[N°638] - Entretien avec Leila Benaissa

par YS
Affichages : 2359

 "Procéder rapidement à un inventaire des traitements et des sous-traitants"

Maître Leila Benaissa, avocate au barreau de Grasse au sein du cabinet Fidal, est spécialiste en droit de la protection des données à caractère personnel et intervient dans le cadre de différents projets de mise en conformité avec le RGPD.
Le RGPD, acronyme de Réglement Général sur la Protection des Données, désigne le règlement européen (UE) 2016/679, qui entre en application le 25 mai 2018 dans tous les États membres de l’Union européenne et qui modifie les règles applicables au traitement des données à caractère personnel. Les professionnels de la gestion immobilière, qui traitent des données personnelles tous les jours, sont concernés !

 

 

Pouvez-vous nous présenter le RGPD et ses conséquences pour les syndics et les administrateurs de biens ?
«Les syndics et les administrateurs de biens sont amenés dans le cadre de leurs activités à collecter et traiter des données à caractère personnel relatives à leurs collaborateurs (noms, prénoms, numéros de sécurité sociale, données bancaires etc.), aux propriétaires de biens (liste des copropriétaires, adresses, données bancaires etc.) et à leurs éventuels mandataires. Ils sont également amenés à échanger des données à caractère personnel avec des notaires et différents prestataires de service.
Ils entrent, par conséquent, dans le champ d’application du RGPD qui constitue une réforme majeure des règles applicables aux traitements des données à caractère personnel.
Si les grands principes sont déjà prévus par la loi Informatique et libertés du 6 janvier 1978, le RGPD supprime la plupart des formalités auprès de la CNIL en contrepartie d’une obligation pour les organismes de mettre en place des outils techniques et organisationnels permettant d’assurer à la fois la protection des données à caractère personnel par les organismes et la démonstration de cette conformité.
Le RGPD prévoit également un renforcement des sanctions ainsi qu’un renforcement des droits existants des personnes physiques (droit à l’information, à l’accès, à la rectification) et la création de nouveaux droits (droit à la limitation du traitement, droit à l’oubli et droit à la portabilité notamment).
Pour les syndics et les administrateurs de biens, il s’agira essentiellement de mettre en place un registre recensant les traitements effectués ainsi que leurs caractéristiques et de recourir uniquement à des sous-traitants dont les outils (logiciels) et prestations sont conformes au RGPD. En effet, le RGPD prévoit une coresponsabilité entre le responsable de traitement et le sous-traitant.
Ils devront également mettre en place des procédures internes, notamment, une procédure destinée à gérer les éventuelles violations de données à caractère personnel. En cas de fuite de données à caractère personnel (accidentelle ou intentionnelle), la CNIL et les personnes physiques devront être informées dans un délai de 72 heures.
Ils devront également se préparer aux éventuelles demandes d’exercice de droit à la portabilité des données par un copropriétaire qui souhaiterait changer de syndic.
Enfin, une attention particulière devra être portée à la conformité d’éventuels dispositifs de vidéosurveillance installés dans des parties communes d’immeubles ainsi qu’à l’information des copropriétaires dans le cadre de l’installation des compteurs intelligents Linky qui nécessite un recueil préalable du consentement de l’abonné par le fournisseur d’énergie.»

Est-ce que le RGPD concerne aussi les syndics bénévoles ?
«Absolument. Le RGPD ne prévoit aucune dérogation dès lors que des données à caractère personnel font l’objet d’un traitement dans le cadre d’une activité professionnelle, que celle-ci soit bénévole ou non.»  

Quels conseils donnez-vous à ces professionnels pour mettre leur activité en conformité ?
«Dans son rapport 2017, la CNIL indique que les principes fondamentaux de la protection des données (prévus pour la plupart par la loi Informatique et libertés du 6 janvier 1978) continueront à faire l’objet de vérifications rigoureuses contrairement aux nouvelles obligations issues du RGPD pour lesquels les premiers contrôles effectués auront pour but d’accompagner les entreprises.
Je conseille donc aux professionnels de l’immobilier de procéder rapidement à un inventaire des traitements effectués et de corriger les éventuels écarts avec la loi Informatique et libertés (information des personnes concernées, consentement, sécurité, délais de conservation). Je leur conseille également de procéder à un inventaire des principaux sous-traitants et de ne retenir que les sous-traitants présentant un niveau de conformité suffisant avec le RGPD.
Enfin, je leur conseille de désigner en interne une personne qui sera chargée d’élaborer un plan d’actions adapté et d’assurer la conformité au RGPD (et à la future loi Informatique et Libertés V2) dans le temps. Sur ce point, une concertation s’agissant de la désignation d’un éventuel DPO mutualisé pourrait être menée.»

Quels sont les risques encourus en l’absence de conformité au 25 mai 2018 ? Existe-t-il des délais pour répondre à ces obligations ?
«Actuellement, les sanctions prévues peuvent aller jusqu’à 3 millions d’euros. Le RGPD prévoit des sanctions pouvant aller jusqu’à 10 ou 20 millions d’euros, selon le manquement commis, ou 2 à 4 % du chiffre d’affaires (mondial). L’atteinte à l’image et à la réputation constitue également un risque majeur dans un secteur concurrentiel tel que celui de l’immobilier, les sanctions et les scandales en cas de fuite de données étant particulièrement relayés par la presse.  
S’agissant des délais, il faut savoir que le RGPD est entré en vigueur le 25 mai 2016 et que les autorités européennes ont laissé 2 ans aux organismes (publics et privés) pour s’y préparer. Le 25 mai 2018 signe donc l’entrée en application de ce texte. A partir de là, aucun délai supplémentaire ne sera accordé.» Propos recueillis par M.S.