« RGPD, qu’est-ce que cela va changer sur vos sites internet et dans votre logiciel ? »,Olivier Bugette, PDG de La Boite Immo

De nombreux articles ont déjà présenté les obligations de cette nouvelle réglementation sur la protection des données. Olivier Bugette se concentre ici sur les conséquences concrètes de la RGPD sur les outils que vous utilisez u quotidien (site internet, logiciel immobilier, mandats de vente et de recherche…).

Les solutions présentées ici sont celles que nous mettrons en place auprès de la clientèle La Boîte Immo, elles correspondent donc à nos bonnes pratiques pour respecter facilement les obligations induites par la nouvelle réglementation de protection des données.

Les impacts de la transparence :

Il sera désormais obligatoire de fournir à l’utilisateur, au moment de la collecte de ses données toutes les informations suivantes :

  • les finalités du traitement auquel sont destinées les données récupérées
  • la base juridique du traitement (par exemple, afin d’exécuter un contrat tel qu’un mandat de vente)
  • les informations sur les destinataires des données à caractère personnel
  • une mention spécifique si le responsable du traitement a l’intention d’effectuer un transfert de ces données vers une autre société, un sous-traitant, un pays tiers ou une organisation internationale
  • la durée de conservation des données et leur archivage

Chacune de ces mentions doit aussi être inscrite dans un registre, consultable à tout moment par l’organisme de la CNIL, sur simple demande. Ce registre peut, par exemple, être un simple fichier Excel si le volume des données récoltées n’est pas trop important. Ce qui est le cas pour les agences immobilières. Ce registre comporte la liste des informations récupérées et non pas les informations elles même. Cependant, il faut être capable d’extraire toutes les données récoltées sur demande.

Les impacts du consentement

Qu’il s’agisse de clients (acquéreurs, propriétaires, locataires…) ou de prospects, il est impératif d’obtenir un consentement clair quant au recueil de leurs données. L’obtention du consentement doit être claire et vérifiable par un organisme externe.

Ce consentement s’applique pour toutes les sources de récolte des données : par téléphone, en remplissant un formulaire de contact, en paramétrant une alerte e-mail…

Le traitement de ces données ne peut être fait qu’une fois que la personne a donné son consentement pour leur récolte mais aussi la nature de l’utilisation qui en sera faite !

La signature d’un contrat nécessitant la récupération de ces données pour son exécution vaut pour acceptation de la récupération de la plupart des données (par exemple : un mandat de vente ou encore de recherche).

Concrètement, au niveau digital, ce consentement peut être établi grâce à des « cases à cocher » par l’utilisateur. Sur un site internet, ce consentement peut être mis en place sur chaque formulaire de contact ou inscription à une alerte-email, sous la forme donc d’une case à cocher avec un horodatage. La mention de toutes les informations obligatoires nommées plus haut devra être aussi présente sur tous les formulaires du site internet de l’agence immobilière.

Au niveau « papier » il faudra inclure ces mentions obligatoires sur tous les contrats et la signature manuscrite ou électronique matérialisera le consentement.

Les impacts des droits des utilisateurs

Il est aussi obligatoire d’informer les contacts de l’existence :

  • du droit à la portabilité de leurs données (c’est-à-dire au transfert et à la restitution de leurs données),
  • du droit à la modification et à la suppression de leurs données. On appelle aussi cette suppression, le droit à l’oubli. En effet, la possibilité de supprimer les données ou encore l’historique de navigation de chaque utilisateur sera obligatoire.

Il faut donc disposer d’un système capable de fournir à chaque contact toutes les informations récoltées sur lui. Cela, bien évidemment, dans un format lisible et exploitable.

Le délai maximum pour accéder à la demande de suppression des données est de 30 jours.

L’accès aux données ainsi que leur modification ou encore leur suppression se fera grâce à un espace dédié pour les contacts. Autre possibilité, ces demandes pourront être faites via l’envoi d’un email ou un formulaire de contact spécifique.

Si c’est un client actif et qu’il souhaite être effacé des systèmes, la RGPD prévoit une marge de manœuvre. En effet, les informations nécessaires à la bonne gestion de la relation client peuvent être conservées même si le dit client a fait la demande de suppression.

L’obligation de sécurité et de notification (violation des données)

Dès lors qu’une violation de données à caractère personnel est constatée, il faut la notifier à l’organisme de protection des données, ainsi qu’aux individus.

Concrètement, à la suite d’une violation de données, un email ou une prise de contact téléphonique avec une validation de l’identité du contact peut être mis en place pour informer des données qui ont été potentiellement accessibles. Par exemple, dans le cas d’un vol d’identifiant et mot de passe pour se connecter à un espace client, un email automatique sera envoyé pour permettre la modification de l’identifiant et du mot de passe du contact et restaurer ainsi un la sécurité du compte le plus rapidement possible.

 

Categories: Réglementation
jda: