[N°638] - Syndics, êtes-vous “RGPD compatibles” ?

par Nathalie Brocard, juriste
Affichages : 25498

Index de l'article

Qui n’a pas aujourd’hui entendu parler du “RGPD” (Règlement Général sur la Protection des Données), ce sigle dont les médias français se sont emparés pour agrémenter leurs rubriques sur l’audition par le Congrès américain du fondateur d’un célèbre réseau social contraint de présenter un mea culpa public pour ne pas avoir suffisamment protégé les données de ses souscripteurs ?

 De ce côté de l’Atlantique, on se félicitait pour avoir anticipé les difficultés en adoptant le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (et la directive 2016/680 en matière pénale).
Depuis l’emblématique loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée depuis), la situation a en effet beaucoup évolué. Le droit à l’effacement, le droit à l’oubli et le droit à la portabilité sont apparus comme de nouvelles problématiques à gérer. L’étendard européen s’est ainsi voulu à son tour garant de la protection des données. La philosophie du texte est rappelée dans plusieurs de ses considérants : «la protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental», «le traitement des données à caractère personnel devrait être conçu pour servir l’humanité», «l’évolution rapide des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel», «... il importe de susciter la confiance qui permettra à l’économie numérique de se développer dans l’ensemble du marché intérieur» (considérants n°s 1, 4, 6 et 7).

In varietate concordia, la devise de l’Europe, qui n’est pas toujours celle rencontrée dans toutes les copropriétés…, contraint à une mise à niveau rapide.


Quelles sont les données à protéger ?
Sont considérées comme données à caractère personnel notamment «toute information se rapportant à une personne physique identifiée ou identifiable … directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne…» (art. 4-1).
> Dans le cadre de la gestion d’un immeuble, les informations recensées sur des copropriétaires notamment, rentrent donc dans cette catégorie (le syndic tient à jour la liste des copropriétaires, article 32 du décret du 17 mars 1967 ; il peut mettre en place un accès en ligne sécurisé, article 18-I de la loi du 10 juillet 1965 ; il peut faire des notifications et mises en demeure par voie électronique, articles 64 et suivants du décret ; certains mettent en place des abonnements à une newsletter, etc.). Les informations relatives aux prestataires qui exercent une activité à titre personnel ou aux salariés de la copropriété sont également des données à protéger.


Sur qui pèsent les obligations ?
Le règlement «crée un cadre unifié et protecteur pour les données personnelles des Européens, applicable à l’ensemble des entreprises et de leurs sous-traitants, quelle que soit leur implantation, dès lors que ceux-ci offrent des biens et services à des personnes résidant sur le territoire de l’Union européenne» (communiqué de presse du Conseil des ministres du 13 décembre 2017).
Toute «personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique» doit se mettre en conformité au plus tard le 25 mai 2018 avec le RGPD qui est directement applicable dans chaque État membre de l’Union (art. 3, 4-18 et 99 du RGPD).
> Les syndics sont en conséquence concernés.


Qu’est-ce que le traitement des données personnelles ?
Le traitement correspond à «toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction» (art. 4-2).
Un traitement doit être effectif dès que la conclusion d’un contrat, ou simplement l’intention d’en conclure un, est en jeu (considérant 44).
Tout traitement de données à caractère personnel doit être «licite, loyal et transparent» (art. 5 et 6 ; dans certains cas, il va requérir une véritable étude d’impact préalable : art. 35).
> Avant d’identifier le traitement à mettre en place, chaque structure doit prendre l’initative de procéder d’elle-même en interne à un audit de toutes les catégories de données qui sont collectées (sur un site web, via des contrats avec des prestataires, etc.), de savoir qui les traite et à quoi elles serviront, de connaître leur lieu d’hébergement et d’identifier la durée de leur conservation. Toutes les étapes susceptibles de générer un traiement de données doivent être passées en revue : espaces de stockage fixes ou mobiles, logiciels, serveurs, documents papier, utilisation d’ordinateurs portables, accès au Wi-Fi, pare-feu, sauvegardes, archivage des données, etc.
Cet état des lieux est un préalable indispensable pour adopter un traitement documenté suivi et approprié.


Rôle du responsable du traitement
Le responsable du traitement est «la personne physique ou morale … qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement» (art. 4-7). Il «met en œuvre des mesures techniques et organisationnelles appropriées» «pour garantir un niveau de sécurité adapté au risque» (considérant 78, art. 24, et s. ; art. 27 et s. pour le sous-traitant ; considérant 81 et art. 32 pour la sécurité du traitement).
Il tient un registre des activités de traitement effectuées sous sa responsabilité et, en cascade, «chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tient un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement» (art. 30, au 5e paragraphe dudit article, il est prévu une dérogation en matière de tenue de registre pour les entreprises comptant moins de 250 employés). Il est, en effet, important de connaître les mesures de sécurité mises en place par le sous-traitant afin de garantir la traçabilité en chaîne de la protection.
Le responsable du traitement est également chargé de coopérer avec l’autorité de contrôle, la CNIL en France (art. 31) ; il doit l’alerter rapidement en cas de violation des données (art. 33).
> Le registre des activités de traitement, écrit ou sous forme électronique, doit être tenu à la disposition de la CNIL, à tout moment.


Rôle du délégué à la protection des données
La CNIL encourage chaque structure à désigner un délégué à la protection des données (data protection officer, DPO), en interne ou de manière externalisée (il est obligatoire dans certains cas : cf. art. 37 et s.).
Le DPO doit maîtriser le droit et les techniques de la protection des données. Ses missions sont élargies par rapport à celles de son prédécesseur : le CIL, dont la mission cessera au moment de l’entrée en fonction du DPO. Suffisamment indépendant au sein de la structure, il doit disposer des moyens matériels et organisationnels pour lui pemettre de remplir son rôle de sensibilisation, d’information, de contrôle et de conseil sur les règles en vigueur ; il doit également coopérer et être le point de contact de la CNIL (art. 39).
> Les coordonnées du délégué à la protection des données doivent être communiquées à la CNIL avant le 25 mai 2018.


Le droit des personnes concernées
La collecte de données doit être assortie d’un consentement délivré par «toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement» (considérants 32 et 58, art. 4-11).
La personne concernée doit être «en mesure de refuser ou de retirer son consentement sans subir de préjudice», elle doit pouvoir demander «d’obtenir sans frais, notamment, l’accès aux données à caractère personnel, et leur rectification ou leur effacement» et bénéficier de «l’exercice d’un droit d’opposition» ; il revient au responsable du traitement de prouver que le consentement a été donné (considérants 42, 59 et 65, art. 7, 15, 16, 17, 21).
Les personnes concernées peuvent consentir à la portabilité de leurs données vers un autre responsable de traitement moyennant la formalisation d’un accord précis (art. 20).
Au surplus, au moment de la collecte des données, le responsable du traitement des données doit fournir un certain nombre d’informations dont, son identité et ses coordonnées, le cas échéant les coordonnées du délégué à la protection des données, ainsi que «les finalités du traitement auquel sont destinées les données à caractère personnel», «la base juridique du traitement», «la durée de conservation des données à caractère personnel», «le droit d’introduire une réclamation auprès d’une autorité de contrôle» (art. 13). Ceci répond à un objectif de transparence.
Les données doivent être «conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées» (art. 5-1 e).
Le traitement des demandes doit être assuré dans des délais courts.
> La formalisation des modalités d’obtention du consentement doit donc être étudiée avec soin afin de répondre à toutes les exigences du RGPD.
En cas de changement de syndics, l’ancien syndic est tenu de transmettre à son successeur «l’ensemble des documents et archives du syndicat» (art. 18-2 de la loi de 1965). Cette étape devra donc faire l’objet de toutes les précautions requises afin de ne pas présenter une menace pour la protection des données.


Sanctions
En France, la CNIL est chargée de surveiller et de contrôler l’application du respect du RGPD et des règles nationales particulières. Elle exercera un contrôle a posteriori, ce qui renforce la responsabilité des acteurs. Ses pouvoirs sont renforcés, et elle pourrait sanctionner les violations au RGPD en allant jusqu’à prononcer une amende pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé (articles 4-21, 4-22 et 51 et s. du RGPD et communiqué de presse sur le projet de loi en date du 13 décembre 2017 en vue d’adapter la loi de 1978 au droit de l’Union européenne).

 N’attendez plus pour vous lancer !


Quelques points de vigilance
Liste des copropriétaires ; liste d’éventuels mandataires de copropriétaires ; informations transmises aux notaires lors de la cession de lots (états datés, …) ; informations transmises aux mandataires ad hoc et aux administrateurs judiciaires en cas de copropriétés en difficuté ; collecte de vidéos de télésurveillance des parties communes ; codes d’accès - Vigiks© ;  données transmises aux prestataires extérieurs (convocation AG, archives SdC, bureaux d’étude, …) ; contrats de travail des employés (concierges) du syndicat gérés par les syndics ; données bancaires des copropriétaires pour les appels de fonds ; données collectées dans le cadre d’un emprunt collectif ; relevés Linky © ; portabilité des données en cas de changement de syndics…


Pour aller plus loin
Guide pratique de la CNIL
Guide pratique de la CNIL pour les TPE/PME
Sur la désignation du DPO