Le RGPD impose aux personnes physiques et morales qui traitent des données personnelles de respecter diverses obligations et
les agences immobilières et les agents immobiliers, dans le cadre de leurs fonctions, recueillent et traitent un grand nombre de données personnelles. Ils interviennent le plus souvent comme responsable de traitement des données personnelles qu’ils collectent et doivent en conséquence assurer la conformité de leurs traitements.
Les obligations RGPD générales applicables dans le cadre de l’activité d’agent immobilier
Règles applicables lors de la collecte de données personnelles
Les agents immobiliers interagissent fréquemment avec divers interlocuteurs, en particulier les vendeurs et les acheteurs de biens immobiliers. Lorsqu’un vendeur mandate un agent immobilier pour la vente de son bien ou qu’un acquéreur confie un mandat de recherche à un agent immobilier, ce professionnel recueille des données personnelles qu’il renseigne dans des bases de données, logiciels métiers ou fiches clients.
Les données collectées couvrent tant les données personnelles des vendeurs et des acquéreurs (état civil, contact, adresse électronique, téléphone, données bancaires…) que des données relatives aux caractéristiques des biens faisant l’objet de la vente ou de l’achat (code postal, ville, adresse, prix et autres critères et caractéristiques…).
En effet, ces données peuvent être considérées comme des données à caractère personnel lorsqu’elles sont directement ou indirectement liées ou peuvent être reliées à une personne physique identifiée ou identifiable. Par exemple, un acheteur peut être identifié grâce à :
- Ses préférences : telles que le code postal et la ville où il souhaite établir sa résidence ;
- Ses habitudes de vie : la proximité d’un certain lieu de culte peut être une caractéristique dans le choix des biens, ce qui peut refléter une conviction religieuse ;
- Sa situation financière : le prix des biens peut donner une idée du capital personnel de l’acheteur ;
- Sa vie familiale : La proximité d’une école ou d’un lycée peut être un critère dans le choix des biens, révélant ainsi des informations sur la situation familiale de l’acheteur.
Un aperçu rapide des différentes catégories de données personnelles que l’agent immobilier peut recueillir et traiter dans le cadre de son mandat démontre comment ces données peuvent être utilisées pour identifier ou déduire des informations sur les personnes.
Règles applicables lors des traitements ultérieurs de données
Le RGPD impose des règles strictes (article 28 RGPD) concernant le traitement ultérieur des données personnelles par les sous-traitants qui agissent au nom et pour le compte du responsable de traitement initial tels que les agences immobilières ou les agents immobiliers.
Le sous-traitant qui peut être un agent commercial en immobilier est tenu de suivre scrupuleusement les instructions documentées fournies par le responsable de traitement qui définissent les modalités et les finalités du traitement. Le sous-traitant doit :
- Traiter les données personnelles sur instruction documentée et écrites du responsable de traitement ;
- S’assurer que les personnes autorisées au traitement des données s’engagent à la confidentialité ou soient légalement tenues à cette obligation ;
- Prendre les mesures requises pour assurer la sécurité et la protection des données conformément à l’article 32 du RGPD ;
- Respecter les conditions nécessaires pour engager un autre sous-traitant, comme défini aux paragraphes 2 et 4 de l’article 28 du RGPD ;
- Aider le responsable de traitement dans la mesure du possible à répondre aux demandes des personnes concernées pour l’exercice de leurs droits, en utilisant des mesures techniques et organisationnelles appropriées.
- Collaborer avec le responsable du traitement pour garantir le respect des obligations définies aux articles 32 et 36 du RGPD.
- Selon la préférence du responsable de traitement, supprimer ou renvoyer toutes les données après la prestation de service et détruire les copies existantes, sauf obligation légale de conservation ;
- Mettre à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations du RGPD et faciliter les audits, y compris les inspections par le responsable de traitement.
Le sous-traitant ne peut en aucun cas utiliser les données pour ses propres besoins sans autorisation explicite.
Focus sur les obligations en termes de sécurité des données
Le RGPD impose également des obligations strictes en matière de sécurité pour garantir la protection des données personnelles. Ces obligations font particulièrement défaut dans la majorité des sanctions prononcées par la CNIL.
La prise de mesures techniques et organisationnelles par une agence immobilière et par ses sous-traitants agents commerciaux est essentielle pour garantir un niveau de sécurité adapté au risque. Cela peut inclure la pseudonymisation et le chiffrement des données, garantir la confidentialité, l’intégrité, la disponibilité des données, mais aussi l’intégrité des systèmes de traitement. En pratique, les bases de données contenant des données à caractère personnel sont utilisées par les agences immobilières et par leurs agents commerciaux en immobiliers de sorte que ces dernières devraient bénéficier d’accès sécurisés avec habilitation. Ainsi, un agent commercial en immobilier ne devrait avoir accès qu’aux seules données personnelles de clients qui intéressent ses activités contractuelles avec l’agence immobilière.
Il existe d’autres enjeux spécifiques en ce qui concerne la protection des données à caractère personnel, comme garantir un accès sécurisé aux données ou notifier les violations de données et le suivi de ces dernières. Par exemple, une violation de données personnelles peut survenir lorsqu’un agent commercial en immobilier se fait dérober un ordinateur professionnel non sécurisé par un mot-de-passe et sur lequel il est possible d’accéder à une base de données clients ou lorsqu’un envoi de mail contenant des données particulièrement sensibles (ex : données bancaires) a été communiqué au mauvais destinataire.
En effet, en cas de violation de données personnelles susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées, il est obligatoire de notifier la violation à l’autorité de contrôle compétente dans les meilleurs délais (48h) et si possible dans les 72h après en avoir pris connaissance.
En outre, il faudra être capable de démontrer sa mise en conformité à l’égard des normes sur la protection des données en établissant une documentation étoffée. Cette dernière comprend des éléments relatifs aux violations de données, aux obligations de sécurité, doit comprendre un registre des activités de traitement, mais doit aussi permettre de démontrer la mise en place de politiques et de procédures internes appropriées notamment en matière d’évaluation de la conformité.
Transfert de données en dehors de l’UE
Le RGPD assure une protection continue des données personnelles, indépendamment de leur localisation géographique, même lorsqu’elles sont transférées vers des pays tiers à l’Union européenne (ex : Royaume-Uni, Canada, Corée du Sud, Australie…).
Pour encadrer ces transferts, le RGPD propose différents outils :
- Les pays tiers jugés adéquats en matière de protection des données peuvent bénéficier d’une décision de la Commission européenne, facilitant le transfert sans exigences supplémentaires ;
- En l’absence de décision de la Commission, les transferts peuvent se faire via des garanties appropriées telles que les règles d’entreprises contraignantes, les clauses contractuelles…
- En dernier recours, des dérogations pour des situations spécifiques permettent les transferts, notamment avec le consentement explicite de la personne concernée après avoir reçu l’ensemble des informations nécessaires, notamment sur les risques associés.
Cette approche garantit que les données personnelles transférées à l’étranger bénéficient d’un niveau de protection adéquat, conformément aux exigences du RGPD, assurant ainsi la confidentialité et la sécurité des données des personnes.
Obligations RGPD des agents immobiliers
Les obligations RGPD de l’agent immobilier recouvrent :
- Le respect des principes de licéité, loyauté et de transparence dans le traitement des données en ayant notamment recours à une base légale pertinente telle que le contrat avec le vendeur ou acquéreur ou le consentement en ce qui concerne d’éventuels prospects ;
- La collecte des données personnelles uniquement pour des finalités déterminées, explicites et légitimes, avec pour obligation de ne pas traiter ultérieurement ces données de manière incompatibles avec ces finalités.
- Veiller à ce que les données soient exactes et tenues à jour. De plus, l’agent immobilier devrait être vigilant en respectant le principe de minimisation qui veut qu’il ne collecte que les données nécessaires et pertinentes pour atteindre des finalités spécifiques ;
- La conservation des données pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont traitées ;
- La protection et sécurisation des données personnelles ;
- La capacité à démontrer la conformité aux obligations en matière de protection des données ;
- Le respect des droits des personnes concernées, notamment en matière de prospection auprès de vendeurs ou acquéreurs qui souhaitent exercer leur droit d’opposition ;
- La coopération avec les autorités de contrôle ;
L’information des personnes concernées de manière transparente et claire sur le traitement de leurs données personnelles en fournissant l’identité du responsable de traitement, les finalités de traitement, les destinataires des données et les droits des personnes concernées.
RGPD et recours à des agents commerciaux en immobilier : Quelles conséquences ?
Appel à un agent commercial en immobilier
Dans le cadre de leurs fonctions, les agences immobilières et les agents immobiliers font parfois appel à des agents commerciaux en immobilier, qui sont des travailleurs indépendants ou mandataires agissant au nom et pour le compte de ces derniers.
Ces agents commerciaux en immobilier, (mandataire) agissant au nom et pour le compte de l’agent immobilier (mandant) et peuvent être considérés comme des sous-traitants conformément aux dispositions du RGPD.
Dans le cadre de leur mandat, les agents commerciaux sont amenés à collecter/traiter des données à caractère personnel, et notamment au travers de fiches clients ou de logiciels métiers, dans lesquels ils renseignement notamment des informations comme l’état civil, les moyens de contact, l’adresse, mais aussi d’autres informations comme le statut matrimonial.
Quelles conséquences ?
Lorsqu’ils font appel à des agents commerciaux, qu’il s’agisse d’une agence immobilière ou d’un agent immobilier, ces derniers doivent prendre en considération le cadre et les modalités de traitement des données personnelles effectués par l’agent commercial. Ainsi, ils doivent fournir à ces agents des instructions documentées conformément à l’article 28 du RGPD, afin qu’ils puissent traiter les données personnelles en leur nom et pour leur compte.
Les fiches clients et logiciels métiers sont des outils intéressants pour garantir la conformité au RGPD, car ils permettent de formaliser la collecte des données personnelles par les agents commerciaux. De plus, ces dispositifs de collecte assurent le respect du principe de minimisation des données personnelles, qui implique de collecter les seules données nécessaires pour atteindre des finalités spécifiques, en déterminant les données personnelles à collecter de manière préétablie.
Chaque dispositif devrait être sécurisé. Par exemple, pour les fiches clients, il existe un risque de perte, tandis que pour les logiciels métiers, il y a un risque éventuel d’accès à des bases de données clients beaucoup plus étendus. Dans ce dernier cas, il serait judicieux de mettre en place des accès au logiciel avec des mots de passe robustes et prévoir une politique d’accès afin de prévenir toute violation de données.
De manière générale, l’agence immobilière ou l’agent immobilier, en tant que responsable de traitement des données, devrait mettre en place l’ensemble des mesures décrites à l’article 28 du RGPD (voir supra), qui encadrent les traitements de données effectués par un sous-traitant agent commercial. Ces dispositions incluent la possibilité pour le responsable de traitement de réaliser des audits et inspections auprès de l’agent commercial, des mesures de sécurité des données, des exigences de confidentialité, ainsi que des directives concernant le renvoi et/ou la suppression des données une fois la prestation terminée.