L’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) a permis de mettre en place un réel contrôle face aux pratiques de certaines entreprises sur le traitement des informations personnelles. Désormais, les organismes concernés par cette législation européenne ont un devoir d’information auprès des utilisateurs et doivent assurer une réelle transparence quant à l’utilisation des données collectées. En cas de non-respect de cette mesure, une sanction RGPD peut être appliquée. Face à cette menace, la mise en place des mesures et des outils adéquats est donc essentielle.
La sanction RGPD appliquée par la CNIL
Mesure européenne, le RGPD est géré dans chaque pays par une institution spécifique. En France, c’est la Commission Nationale de l’Informatique et des Libertés (CNIL) qui est en charge de contrôler la bonne application de cette loi. Dans le cas où un défaut d’application est relevé, la CNIL a le pouvoir d’appliquer une sanction RGPD adaptée selon une certaine grille de sanction. Ainsi, une sanction RGPD peut être infligée au responsable du traitement ou au sous-traitant : au maximum 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires d’une entreprise.
Les différents critères de sanction RGPD
Entré en vigueur le 25 mai 2018, plusieurs sanctions RGPD ont déjà été infligées par la CNIL. Pour évaluer le montant de ces sanctions, une grille comprenant différents éléments a été établie :
- Nature, gravité et durée du manquement au RGPD
- Les différentes mesures de sécurité à la suite de l’incident
- Manquement par négligence ou délibérément
- Degré de responsabilité
- Antécédents
- Coopération pour régler la situation
- Le degré de sensibilité des données concernées
- Les avantages liés pour l’organisme
En cas de manquement à cette nouvelle réglementation, la sanction RGPD pour les organismes peut donc être particulièrement importante. De plus, elle donne une mauvaise image de l’entreprise ou la structure publique concernée par cette sanction. Afin d’éviter cette sanction RGPD, les organismes concernés se doivent donc de mettre en place les mesures nécessaires pour entrer en conformité.
Pour les professionnels de l’immobilier, en tant qu’entreprise manipulant de la donnée à caractère personnel, la réglementation RGPD les oblige à :
- nommer un responsable de la donnée personnelle (le fameux DPO- Délégué à la Protection des Données).
- être capable de répondre aux nouveaux droits fondamentaux : le droit à l’oubli, le droit à la portabilité des données, et le consentement explicite.
- documenter les maintenir un registre des activités de traitements, dans lequel vous devrez consigner l’ensemble des données dont vous disposez et décrire leur localisation, l’objectif de leur collecte et leur mode de gestion.
- faire signer une annexe RGPD au contrat de travail par chaque employé pour l’informer de la manière dont seront traitées ses données personnelles et ce sera la même chose avec tous les fournisseurs de l’agence puisque la RGPD concerne toutes les données entrant et sortant de l’agence immobilière.
- être en mesure d’effacertoutes les données à caractère personnel lorsque celles-ci ne sont plus « nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ».
- savoir gérer les risques, notamment en déclarant dans un délai de 72h à la CNIL, le vol ou la perte de données.