien d’autres opérations immobilières.
#3 — Pendant combien de temps conserver les données personnelles de vos clients ?
Une fois que vous avez collecté des données concernant vos clients, vous ne pouvez pas les stocker indéfiniment dans votre base de données.
En raison de cas particuliers, prévus par d’autres textes de loi, le RGPD ne prévoit pas un délai de conservation unique pour toutes les données personnelles. Par exemple, l’obligation de conserver les bulletins de paie par l’employeur qui est de 5 ans.
En pratique, pour savoir combien de temps conserver les données recueillies auprès de vos clients et de vos prospects, vous devez déterminer cette durée vous-même, en fonction de la finalité de leur traitement. La CNIL (Commission nationale de l’informatique et des libertés) fait la distinction entre 3 situations :
- La phase de conservation en base active : c’est la durée nécessaire à la réalisation de votre objectif (finalité du traitement) pour lequel les données ont été collectées, par exemple, réaliser une vente immobilière.
- La phase d’archivage intermédiaire : elle concerne les dossiers clos, mais dont les données peuvent encore être utilisées ponctuellement (par exemple, pour gérer un contentieux ou pour répondre à une obligation légale ou une obligation de contrôle, même si la personne concernée n’est plus cliente).
- La phase d’archivage définitif : vous archivez alors définitivement les données dont vous ne vous servez plus.
Pour être sûr du respect de la réglementation et connaître les cas particuliers, vous pouvez consulter le Guide pratique de la CNIL sur la conservation des données.
#4 — Quelles sont les obligations de sécurité prévues par le RGPD ?
Collecter les données personnelles de vos prospects et de vos clients implique de vous assurer de leur sécurisation.
À ce propos, le règlement relatif à la protection des données prévoit deux sortes d’obligations. Elles s’appliquent à tous les professionnels de l’immobilier :
- Vous devez vous assurer de la conformité à la loi de votre système de collecte et de traitement des données. Pour dire les choses plus simplement, cela implique d’utiliser des logiciels immobiliers conformes. La conformité au RGPD est attestée par ses créateurs du logiciel.
- Vous devez informer la CNIL en cas de violation des données personnelles de vos prospects ou de vos clients (cela peut arriver notamment en cas d’un piratage informatique). Vous avez également l’obligation d’en informer les personnes concernées.
#5 — Le RGPD dans l’immobilier et l’obligation de transparence
Puisque le RGPD a été conçu pour protéger le consommateur et le traitement de ses données personnelles, il prévoit aussi quelques obligations en termes de transparence. Au moment de la collecte de ses données personnelles, vous devez donc informer l’utilisateur de :
- L’objectif pour lequel vous collectez et traitez ses données
- La base légale qui vous le permet (un texte de loi ou une clause contractuelle)
- Les informations sur les personnes amenées à traiter les données personnelles et si vous prévoyez de transférer ces données à l’étranger (en dehors de l’Union européenne).
- La durée pendant laquelle vous comptez conserver et archiver ses données.
Par ailleurs, vous devez centraliser toutes ces informations dans un registre et le tenir à la disposition de la CNIL. Celle-ci peut les consulter à tout moment. Ce registre consigne simplement la nature des informations collectées, mais pas leurs détails. En revanche, vous devez être en capacité de les fournir si la CNIL vous le demande.
#6 — Le consentement et le RGPD dans l’immobilier
Lorsqu’on parle du consentement dans le cadre du RGPD, il faut l’entendre comme un accord. Un accord de la part du prospect ou client de vous confier ses données personnelles. Mais le texte va plus loin : il n’exige pas un simple accord, mais un accord explicite et non équivoque. En pratique, cela veut dire que :
- vous devez informer l’utilisateur que vous collectez et traitez un certain nombre de ses données personnelles
- l’utilisateur doit donner son accord clair et non équivoque sur la collecte et le traitement de ses données.
Concrètement, lorsque vous collectez des informations via votre site internet comme, par exemple :
- le nom
- le prénom
- le numéro de téléphone
- l’adresse email
l’utilisateur doit donner son accord explicite via un formulaire clair. Il doit préciser qu’il a bien pris connaissance de la finalité du traitement de ses données.
En outre, le RGPD prévoit que l’accord doit être facilement vérifiable par un organisme de contrôle comme la CNIL.
#7 — Devez-vous nommer un Délégué à la protection des données (DPO) dans votre agence immobilière ?
Vous avez peut-être entendu parler de Délégué de protection des données. Son rôle est de faire le lien et faciliter le dialogue entre une entreprise qui traite les données personnelles et la CNIL. Est-ce que les agences immobilières sont concernées ? Et bien, la réponse de principe est non.
En pratique, un DPO ou Data Protection Officer doit être nommé dans les entreprises qui traitent les données dites sensibles (comme l’origine ethnique, l’orientation sexuelle ou la religion) ou dans les administrations et organismes publics.
L’écrasante majorité des agences immobilières ne collecte et ne traite pas de données sensibles. Elles n’a donc pas besoin de nommer un DPO.
#8 — Le RGPD et la pige immobilière
Contacter un particulier qui a mis son bien en vente ou en location est désormais un classique de prospection pour tout agent immobilier. Toutefois, comment le RGPD a-t-il impacté la pige immobilière ?
Certains particuliers ne souhaitent pas être démarchés par les agences immobilières, soit en le précisant directement dans l’annonce, soit en inscrivant leur numéro de téléphone sur le service Bloctel.
Dans ce cas, la loi est claire : l’article L.223-1 du Code de la consommation interdit à un professionnel, directement ou par l’intermédiaire d’un tiers, de démarcher par téléphone un consommateur inscrit sur une liste d’opposition au démarchage téléphonique, sauf en cas de contrat préexistant. Et la sanction est sévère : une amende de 75 000 euros en cas de non-respect de cette interdiction.
Pour être sûr de toujours respecter la réglementation sur la protection des données personnelles, en tant que professionnel de l’immobilier, vous pouvez recourir à un service comme Yanport qui classe les annonces immobilières en fonction des préférences des vendeurs d’être démarchés ou non.
#9 — Comment appliquer le RGPD dans les agences immobilières ?
Dans la mesure où les agents immobiliers travaillent avec de nombreux particuliers ou personnes physiques, le RGPD a impacté de nombreuses activités courantes des agences immobilières.
Voici donc les points de vigilance et comment vous mettre en conformité avec ce règlement européen :
- Listez précisément les cas dans lesquels vous avez besoin de collecter les données personnelles de vos prospects et de vos clients
- Identifiez les situations pour lesquelles vous devez vérifier et pouvoir prouver le consentement à la collecte et au traitement des données personnelles
- Mettez en place un système de recueil de ce consentement
- Assurez-vous que l’accès aux conditions d’utilisation et d’exploitation des données est simple, aussi bien pour l’utilisateur qu’en cas de contrôle.
Pour avoir une vision claire de toutes ces questions, vous pouvez réfléchir en termes de parcours utilisateur. Quelques questions à se poser : où et à quel moment collectez-vous ses données personnelles ? Avec qui les partagez-vous ?
Sachez que la plupart des logiciels immobiliers disponibles sur le marché sont désormais en conformité avec le règlement européen.
#10 — Quelles sont les sanctions en cas de non-respect du RGPD dans l’immobilier ?
En cas de non-conformité avec le RGPD, les sanctions sont sévères.
La CNIL, qui est aussi une autorité de contrôle, a le pouvoir d’infliger une amende allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires !
Toutefois, en cas d’entorse à la réglementation, sachez que la procédure se déroule en 4 étapes :
- D’abord, un avertissement
- Puis, une réprimande
- Ensuite, une suspension de système de traitement des données personnelles
- Enfin, une amende.
#11 — Quelles sont les dernières évolutions du RGPD dans l’immobilier ?
Depuis son entrée en vigueur, le règlement général sur la protection des données continue d’évoluer.
L’utilisation croissante de l’intelligence artificielle dans le secteur immobilier soulève de nouvelles questions en matière de transparence et d’explicabilité des algorithmes.
À ce titre, la Commission Nationale de l’Informatique et des Libertés (CNIL) a lancé, il y a un an, un plan d’action pour promouvoir une IA respectueuse des droits des personnes et sécuriser les entreprises dans leur application du RGPD. À l’occasion de la publication du règlement européen sur l’IA au Journal officiel de l’Union européenne, voici les grands points à retenir sur ce règlement :
- En vigueur depuis le 1er août 2024,
- Encadre l’utilisation de l’intelligence artificielle (IA) dans les pratiques professionnelles,
- Complète la règlementation RGPD.
Voici un tableau récapitulatif des spécificités du Règlement de l’Intelligence Artificielle et du RGPD :
RIA (Règlement sur l’IA) | RGPD | |
---|---|---|
Périmètre d’application | Conception, commercialisation et utilisation de systèmes d’IA | Traitement de données personnelles, incluant les systèmes d’IA utilisant ces données |
Parties concernées | Fournisseurs, déployeurs et distributeurs de systèmes d’IA | Responsables de traitement et sous-traitants, y compris ceux liés à l’IA |
Approche principale | Prévention des risques pour la sécurité et les droits via le contrôle des produits | Respect des principes fondamentaux et responsabilisation des acteurs |
Méthode d’évaluation | Auto-évaluation ou audit tiers via un système de gestion des risques | Documentation interne et outils de conformité (certifications, codes de conduite) |
Sanctions potentielles | Retrait du marché, rappel de produits, amendes jusqu’à 35M€ ou 7% du CA mondial | Injonctions de mise en conformité, restrictions de traitement, amendes jusqu’à 20M€ ou 4% du CA mondial |
Ce tableau récapitule les principaux points complémentaires et divergents entre le règlement européen sur l’IA et le RGPD.
Pour vous aider à rester informé des évolutions réglementaires, vous pouvez consulter ces différents sites :
- Le site de la CNIL : Cet organisme accompagne les professionnels dans leur mise en conformité avec le RGPD et met différents types de supports à votre disposition.
- Le site du Journal Officiel de l’Union Européenne : Le JOUE publie les actes juridiques de l’Union Européenne, y compris les règlements, directives et décisions. Vous pourrez suivre les nouvelles législations et directives européennes, notamment celles relatives à la protection des données et à l’intelligence artificielle, pour rester à jour sur les obligations légales.
- Les publications de cabinets d’avocats spécialisés en droit des données : Elles vous offrent des analyses, des conseils pratiques et des mises à jour législatives. Vous pouvez par exemple ajouter dans vos favoris : Walter Billet Avocats, Alerion Avocats et NTIC Conseils. Ces cabinets accompagnent les entreprises dans les domaines du droit des sociétés, et leur mise en conformité sur la protection des données personnelles.
Voilà, désormais vous connaissez l’essentiel sur l’application du RGPD dans l’immobilier.
Le quotidien de l’agent immobilier, c’est de porter plusieurs casquettes. Il n’est pas toujours aisé d’être sur tous les fronts, entre l’administratif, le juridique, le comptable… Si vous souhaitez vous décharger de tâches chronophages, sachez que Flatsy facilite le quotidien des agents immobiliers en leur proposant de confier les visites à des professionnels chevronnés ainsi qu’un service de prise de rendez-vous en ligne. Demandez votre démo ici !
Découvrez d’autres ressources thématiques