Aug
07
Les nouvelles obligations en matière de protection des données personnelles concernant les professionnels de l'immobilier

Les professionnels de l’immobilier par leurs activités sont détenteurs de données qui touchent à la vie privée notamment sur les locataires, propriétaires, copropriétaires, acquéreurs mais aussi leurs sous-traitants.

En conséquence ils doivent désormais se conformer au règlement général européen sur la protection des données personnelles (RGPD) applicable en vertu de la  LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.

Aux termes de l’article 3 du RGPD le traitement s’applique aux données à caractère personnel :

  1. effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union.

  2. relatives à des personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées :

a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes; ou

b) au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union.

  1. par un responsable du traitement qui n'est pas établi dans l'Union mais dans un lieu où le droit d'un État membre s'applique en vertu du droit international public.

Mise en place d’un responsable de traitement :

En vertu de l’article 4-7 du RGPD  est « responsable du traitement, la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. »

La responsabilité du responsable du traitement est définie aux termes de l’article 24 du RGPD :

  1. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.
  2. Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.
  3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou de mécanismes de certification approuvés comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des obligations incombant au responsable du traitement.

L’obligation de tenir un registre des traitements :

En vertu de l’article 30 du RGPD un registre des activités de traitement doit être tenu selon les termes suivants :

  1. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations  mentionnées aux termes de l’article 30.
  2. Ce  registre se présente sous une forme écrite y compris la forme électronique.
  3. Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l'autorité de contrôle  (la CNIL) sur demande.
  4. Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte notamment sur les catégories particulières de données visées à l'article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10 du RGPG.

Protection des données personnelles :

En vertu de l’article 5 du RGPD les données personnelles doivent être :

exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);

- conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);

- traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);

De même en vertu de l’article 28 du RGPD, lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

 

Ainsi, le responsable du traitement doit  prendre toutes les mesures nécessaires afin d’être en conformité avec le RGPD  car en cas de contrôle, car les manquements aux obligations légales peuvent aboutir à des sanctions très lourdes .

La nouvelle réglementation s’impose à toute entreprise, quelle que soit sa forme, sa nature, son activité économique, lucrative ou non, exercée ou non sur internet (RGPD, art. 4-18).

En effet, est visée toute « personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique ».

 La CNIL a publié un guide pratique pour l’application du RGPD disponible sur son site internet (www.cnil.fr/fr/un-nouveau-guide-de-la-sécurité-données-personnelles).

A noter que les sanctions administratives ont été considérablement augmentées.

La CNIL maintiendra des vérifications strictes  pour les principes fondamentaux déjà inscrits dans la loi informatique et libertés.

Guide la CNIL

L. n° 2018-493, 20 juin 2018 : JO, 21 juin

Règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

Ajouter un commentaire

Image CAPTCHA