La Checklit RGPD : tout ce qu’il faut savoir

    Agent Immobilier Juridique Les dossiers de la rédaction Marketing

    Le rgdp

    La Checklit RGPD : tout ce qu’il faut savoir

    13/06/2018 immobilier Blog 152 Pas de commentaire
    Le règlement no 2016/679, dit règlement général sur la protection des données (RGPD, ou encore GDPR, de l’anglais General Data Protection Regulation), est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne.

    Voici une checklist que vous pouvez appliquer à votre agence immobilière pour savoir si vous rentrez dans le champ d’application du RGPD et quelles sont les mesures à prendre :

    LE RGPD ET LE FONCTIONNEMENT DE LA STRUCTURE

    1)    Ma structure (entreprise) détient-elle des données personnelles ?

    1. a) oui

    Elle en détient forcément, puisque la seule exception à l’application du RGPD concerne les données de votre répertoire téléphonique personnel. En effet, il s’applique à tous les traitements de données à caractère personnel de citoyen européen.

    1. b) non

    Elle en détient forcément, puisque la seule exception à l’application du RGPD concerne les données de votre répertoire téléphonique personnel. En effet, le RGPD s’applique à tous les traitements de données à caractère personnel de citoyen européen. À titre d’exemple, le numéro de sécurité sociale « est » une donnée personnelle (de surcroît considérée comme sensible) puisqu’il est unique et permet d’identifier un individu de manière certaine.

    1. c) ne sais pas

    Elle en détient forcément, puisque la seule exception à l’application du RGPD concerne les données de votre répertoire téléphonique personnel. En effet, le RGPD s’applique à tous les traitements de données à caractère personnel de citoyen européen. À titre d’exemple, le numéro de sécurité sociale « est » une donnée personnelle (de surcroît considérée comme sensible) puisqu’il est unique et permet d’identifier un individu de manière certaine.

    2)    Sous quelle forme sont détenues ces informations ?

    1. a) sur des fichiers papier
    2. b) sur les fichiers informatisés
    3. c) les deux

    Même réponse dans les 3 cas.

    Le RGPD s’applique à tous les modes de traitement, sans lien avec le support. Le simple fait de stocker des dossiers imprimés (comme les dossiers des clients), constitue un ensemble structuré de données qui sont donc concernées par le RGPD. Il en va de même, par exemple, pour les données concernant les salariés (dossiers liés aux ressources humaines tels que les contrats signés, les entretiens professionnels ou annuels).

     

    3)    Les données personnelles déjà stockées sont-elles anonymisées ?

    1. a) oui

    Dans votre cas, le RGPD ne s’applique pas, puisque l’on considère que par cette procédure les données sont déjà protégées. Cependant, il convient de vérifier qu’il s’agit bien de données « anonymisées » et non « pseudonymisées ». La distinction repose sur la possibilité d’établir l’identité des personnes concernées par recoupements. Les données sont considérées comme anonymes dès lors qu’il existe de réelles difficultés à établir une identification (coût financier, temps ou moyens technologiques à mettre en œuvre).

    1. b) non

    Le RGPD s’applique donc à ces données. De surcroît, il conviendra bien d’« anonymiser » les données et non les « pseudonymiser ». La distinction repose sur la possibilité d’établir l’identité des personnes concernées par recoupements. Les données sont considérées comme anonymes dès lors qu’il existe de réelles difficultés à établir une identification (coût financier, temps ou moyens technologiques à mettre en œuvre).

    1. c) ne sais pas

    Il convient de procéder à une analyse afin de le vérifier. De surcroît, il conviendra bien d’« anonymiser » les données et non les « pseudonymiser ». La distinction repose sur la possibilité d’établir l’identité des personnes concernées par recoupements. Les données sont considérées comme anonymes dès lors qu’il existe de réelles difficultés à établir une identification (coût financier, temps ou moyens technologiques à mettre en œuvre).

    4)    Existe-t-il un lien entre l’application du RGPD et la forme juridique de ma structure ?

    1. a) Oui

    Non. Le RGPD concerne toutes les structures ou organismes (entreprises – start-ups, TPE, PME, grandes entreprises, groupes internationaux -, associations, organisations professionnelles, syndicats, partis politiques, collectivités publiques, etc.).

    1. b) Non

    Exact. Le RGPD concerne toutes les structures ou organismes (entreprises – start-ups, TPE, PME, grandes entreprises, groupes internationaux -, associations, organisations professionnelles, syndicats, partis politiques, collectivités publiques, etc.).

    5)    L’application du RGPD dépend-elle du nombre de salariés présents dans ma structure ?

    1. a) Oui

    Non. Le RGPD ne prévoit pas de seuil en la matière, mais les structures de moins de 250 salariés ne seront pas soumises à l’ensemble des obligations (tenue d’un registre des traitements par exemple ou désignation d’un référent en matière de protection des données personnelles (dénommé DPD pour délégué à la protection des données ou DPO pour data protection officer) sauf en cas de suivi régulier à grande échelle de données personnelles.

    Cela dit, concernant la tenue d’un registre des traitements, il est conseillé à toute structure opérant un traitement de données personnelles de mettre en place un tel registre qui sera dans tous les cas « écrit » mais qui peut prendre une forme « électronique ».

    1. b) Non

    Effectivement, il n’y a pas de seuil. Toutefois, les plus petites structures (moins de 250 salariés) ne seront pas soumises à l’ensemble des obligations (tenue d’un registre des traitements par exemple ou désignation d’un référent en matière de protection des données personnelles) sauf en cas de suivi régulier à grande échelle de données personnelles).

    Cela dit, concernant la tenue d’un registre des traitements, il est conseillé à toute structure opérant un traitement de données personnelles de mettre en place un tel registre qui sera dans tous les cas « écrit » mais qui peut prendre une forme « électronique ».

    PROCESSUS CONFORMITÉ ET SÉCURITÉ DES TRAITEMENTS

    6)    Suis-je obligé de désigner un Délégué à la Protection des Données (DPD ou plus régulièrement désigné DPO pour Data Protection Officer) ?

    1. a) Oui

    Seulement si la collecte et le traitement sont liés à une activité habituelle exigeant un suivi régulier et systématique à grande échelle de personnes ou de données sensibles. Dans les autres cas (la majorité), le choix d’un DPO n’est pas une obligation mais il est fortement conseillé, sinon indispensable, de désigner une personne qui pourra, si ce n’est pas déjà fait, mener à bien un plan de mise en conformité au RGPD. Par la suite, il centralisera les informations relatives aux traitements de données à caractère personnel et proposera les actions à mettre en œuvre si nécessaire.

    1. b) Non

    Cela peut être le cas si la collecte et le traitement sont liés à une activité habituelle exigeant un suivi régulier et systématique à grande échelle de personnes ou de données sensibles. Dans les autres cas (la majorité), le DPO n’est pas une obligation mais il est fortement conseillé, sinon indispensable, de désigner une personne qui pourra, si ce n’est pas déjà fait, mener à bien un plan de mise en conformité au RGPD. Par la suite, il centralisera les informations relatives aux traitements de données à caractère personnel et proposera les actions à mettre en œuvre si nécessaire.

    7)    Le dirigeant est-il exempté de toute responsabilité avec la désignation d’un DPO ?

    1. a) Oui

    En aucun cas. Le rôle du DPO est simplement de contrôler et de conseiller quant à la conformité des traitements des données personnelles. Juridiquement, il n’est en aucun cas responsable, même en cas de non-conformité. Le dirigeant de la structure reste le responsable. Cela dit, le dirigeant peut engager une procédure disciplinaire (prévue en droit du travail) pour fauter grave en cas de négligence de la part du DPO.

    1. b) Non

    Effectivement, le rôle du DPO est simplement de contrôler et de conseiller quant à la conformité des traitements des données personnelles. Juridiquement, il n’est en aucun cas responsable, même en cas de non-conformité. Le dirigeant de la structure reste le responsable. Cela dit, le dirigeant peut engager une procédure disciplinaire (prévue en droit du travail) pour fauter grave en cas de négligence de la part du DPO.

    8)    Dois-je limiter l’accès aux données personnelles détenues par la structure aux seuls salariés ?

    1. a) Oui

    Sur le principe, l’accès doit être encore plus restreint. L’accès doit dépendre des objectifs poursuivis et dans tous les cas, il convient, même dans de petites structures d’établir un cloisonnement en interne en choisissant les personnes habilitées en fonction des tâches à exécuter. A contrario, certaines personnes extérieures à la structure peuvent être amenées à avoir accès à ces données personnelles (par exemple, si la gestion de la paye est externalisée). La plupart du temps, seuls le service (ou le responsable) des ressources humaines ou encore le service financier ont accès aux données des salariés. Dans tous les cas, l’accès aux données doit être judicieusement choisi et strictement limité.

    1. b) Non

    Il doit être limité au sein de la structure (la plupart du temps, seuls les services financiers et des ressources humaines ont accès aux données) mais certaines personnes extérieures peuvent être amenées à avoir accès à ces données personnelles (par exemple, si la gestion de la paye est externalisée). Dans tous les cas, l’accès aux données doit être judicieusement choisi et strictement limité.

    9)    La sécurisation des données personnelles passe-t-elle par une protection « physique » des locaux ?

    1. a) Oui

    Effectivement, la protection des données, en dehors de tout aspect technique, passe par la sécurisation de l’accès physique aux locaux avec la mise en place de mesures afin de restreindre l’accès (fermeture des locaux ou de biens mobiliers de stockage, dispositif de vidéosurveillance ou encore système de contrôle d’accès).

    1. b) Non

    C’est faux. La protection des données, en dehors de tout aspect technique, passe par la sécurisation de l’accès physique aux locaux avec la mise en place de mesures afin de restreindre l’accès (fermeture des locaux ou de biens mobiliers de stockage, dispositif de vidéosurveillance ou encore système de contrôle d’accès).

    RGPD ET RESPONSABILITÉ

    10)  En tant que dirigeant, pensez-vous être responsable du traitement des données ?

    1. a) Oui

    Bien entendu, le dirigeant (président, chef d’entreprise…), quelle que soit la structure, est responsable du traitement des données.

    1. b) Non

    Vous l’êtes. Tout dirigeant (président, chef d’entreprise…), quelle que soit la structure, est responsable du traitement des données.

    11)  Les données personnelles liées à ma structure sont traitées par un tiers ?

    1. a) Oui

    Toute structure est responsable des données personnelles qu’elle collecte ou qu’elle utilise. En revanche, cette responsabilité peut être atténuée s’il est fait appel à un tiers (partenaires, prestataires extérieurs ou sous-traitants). Le RGPD prévoit cette situation et insiste sur la précision du contrat qui va lier la structure et le ou les sous-traitants en matière de données personnelles. C’est ce lien contractuel qui va déterminer l’exacte responsabilité de chacun des partenaires. Le RGPD prévoit d’ailleurs en ce sens, et en cas de contentieux, une coresponsabilité qui pourra déboucher sur des sanctions partagées par les partenaires en cas de violation.

    1. b) Non

    Vous êtes donc pleinement responsable des données personnelles collectées et traitées. Le cas échéant, cette responsabilité peut être atténuée s’il est fait appel à un tiers (partenaires, prestataires extérieurs ou sous-traitants). Le RGPD prévoit cette situation et insiste sur la précision du contrat qui va lier la structure et le ou les sous-traitants en matière de données personnelles. C’est ce lien contractuel qui va déterminer l’exacte responsabilité de chacun des partenaires. Le RGPD prévoit d’ailleurs en ce sens, et en cas de contentieux, une coresponsabilité qui pourra déboucher sur des sanctions partagées par les partenaires en cas de violation.

    12)  Puis-je choisir librement et sans contrainte le prestataire qui assurera le traitement des données personnelles ?

    1. a) Oui

    Effectivement, le « bon » prestataire sera celui qui apporte le plus de garanties dans la gestion de vos données. Cependant, s’il est établi hors Union européenne, le transfert n’est possible qu’en cas d’autorisation de la CNIL, d’accord international (Privacy Shield pour les États-Unis par exemple) ou de mise en place de BCR (Binding Corporate Rules, des règles d’entreprises contraignantes) validés par la CNIL.

    1. b) Non

    Sur le principe, cette liberté existe mais il est plus simple de choisir un prestataire européen, car, à défaut, il s’agira d’un transfert de données personnelles hors Union européenne. Dès lors, ce transfert n’est possible qu’en cas d’autorisation de la CNIL, d’accord international (Privacy Shield pour les États-Unis par exemple) ou de mise en place de BCR (Binding Corporate Rules, des règles d’entreprises contraignantes) validés par la CNIL.

    LE RGPD ET LES RELATIONS AVEC LES SALARIéS

    13)  Dois-je demander systématiquement le consentement du salarié pour traiter ses données personnelles ?

    1. a) Oui

    Ce n’est pas nécessaire puisque le traitement des données personnelles d’un salarié est nécessaire à l’exécution du contrat de travail. Cependant, pour toutes les autres données, sans lien direct avec le contrat de travail, le consentement est nécessaire.

    1. b) Non

    Effectivement, puisque le traitement des données personnelles d’un salarié est nécessaire à l’exécution du contrat de travail son consentement est tacite. Cela dit, pour les données qui ne sont pas directement liées au contrat de travail (même s’il s’agit d’accorder des avantages au salarié), les données ne peuvent être collectées qu’avec le consentement du salarié.

    14)  Outre/à défaut de salarié(s), je fais appel à des travailleurs indépendants ou des consultants ?

    1. a) Oui

    Sur le principe, et puisque les travailleurs indépendants ou consultants ne sont pas liés à la structure par un contrat de travail, cette dernière ne gère donc pas les données personnelles liées à leur activité. Néanmoins, en pratique, vous serez amenée à collecter et traiter leurs données personnelles ne serait-ce que pour formaliser la collaboration.

    1. b) Non

    Le cas échéant, et même si les travailleurs indépendants ou consultants ne sont pas liés à la structure par un contrat de travail, en pratique, vous serez amené à collecter et traiter leurs données personnelles ne serait-ce que pour formaliser la collaboration.

    15)  Outre/à défaut de salarié(s), je fais appel à des intérimaires, des stagiaires ou des apprentis ?

    1. a) Oui

    Toute personne qui travaille au sein de l’entreprise est soumise au RGPD, quel que soit son niveau de qualification. L’élément déterminant est la présence dans l’établissement. Cette présence implique donc la collecte et le traitement de données personnelles, ne serait-ce que pour la gestion des congés, l’accès à la structure ou la gestion du temps de présence).

    1. b) Non

    Le cas échéant, il conviendra de se rappeler que toute personne qui travaille au sein de l’entreprise est soumise au RGPD, quel que soit son niveau de qualification. L’élément déterminant est la présence dans l’établissement. Cette présence implique donc la collecte et le traitement de données personnelles, ne serait-ce que pour la gestion des congés, l’accès à la structure ou la gestion du temps de présence).

    LE RGPD ET LES RELATIONS CLIENT

    16)  Dois-je recueillir systématiquement l’accord préalable du client avant de collecter des données le concernant ?

    1. a) Oui

    Dans le doute, il s’agit de la bonne démarche (c’est la règle de principe que met en place le RGPD). Cependant, il existe des exceptions comme notamment lorsque la collecte de données est une obligation légale ou encore qu’elle est nécessaire à la relation commerciale (par exemple, à l’établissement ou à l’exécution d’un contrat auquel la personne est partie).

    1. b) Non

    Il est indispensable de le faire pour être en adéquation avec le RGPD. Seuls des cas particuliers échappent à cette règle de principe. Par exemple, lorsque la collecte de données est une obligation légale ou encore qu’elle est nécessaire à la relation commerciale, comme pour l’établissement ou à l’exécution d’un contrat auquel la personne est partie.

    17)  Dois-je simplement informer les personnes dont les données sont collectées en me limitant à l’existence de cette collecte ?

    1. a) Oui

    En aucun cas. La personne faisant l’objet de la collecte doit être informée de cette démarche, mais l’obligation d’information va bien au-delà de l’existence du traitement. Vous devez l’informer de ses finalités et objectifs (pourquoi le faites-vous ? à quoi cela va-t-il servir ?) mais aussi des modalités exactes du traitement (combien de temps ces données vont-elles être conservées ? Qui est susceptible d’y avoir accès ou d’en avoir connaissance directement ou indirectement. Enfin, il convient de mentionner précisément l’ensemble des droits dont bénéficie la personne dont les données sont collectées : droit d’opposition, de limitation (la personne concernée peut restreindre son accord à la collecte à certaines informations), d’accès, de suppression, de rectification.

    1. b) Non

    Effectivement, la personne faisant l’objet de la collecte doit être informée de cette démarche, mais l’obligation d’information va bien au-delà de l’existence du traitement. Vous devez l’informer de ses finalités et objectifs (pourquoi le faites-vous ? À quoi cela va-t-il servir ?) mais aussi des modalités exactes du traitement (combien de temps ces données vont-elles être conservées ? Qui est susceptible d’y avoir accès ou d’en avoir connaissance directement ou indirectement. Enfin, il convient de mentionner précisément l’ensemble des droits dont bénéficie la personne dont les données sont collectées : droit d’opposition, de limitation (la personne concernée peut restreindre son accord à la collecte à certaines informations), d’accès, de suppression, de rectification.

    18)  Ma structure communique, entre autres, par liste de diffusion ou newletters ?

    1. a) Oui

    Selon le RGPD, une newsletter ou liste de diffusion est un traitement de données personnelles. Son envoi est donc soumis, en principe, à un accord préalable du destinataire et à la possibilité de se désabonner lorsqu’il le souhaite (nécessité de prévoir un processus de désabonnement aisément accessible et présent avec chaque newletter).

    1. b) Non

    Si cela est envisagé, il conviendra de se conformer au RGPD.

    Son envoi sera soumis à un accord préalable du destinataire et à la possibilité de se désabonner lorsqu’il le souhaite (nécessité de prévoir un processus de désabonnement aisément accessible et présent avec chaque newsletter).

    19)  Ma structure fait de la prospection (notamment du mailing) ?

    1. a) Oui

    La prospection implique la détention et la conservation de données personnelles, le RGPD s’applique donc et renforce le droit d’opposition de la personne démarchée. Il convient donc de prévoir un processus, aisément accessible, permettant de mettre fin au démarchage.

    1. b) Non

    Si cela est envisagé, il conviendra de se conformer au RGPD. La prospection implique la détention et la conservation de données personnelles, le RGPD s’applique donc et renforce le droit d’opposition de la personne démarchée.

    20)  Ma structure organise des évènements ouverts à vos clients ou vos prospects ?

    1. a) Oui

    Toute organisation d’évènement implique au préalable la collecte et surtout la détention de données personnelles, il convient d’en assurer un traitement en adéquation avec le RGPD.

    1. b) Non

    Si cela est envisagé, il conviendra de se conformer au RGPD car toute organisation d’évènement implique au préalable la collecte et surtout la détention de données personnelles.

    Sur le même sujet A consulter

    Une mise à jour est en cours, l'espace formation est actuellement en maintenance, merci de votre compréhension.