Avec la mise en application du RGPD en mai 2018, la CNIL l’avait annoncé : elle contrôlera en priorité les sociétés qui traitent un grand nombre de données sensibles. Les contrôles sur les agences immobilières et les pièces justificatives demandées ont donc représenté un quart des contrôles prévus. La Commission Nationale de l’Informatique et des Libertés avait remarqué que peu d’entre elles respectaient le décret entré en vigueur en novembre 2015 visant à limiter le nombre de pièces justificatives à fournir pour une demande de location.

Le RGPD est venu appuyer ce décret en rappelant que seule la collecte de données nécessaires au bon fonctionnement de l’activité d’une société est autorisée. Concrètement, cela signifie que les agences immobilières ne peuvent plus demander certains documents comme :

• la copie de la carte vitale ;
• la copie du relevé de compte ou attestation de l’absence de crédit ;
• le dossier médical ;
• un extrait de casier judiciaire ;
• un chèque de réservation ;
• le contrat de mariage ou jugement de divorce.

Au regard des autres données personnelles que les agences collectent, la CNIL reste particulièrement attentive au traitement qu’elles en font et veille à ce que les droits des consommateurs soient respectés. Cette stratégie se poursuit sur 2019 avec quelques nouveautés !

Le respect des droits des personnes sous les projecteurs

Dans son communiqué sur sa stratégie de contrôle pour 2019, la CNIL a annoncé vouer une attention particulière au respect du droit des personnes vis-à-vis de leurs données. Petit rappel de ces droits que vous devez respecter :

1.    Le droit à la portabilité des données

Le droit à la portabilité des données correspond à la possibilité pour un utilisateur de récupérer ses données personnelles sous un format lisible par une machine ; dans le but, par exemple, de les transférer sur un autre système d’information.

Pourquoi êtes-vous concernés : par exemple, si un de vos clients décide de changer de réseau d’agences immobilières, il doit pouvoir faire transiter facilement ses données d’un système à un autre. Cela suppose donc que vous ayez recours à des formats de traitement ouverts (c’est-à-dire : dont les spécifications techniques sont publiques et sans restriction d'accès ni de mise en œuvre). Vous devez par ailleurs être en mesure de communiquer ces données exploitables dans les 30 jours qui suivent la demande de restitution.

2.    Le droit à l’oubli

Cela signifie que vos clients peuvent exiger que vous supprimiez leurs données personnelles de vos bases, mais aussi que vous cessiez de les diffuser à des tiers.

Pourquoi êtes-vous concernés : ce point est délicat pour une agence immobilière puisque son activité repose sur l’exploitation de fichiers prospects sur le long terme. 
Le RGPD laisse tout de même la possibilité de conserver des données « non sensibles » utiles à la gestion de la relation client si vous obtenez son consentement.

Le client pourra aussi vous demander de supprimer ses données une fois que l’objectif commercial est atteint (achat, vente, location, etc.).

3.    Le droit à l’information en cas de piratage

Sur ce point, le RPGD est très clair, vous devez notifier vos clients dans les 72 heures qui suivent la découverte d’une fuite de données ! Il n’y a pas moyen d’y échapper sauf si vous avez mis en place des solutions de protections des données et que cette fuite ne met donc pas en péril la vie privée de vos clients.

Pourquoi êtes-vous concernés : une agence immobilière est amenée à collecter et traiter un grand nombre de données sensibles qui peuvent facilement devenir une cible pour les attaquants. Parce que ces données sont transmises à des prestataires qui ne sont pas forcément protégés ni formés, le risque de fuite est accru.

La responsabilité de l’agence et des sous-traitants particulièrement visée

Cette année, la CNIL a prévenu qu’elle mettrait l’accent sur la répartition des responsabilités entre le responsable du traitement et le sous-traitant. 

Concrètement, cela signifie que la CNIL vérifiera que les sous-traitants sont conformes au règlement. Elle vérifiera aussi que les responsables du traitement se sont assurés de la conformité de leur prestataire. La non-conformité d’un prestataire engagera donc la responsabilité du responsable de traitement.

Pourquoi êtes-vous concernées : dans l’immobilier, les intermédiaires qui ont accès aux données personnelles sont nombreux : agents commerciaux indépendants, bailleurs, propriétaires, portails d’annonces, etc. L’agence responsable du traitement des données doit donc impérativement s’assurer de la conformité de ces intermédiaires. À défaut, elle doit garantir la protection des données de ses clients en mettant en place des solutions comme le chiffrement des emails ou des fichiers qui contiennent des données sensibles.

Vous n’êtes pas sûr d’être conforme au RGPD ? Lisez notre article qui reprend les points les plus importants de votre mise en conformité.

Anonymisation, pseudonymisation ou chiffrement des données ?

Le RGPD parle de 3 solutions que vous pouvez mettre en place pour protéger vos données : le chiffrement, l’anonymisation et la pseudonymisation. Vous devez trouver une solution qui puisse garantir la confidentialité des données que vous traitez tout en répondant aux enjeux de productivité propres à votre secteur.

1.    L’anonymisation

L’anonymisation correspond au fait de transformer des données de façon irréversible afin de ne plus pouvoir identifier personnellement un individu. La base reste toutefois exploitable à des fins d’analyses statistiques (comme pour le marketing).

2.    La pseudonymisation

La pseudonymisation possède les mêmes finalités, mais le processus est réversible et permet donc de retrouver les données originales grâce à une table de pivot.

Cette table rend le processus risqué, car si elle fuite, par négligence ou malveillance, n’importe qui en sa possession pourra lire vos données.

3.    Le chiffrement

Reste le chiffrement qui permet un traitement qualitatif des données en protégeant leur accès sans les dénaturer ! Nous avons par ailleurs pensé notre solution pour qu’elle soit la plus simple d’utilisation en permettant :

• Le chiffrement de vos fichiers en 1 clic pour faciliter l’adoption des utilisateurs sans impacter leur productivité ;
• L’accès à vos fichiers chiffrés même aux individus qui ne sont pas client chez nous. Idéal donc, pour un secteur comme l’immobilier où les données transitent vers de nombreux prestataires ;
• La révocation des droits d’accès d’un utilisateur à vos données quand vous le souhaitez. Vous gardez donc la maitrise sur vos données même après qu’elles aient quitté l’agence.

Pour aller plus loin : consultez notre article sur le chiffrement en entreprise ou essayez Seald dès maintenant en cliquant sur l’image ci-dessous.

Better Seald than sorry.

Fin-article_Plan-de-travail-1-2