Un communiqué de presse de la Fédération bancaire française a annoncé la mise en place, de février à fin décembre 2024, d'un dispositif d'accompagnement destiné aux clients ayant éprouvé des difficultés à concrétiser leurs projets immobiliers.
27.07.2018
Immobilier
Les administrateurs de biens, syndics et agents immobiliers par leurs activités sont détenteurs de données qui touchent à la vie privée, en conséquence ils doivent désormais se conformer au règlement général européen sur la protection des données personnelles (RGPD) applicable depuis le 25 mai 2018.
Le règlement général sur la protection des données du 27 mai 2016, visé sous l’acronyme RGPD, issu du Parlement européen, vient d’entrer en vigueur 2 ans plus tard, le 25 mai 2018. Le délai de 2 ans devait permettre à tous les acteurs de se préparer à l’application de la nouvelle réglementation (Règl. (UE) 2016/679 du Parlement européen et du Conseil, 27 avril 2016, art. 99 : JOUE n° L 119, 4 mai). Pour permettre la mise en œuvre du règlement, la loi française du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés a été modifiée par la loi du 20 juin 2018 relative à la protection des données personnelles (L. n° 2018-493, 20 juin 2018 : JO, 21 juin). Les professionnels de l’immobilier qui détiennent de multiples données à caractère personnel notamment sur les locataires, propriétaires, copropriétaires, acquéreurs mais aussi sur leurs collaborateurs ou sous-traitants sont tous concernés par ces textes et doivent intégrer la gouvernance des données personnelles au sein de leur politique générale et de leur fonctionnement au quotidien.
La loi du 20 juin précise que le gouvernement est autorisé à prendre dans un délai de 6 mois suivant la promulgation de la loi, une ordonnance pour procéder à la réécriture de l’ensemble de la loi Informatique et libertés dans un souci de clarté et d’intelligibilité (L. n° 2018-493, 20 juin 2018, art. 32). Le chantier législatif n’est donc pas encore totalement achevé.
La gestion immobilière regroupe un ensemble de concepts juridiques et financiers appliqués aux immeubles (au sens juridique du terme). La gestion immobilière se rapproche de la gestion d’entreprise dans la mesure où les investissements réalisés vont générer des revenus, différents lois et règlements issus de domaines variés du droit venant s’appliquer selon les opérations envisagées.
Si la protection des données personnelles vise à protéger la vie privée du citoyen, il s’agit par ce texte européen de mieux protéger les données au regard de l’évolution des usages numériques tout en facilitant leur libre circulation au sein du marché intérieur. Le texte veut susciter la confiance qui permettra à l’économie numérique de se développer (RGPD, art. 7).
Le droit français était, jusque-là, régi sur cette question par la loi Informatique et libertés n° 78-17 du 6 janvier 1978 qui avait été modifiée à l’occasion de la transposition de la directive 95/46/CE du 24 octobre 1995. Largement pionnier en la matière, le droit interne n’avait été influencé qu’à la marge par la directive. Avec le RGPD, le cadre juridique en matière de protection des données personnelles est totalement réformé pour les 28 États membres.
Même si les professionnels de l’immobilier n’exercent pas à titre principal une activité de traitement des données, ils collectent et traitent cependant de nombreuses données personnelles. Quelle que soit leur qualité, agent immobilier, syndic (professionnel ou bénévole) de copropriété, administrateur de biens, promoteur immobilier ou encore notaire, tous sont conduits dans le cadre de leurs activités à traiter des données personnelles. Ces dernières concernent leurs propres collaborateurs et salariés, mais également des données des prestataires intervenant dans l’immeuble et autres mandataires ou clients selon les activités exercées. Ainsi, la gestion d’un immeuble implique la tenue de fichiers relatifs à la copropriété et aux copropriétaires, et des traitements de données personnelles concernant les salariés du syndicat. Plus largement, divers aspects de leur activité impliquent nécessairement le traitement de données à caractère personnel (relations avec les clients, les notaires, leurs salariés, voire leur communication publicitaire, etc.). A ce titre, les professionnels de l’immobilier confrontés à un nombre croissant de données à traiter doivent veiller à ce que les données personnelles soient utilisées en toute légalité au regard du nouveau dispositif du RGPD.
Les traitements réalisés au sein des entreprises ne sont pas les seules visés par le règlement. Les contrats passés par l’entreprise doivent aussi être examinés, tant à l’égard des clients, des prestataires que des sous-traitants. En effet, le RGPD renforce considérablement les informations dues à la personne concernée, ce qui implique de revoir les clauses des contrats afin de respecter la très longue liste de mentions désormais prévues (RGPD, art. 13 et 14). Il est aussi indispensable de revoir les contrats passés avec les sous-traitants puisqu’un contrat écrit est nécessaire et qu’il doit indiquer les nouvelles obligations mises à la charge du sous-traitant (u RGPD, art. 28). De la même manière, les entreprises dotées d’un site internet doivent adapter les mentions légales et les conditions mises en ligne, et veiller également à ce que la politique de gestion des cookies soit conforme au nouveau dispositif.
Le RGPD conforte les principes fondamentaux déjà consacrés par le droit européen et par la loi française Informatique et libertés du 6 janvier 1978. Toutefois, la philosophie du système est entièrement réformée au profit d’une logique de responsabilisation des acteurs, les responsables et leurs sous-traitants, afin notamment de réduire les formalités administratives. Le système des déclarations et autorisations préalables auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) qui permettait un contrôle a priori n’est plus : la logique administrative se voit remplacée par un contrôle a posteriori des entreprises. Ce contrôle est exercé par le régulateur national, à savoir en France par la CNIL. Les entreprises doivent pouvoir établir le respect du RGPD à tout moment du cycle de vie des données. Ainsi, faut-il prendre toutes les mesures nécessaires afin d’être en conformité avec le RGPD et être en mesure de le prouver en cas de contrôle, car les manquements aux obligations légales peuvent aboutir à des sanctions très lourdes (v. in fine « Sanctions renforcées de la CNIL »).
Par ce changement d’approche, la protection des données personnelles doit être intégrée dès la phase de conception de tout service ou de tout produit traitant de données personnelles : il faut prévoir la protection de la vie privée dès la conception (concept du « privacy by design »). Les acteurs ont des responsabilités plus lourdes et leurs obligations sont renforcées (v. ci-dessous « Renforcer l'obligation d'information et de transparence à l'égard des personnes concernées »). Parallèlement, la protection des personnes concernées est plus importante.
Les responsables de traitement, mais aussi désormais leurs sous-traitants, sont visés par le RGPD dans un souci de responsabiliser l’ensemble des acteurs impliqués dans le processus. La nouvelle réglementation s’impose à toute entreprise, quelle que soit sa forme, sa nature, son activité économique, lucrative ou non, exercée ou non sur internet (RGPD, art. 4, 18). En effet, est visée toute « personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique ». Par conséquent, l’ensemble des professionnels du secteur immobilier sont touchés par la réglementation, y compris le syndic de copropriété qui exerce à titre bénévole.
Dans le cadre de la gouvernance des données personnelles, le responsable de traitement est la personne qui détermine les finalités et les moyens du traitement (RGPD, art. 4, 7). Ce dernier doit alors mettre en œuvre les mesures appropriées pour garantir « un niveau de sécurité adapté au risque » (RGPD, art. 24 et s. et art. 27 et s.), et être en conformité avec les obligations nouvelles découlant du règlement. L’autonomie dont dispose l’entreprise dans la mise en œuvre des traitements, qu’il s’agisse de leur finalité ou de leurs modalités de mise en œuvre, suffit à conférer la qualité de responsable de traitement. Cela sera alors le cas du syndic qui bénéficie de cette autonomie en matière de traitements alors qu’il agit pour le compte du syndicat des copropriétaires.
L’entreprise qui agit sur instruction d’une autre personne, par exemple un prestataire agissant sur ordre d’un syndic ou encore une entreprise de gestion des salaires, aura la qualité de sous-traitant. La responsabilité du sous-traitant peut être engagée en cas de manquements dans les mêmes conditions que celle d’un responsable de traitement, s’il n’a pas respecté ses obligations ou s’il a agi « en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci » (RGPD, art. 82). En cas de contentieux, une « coresponsabilité » des deux acteurs est possible. Il faudra donc que l’entreprise intègre dans son choix de sous-traitant la protection des données personnelles et s’assure que le sous-traitant choisi soit lui-même en conformité avec le RGPD.
Seules les entreprises de plus de 250 salariés ont l’obligation de tenir un registre des traitements de données personnelles (RGPD, art. 30). Cependant, celles de moins de 250 salariés sont aussi visées si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données, à savoir les données sensibles et les données relatives à des condamnations pénales. Pour les entreprises non visées par cette obligation, il faut préconiser la tenue d’un tel registre car il facilitera la mise en œuvre de la conformité et sa démonstration en cas de contrôle de la CNIL.
La tenue à jour d’un registre des traitements s’effectue sous la responsabilité du responsable de traitement, mais aussi du sous-traitant (v. ci-dessus). Le registre est tenu à disposition de la CNIL.
En cas de risques spéciaux pour les droits et libertés des personnes, une analyse d’impact des traitements envisagés est nécessaire afin de faire apparaître les caractéristiques du traitement, les risques et les mesures adoptées. Cela concernera notamment les traitements portant sur des données sensibles (RGPD, art. 35).
Un communiqué de presse de la Fédération bancaire française a annoncé la mise en place, de février à fin décembre 2024, d'un dispositif d'accompagnement destiné aux clients ayant éprouvé des difficultés à concrétiser leurs projets immobiliers.