25 mai 2018 entrée en vigueur du RGPD, les diagnostiqueurs immobiliers sont-ils prêts ?

Le RGPD (Règlement Général de la Protection des Données) entre en vigueur ce 25 mai 2018 et remplace la directive de 1995 ainsi que la Loi Informatique et Libertés de 1978.
L’obligation d’application du RGPD s’applique directement à tous les citoyens, organismes et entreprises dès lors que des données personnelles concernant un individu résidant dans l’Union Européenne sont collectées ou hébergées.

De fait, tout fichier client, annuaire de prospects et contacts donc bien évidemment logiciel de facturation et de caisse doivent être conformes aux exigences du RGPD notamment en termes de collecte, stockage, protection et sauvegarde des données à caractère personnel.

Toutes les entreprises étant concernées quelle que soit leur taille, celles d’étude, d’audit et de diagnostics ainsi que les diagnostiqueurs immobiliers y sont soumis, que les ODI soient en agence, franchise, cabinet, en société ou en micro-entreprise.

Comment appliquer le RGPD ?

En fait, les solutions pour s’assurer de la conformité de son entreprise avec le RGPD sont assez évidentes à condition d’avoir jusqu’à présent respecté tous les préceptes de la CNIL définis par la Loi informatique et Liberté. Les objectifs du RGPD portent en plus sur la capacité des citoyens européens àcontrôler l’accès, la sécurité et la sauvegarde de leurs données personnelles sur des fichiers informatiques y compris les photos et toutes les informations partagées sur les réseaux sociaux (désormais considérées également comme des données personnelles).

Ainsi, non seulement les fichiers informatiques employés pour la prospection, la commercialisation, la gestion et la facturation sont concernés mais également ceux relatifs à tous les échanges sur tous les réseaux sociaux que ceux-ci soient professionnels ou plus personnels (Linkedin, Google +, Viadeo, Facebook…). C’est pour cette raison que tous vous envoient ces derniers temps des mises à jour de leurs conditions d’utilisation de vos données. Et vous, en tant que professionnel, que devez-vous faire pour vous mettre en conformité avec le RGPD ?

En détail, dès lors qu’une entreprise collecte des données dans le cadre de son activité, elle doit alors :

• garantir un même niveau de protection des donnéesacquises uniquement après consentement explicite de leurs utilisateurs,
• établir un registre de traitement des données personnelles,
• protéger ces données informatiques stockées par l'entreprise contre la perte, le vol et la détérioration,
• permettre aux utilisateurs d’avoir accès à leurs données personnelles et leur offrir la possibilité de les supprimer.
• d'informer en cas de fuite des données l'autorité nationale responsable de la protection des données.

Le texte complet du RGPD est disponible sous sa dénomination de officielle de RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016paru au J.O de l’U.E

A noter : Le RGPD met en place le ‘droit à l'oubli’ qui oblige les entreprises à être capables d'identifier la totalité des données d’un client afin de pouvoir les supprimer rapidement (dans un délai d'un mois) sur simple demande de celui-ci ou après un certain temps d’inactivité.

En cas de non-respect du RGPD, les entreprises encourent une amende allant de 2% à 4% de leur chiffre d’affaire mondial avec un plafond (ouf !) de 20 millions d'euros d'amende (…).

Comment s’assurer de la conformité au RGPD ?

Pour se préparer à l’application du RGPD il est indispensable de vérifier au moins les quatre piliers principaux de son socle :

• La collecte, la minimisation et le traitement des données : Les données doivent être collectées licitement après accord de la personne loyalement informée de la finalité du traitement de ses données personnelles. La minimisation de la quantité de données collectées réclame que seules des données pertinentes et nécessaires ont été recueillies. La durée de conservation des données doit être limitée à un délai raisonnable fixé au préalable à l’issue duquel les données seront détruites. A ces fins, les entreprises de plus de 250 personnes devront établir un ‘registre de traitement des données’ et éventuellement nommer un Délégué à la Protection des Données (DPO).

A savoir : Les impératifs propres à chaque entreprise en termes de collecte et de traitement des données sont à établir en fonction d’un audit d’impact visant à analyser quelles données seulement doivent être recueillies en fonction du besoin réel, des risques possibles et de la sécurité (minimisation).

• La sécurisation des données : Une fois collectées, les données doivent être traitées de façon à garantir leur sécurité (encryptions à la source) y compris contre le traitement non autorisé ou illicite ainsi que contre la perte, la destruction ou les dégâts d'origine accidentelle. Il est alors indispensable pour l’entreprise de s’assurer de la protection physique des locaux et machines : anti-virus, modification périodique des mots de passe, protocoles sécurisés (HTTPS….), confidentialité des intervenants (employés, collaborateurs, maintenance, sous-traitants, fournisseurs…).

• La sauvegarde et la restauration : Les données stockées doivent pouvoir être accessibles en permanence et notamment sur demande de l’intéressé. La sauvegarde des fichiers des données est donc indispensable et doit faire appel à des systèmes fiables et sécurisés auxquels il est possible d’accéder en un délai raisonnable. En outre, les pratiques de pseudonymisation et d’anonymisation sont davantage encadrées par le RGPD que la par la Loi informatique et libertés. A tout moment, il doit être possible pour l’entreprise de consulter l’intégralité des données recueillies sur une personne afin de pouvoir les supprimer sur sa demande ou en fin de validité et même après un incident technique ou sécuritaire. Les données, ne serait-ce que comme préalable à leur effacement, doivent pouvoir être identifiées en leur intégralité afin de ne pas permettre le croisement de fichiers bribes permettant d’identifier à nouveau une personne.

• Notification à l’autorité de contrôle : Lorsqu’un responsable du traitement constate une violation des données à caractère personnel qu’il traite, il est tenu d’informer l’autorité de contrôle de la nature de la violation de données à caractère personnel et des conséquences probables de la violation de données à caractère personnel. Pour la France, c’est la CNIL qui est l’autorité de contrôle du RGPD. En outre, la personne concernée par la violation d’accès à ses informations personnelle doit être informée et recevoir les informations sur les conséquences probables de la violation de données à caractère personnel, les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

La mise en conformité au RGPD facile pour les diagnostiqueurs immobiliers

Pour beaucoup, l’entrée en vigueur du RGPD juste quelques mois après l’obligation de conformité à la Loi anti fraude à la TVA des logiciels de gestion de caisse pose souci. 2018 est une année charnière (voire noire) pour de nombreuses entreprises ayant à analyser l’intégralité de leurs parcs logiciel afin de se mettre en conformité au plus tôt avec ces différentes exigences, en plus des changements survenus dans la profession de diagnostiqueur immobilier.

Pas de panique pourtant puisque les opérateurs du diagnostic immobilier ne sont pas seuls. Arobiz a développé en partenariat avec un cabinet d’avocats spécialisés un outil facile et rapide de mise en conformité au RGPD. Ce pack RGPD DIAG est la solution sur-mesure qui s’intègre facilement de lui-même au site Internet, à l’extranet mais aussi aux gestionnaires de devis, ordres de mission, rapports d’expertise…

Ainsi, grâce à la publication automatique de la politique de gestion des données, à la mise en conformité des formulaires et avec l’appui du guide méthodologique pour le traitement des données clients, l’intégralité des échanges de données sera une fois pour toutes en conformité avec ce RGPD qui occasionne (et risque encore d’occasionner) tant de soucis à d’autres...