RGPD : Comment Poliris traite le sujet des données personnelles ?

RGPD pour les professionnels de l’immobilier
visuel-page-rgpd_paragraphe1
Qu’est-ce que la réglementation RGPD et
quels sont les objectifs ?
Qu’est-ce que cela va changer pour les
agents immobiliers ?
Quel est le risque en cas de non-conformité ?
Que fait Poliris pour votre agence ?

La réglementation change, Poliris a mis à jour l’ensemble de ses solutions pour aider votre agence à se mettre en conformité RGPD.

visuel-page-rgpd_paragraphe2
Du changement ! Des évolutions dans nos solutions
visuel-page-rgpd_paragraphe3

Découvrez le détail des évolutions sur votre version de Périclès en téléchargeant votre guide utilisateur.

 

FAQ – Données personnelles dans l’immobilier

La RGPD signifie Règlement Général sur la Protection des Données. Il s’agit d’une règlementation votée par le Parlement européen le 27 avril 2016 qui renforce considérablement la protection des données personnelles dans les entreprises.

Le 25 Mai 2018 toutes les entreprises européennes et donc françaises devront être prêtes.

Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

(ex. : adresse IP, nom, n° d’immatriculation, n° de téléphone, photographie, éléments biométriques tels que l’empreinte digitale, ADN, numéro d’Identification Nationale Étudiant (INE), ensemble d’informations permettant de discriminer une personne au sein d’une population (certains fichiers statistiques) tels que, par exemple, le lieu de résidence et profession, sexe et âge,…).

Pour les données des agences, les principales données personnelles généralement traitées sont :

  • Nom, adresse, tel, fax, email pour les prospects, clients, prestataires
  • CV, Données personnelles des salariés et collaborateurs

Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

Exemple de traitements :

Fichier d’adresses, application informatique, base contacts, espaces numériques de travail, système d’enregistrement des conversations téléphoniques sur support numérique.

Ne sont pas concernés par la loi, les traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles (agendas électroniques, répertoires d’adresses personnelles, …).

Il devient obligatoire de nommer un DPD ou DPO ( Délégué à la protection des données ou DPO  en anglais – data protection officer) lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées.

La réglementation ne déterminant pas de façon plus précise la notion de «grande échelle», il est difficile de savoir quelles sont les agences qui auront cette obligation.

Il est toutefois recommandé d’avoir une personne référente au sein de l’entreprise.

1. Maîtriser ses données

L’agence est aux yeux de la réglementation responsable du traitement des données collectées sur les différents supports physiques ou numériques utilisés par l’agence.

Les sites web, les logiciels de transaction, de gestion, les outils de diffusion d’annonces, les outils comptables ou de gestion du personnel, sont autant de supports sur lesquels peuvent transiter des données personnelles.

L’agence , en qualité de responsable de traitement a donc pour obligation  de :

  • Nommer un référent (Délégué à la protection des données ou DPO en anglais – data protection officer) dans certains cas
  • Faire l’inventaire des données personnelles traitées et consigner cela dans un registre de traitement des données (pour cela un modèle est mis à disposition de la CNIL https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx). Vérifier les engagement des prestataires de l’agence et s’assurer que les contrats comportent une clause relative à la RGPD

2. Bien gérer ses données

L’agence , en qualité de responsable de traitement a aussi  pour obligation  de s’assurer de la bonne gestion des données personnelles qu’elle traite.

Pour cela, une vérification est nécessaire en interne ou auprès des prestataires pour garantir :

  • La limitation des données personnelles : Une donnée personnelle ne doit pas être collectée si elle n’est pas nécessaire
  • Les accès aux données personnelles : Tout accès à ces données doit être justifié
  • La conservation des données personnelles dont la durée ne doit jamais excéder le temps nécessaire à l’accomplissement de l’objectif poursuivit lors de leur collecte
  • La sécurité des données par des mesures techniques et organisationnelles prévues pour protéger les données
  • Les mesures en cas de vol ou perte de données qui présente un risque pour les personnes concernées : Il est obligatoire de consigner l’évènement, et le déclarer dans un délai de 72h à la CNIL.

La durée de conservation est variable et dépend de la nature des données et des finalités poursuivies.

Par exemple :

  • Les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans doivent être supprimées ou archivées avec accès restreint.
  • Les données de facturation doivent être conservées 10 ans
  • Les données relatives à gestion de la paie ou le contrôle des horaires des salariés peuvent être conservés 5 ans

La durée de conservation des données personnelles des prospects et clients est limitée dans le temps

Dans tous les cas , les données à caractère personnel relatives aux clients ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale.

  • Les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale (par exemple, à compter d’un achat, du terme d’un contrat de prestations de services ou du dernier contact émanant du client).
  • Les données à caractère personnel relatives à un prospect non client peuvent être conservées pendant un délai de trois ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect.

Au-delà de cette durée de 3  ans, les données doivent-être supprimées ou archivées avec accès restreint pour une durée maximum de 2 ans.

L’agence doit vérifier auprès de ses prestataires de la conformité de la collecte des données sur ses supports (site  public ou espace client par exemple).

Cette collecte doit-être transparente et basée sur le consentement éclairé et univoque :

  • L’information doit être visible, mise en évidence et complète.
  • Elle doit être rédigée en des termes simples et compréhensibles pour tout utilisateur.
  • Elle doit permettre aux internautes d’être parfaitement informés des différentes finalités de la collecte.

Cela concerne  :

  • Les cookies déposés sur le terminal de l’internaute.
  • Tout formulaire collectant de la données personnelles (formulaires de contact, d’estimation, de recrutement…).

Désormais « la protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental », peut-on lire à l’article 1 du règlement.

Les compétences de toutes les autorités administratives chargées du respect du règlement seront renforcées. Les « Cnil européennes » pourront infliger des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu.

1. Obligations

Le sous-traitant n’est pas responsable de traitement dans le cas par exemple de la mise en place d’un site web pour l’agence ou la mise à disposition d’un logiciel.

Cependant, des obligations incombent au sous-traitant :

  • Il doit protéger la sécurité et la confidentialité des données.
  • Il doit aider les responsables de traitement dans leur démarche permanente de mise en conformité de leurs traitements.

Il a donc l’obligation de fournir la possibilité à l’agence à travers les outils proposés de se mettre en conformité avec la réglementation.

2. Outils

Il sera nécessaire pour les agences de vérifier à minima les mises à disposition par le sous-traitant des fonctionnalités suivantes :

-Sur les support web  : des mentions adaptées sur les formulaires de collecte.

-Sur les emails envoyés par des sous-traitants : un lien de désabonnement permettant de ne plus recevoir d’email commerciaux de la part de l’agence.

-Sur les sms envoyés par des sous-traitants :  une fonctionnalité « stop sms ».

-Sur les logiciels fournis par les sous-traitants :

-Des outils permettant l’archivage et l’anonymisation des données personnelles quand nécessaire.

-Des outils permettant d’effacer et restituer les données personnelles des personnes exerçant leur «droit à l’oubli» et à la «portabilité».

-Des outils permettant de paramétrer les droits d’accès aux données.

-Des accès sécurisés de manière suffisante pour la protection des données.

En savoir plus sur RGPD et l’immobilier

visuel-article-blog_poliris-rgpd (1)

Que fait Poliris pour respecter la directive RGPD au sein de ses solutions ?

Découvrez les évolutions dans nos solutions

RGPD peut-être une bonne chose pour l’image de l’agence immo

Interview du DPO de Poliris et conseils pour les professionnels de l’immobilier

Check-list RGPD des actions à mener pour les professionnels de l’immobilier

Comment bien commencer pour se mettre en conformité RGPD ?