Agents immobiliers : comment vous conformer au RGPD en 6 étapes concrètes ?
Le RGPD est entré en vigueur le 25 mai dernier. Cette nouvelle règlementation sur la protection des données vient s’appliquer à toutes les entreprises et toutes les organisations manipulant les données de résidants européens. Les agents immobiliers n’y échappent pas. Ils doivent donc se plier aux diverses obligations imposées par le RGPD en matière de protection de données. Voici 6 étapes concrètes pour vous mettre en conformité.
1-Désigner un Délégué à la Protection des Données (DPO)
Le DPO a pour principale mission de garantir le respect du RGPD. Il joue également le rôle d’interlocuteur avec la CNIL, l’autorité de contrôle. Au sein de l’entreprise, c’est à lui qu’on s’adresse pour toutes les questions relatives à la mise en conformité conformément à son rôle de conseiller. Malgré tout cela, les rôles et les missions du DPO restent très larges. C’est pour cette raison que la personne qui doit occuper cette fonction doit avoir des compétences très étendues dans le domaine juridique, informatique et administratif. Si vous avez du mal à trouver la perle rare, vous pouvez recourir au service d’un prestataire externe, un DPO externalisé, ou partager un DPO avec d’autres entreprises, un DPO-mutualisé.
2-Réaliser une cartographie de l’ensemble de vos traitements de données à caractère personnel
La mise en place d’un plan d’action de mise en conformité efficace doit commencer par la réalisation d’un inventaire de l’ensemble de vos traitements. Chacun des traitements doit être identifié et porté dans un registre des traitements. Parmi les informations qu’il faut y insérer :
- Les coordonnées du responsable du traitement ;
- Les informations sur les personnes ayant accès aux données ;
- Les catégories de destinataires ;
- Les catégories de données ;
- Les finalités des traitements ;
- La durée de conservation des données ;
- Les mesures de protection mise en place pour garantir la sécurité et la confidentialité
- …
Le registre des traitements doit être mis à jour le plus régulièrement possible.
3-Identifier les actions à mener et gérer les risques
Grâce au registre des traitements, il est possible d’identifier les actions à mettre en œuvre pour se conformer au RGPD. À partir de maintenant, pour être légal, chacun de vos traitements doit répondre à diverses conditions :
- Consentement des personnes concernées ;
- Nécessaire au respect d’une obligation légale ;
- Nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ;
- Nécessaire à l’exécution d’une mission d’intérêt public ;
- Légitimité du Responsable de traitement…
Une fois que les fondements de chacun de vos traitements auront été identifiés, il faudra avant tout se concentrer sur les traitements qui nécessitent le consentement des personnes concernées. Il est important de s’assurer que le consentement ait été recueilli dans les conditions prévues par le RGPD. C’est-à-dire, s’assurer que le consentement ait été donné de manière éclairée et libre. Dans le cas contraire, vous devrez recueillir une deuxième fois le consentement des personnes.
Le RPGD vient mettre fin à certaines pratiques comme : le clic qui vaut acceptation, les transferts des données à des partenaires, la case pré-cochée… Il impose également la révision des conditions générales d’utilisation.
4-Réviser votre politique de confidentialité, vos mentions légales, vos CGU et votre politique de gestion des cookies
Le RGPD vous impose de revoir la politique de confidentialité, vos mentions légales et vos CGU. Ce travail est laborieux et nécessite d’avoir recours à un juriste. Pour ce qui est des cookies, faites l’inventaire de chacun d’entre eux dans un tableau en y consignant le nom, la nature, la finalité et la durée de conservation.
En ce qui concerne les cookies (cookies servant à l’analyse comportementale), veillez à toujours donner aux internautes qui accèdent à votre site la possibilité de les accepter ou de les refuser. N’oubliez également pas l’option qui permet de personnaliser les cookies.
Pour les mentions légales, rendez-vous sur le site de la CNIL pour trouver des mentions légales types. Vous y trouverez également des solutions pour recueillir le consentement à intégrer sur votre site. Et pour rassurer les internautes, nous vous conseillons de concevoir une charte de « Protection de la vie privée », facilement accessible par l’internaute lorsqu’il navigue sur votre site.
5-Réviser les clauses de ses contrats
Le RGPD ne s’applique pas seulement à vous. Vos collaborateurs, vos prestataires, vos sous-traitants, votre hébergeur, votre comptable, bref toutes les personnes et entreprises travaillant avec vous doivent également s’y soumettre. C’est la raison pour laquelle il faudra réviser les clauses de vos différents contrats.
Le RGPD prévoit des clauses obligatoires qui, en cas d’omission, peuvent entrainer des sanctions financières importantes pouvant atteindre les 10 000 000 d’euros ou 2% du chiffre d’affaires annuel mondial.
6-Concevoir une documentation de conformité
L’une des plus grandes particularités du RGPD c’est la responsabilisation des entreprises. Ces dernières doivent respecter le principe d’ « accountability » qui oblige à prouver la conformité au règlement. Pour ce faire, il faudra créer un dossier contenant plusieurs documents :
- Des mesures techniques et organisationnelles mises en place pour protéger les données des personnes concernées ;
- Les documents relatifs aux traitements de données : registre des traitements, contre-rendu d’analyse d’impact, cartographie des traitements… ;
- La procédure à suivre pour informer les personnes : bandeau cookies, procédure de recueil du consentement, modalités d’exercice des droits des personnes… ;
- La documentation relative aux rôles et responsabilités de tous les acteurs impliqués dans les traitements : contrats avec les fournisseurs, contrats avec les sous-traitants, contrats avec les collaborateurs… ;
- La documentation relative à la sensibilisation / formation