Location immobilière : droits et obligations par rapport au RGPD
Les différents acteurs liés à la location immobilière sont confrontés à la mise en conformité au RGPD, et il n’est malheureusement pas rare de constater que rien n’est fait pour informer les propriétaires ni les locataires. Or le RGPD doit être pris en compte dans le cadre de la location immobilière, la CNIL a d’ailleurs publié un référentiel à ce sujet. Nous ne reprendrons pas ici toutes les obligations qu’imposent le RGPD aux différents acteurs, mais celles qui concernent spécifiquement la location immobilière. En effet, tous les acteurs professionnels du secteur de la location immobilière doivent être en règle au niveau conformité, ce qui implique d’avoir mis en place et documenté de façon détaillée les mesures prises.
Conseil de GDPRfolder
Il est important de disposer d’un dossier RGPD qui vous permettra de démontrer que vous avez bien effectué toutes les mesures nécessaires pour vous mettre en conformité, que ce soit au niveau sécurité de l’information, ressources humaines, site internet, etc.
Quels sont les acteurs concernés ?
- Les candidats locataires qui doivent être informés et signer un contrat ou consentir à une politique de vie privée AVANT de confier toute donnée à l’agence
- Le propriétaire qui est responsable de traitement et soumis à toutes les obligations du RGPD sauf s’il s’agit de gestion privée de bien personnels. S’il conclut un contrat avec une agence, les aspects RGPD doivent en faire partie.
- Le locataire choisi par le propriétaire, qui, indépendamment des données confiées à l’agence, devra signer un contrat de bail et confier des données supplémentaires comme un compte bancaire
- L’agence immobilière qui va collecter des données auprès des candidats locataires et les soumettre au propriétaire
- Le mandataire ou l’employé de l’agence qui dans son contrat avec l’agence doit avoir été informé quant au respect du RGPD et avoir signé une clause de confidentialité
- Le réseau éventuel dont l’agence fait partie, qui a un contrat avec l’agence locale qui doit contenir les rôles de chacun et notamment les modalités de respect du RGPD.
- Les sous-traitants de l’agence immobilière, telles que le gestionnaire et l’hébergeur de sa base de données, le gestionnaire de son site internet qui a accès aux demandes de renseignement en ligne, etc.
Quelles sont les activités liées à la gestion des données concernées par le RGPD ?
Envisageons les dans l’ordre chronologique
- Le propriétaire veut mettre en bien en location.
- S’il le fait lui-même et qu’il est un professionnel, ou une société immobilière, il devra proposer aux candidats locataires une politique de vie privée à laquelle ils devront consentir et il devra conserver la preuve de l’acceptation de cette politique par les candidats.
- S’il confie son bien à une agence, il devra signer un contrat avec celle-ci dans lequel la question des traitements de données personnelles sera précisée
- Le candidat locataire devra soumettre un dossier comprenant de nombreuses données personnelles, carte d’identité, relevés de salaire, etc. Le propriétaire ou l’agence devront lui faire signer un contrat ou à tout le moins obtenir son consentement au sujet de la politique de vie privée concernant les données qu’il confie à l’agence ou au propriétaire.
- L’agence ou le propriétaire vont analyser les dossiers des candidats et éventuellement en refuser certains. Les données de ceux-ci devront être détruites conformément aux politiques de vie privée.
- Le mandataire ou l’employé de l’agence, ou du propriétaire, communique avec les candidats par messagerie ou mobile, pour fixer les heures de visite et collectera donc le numéro de portable du candidat.
- Le propriétaire va choisir le candidat retenu et signer un bail avec lui. Et dans le cadre de ce contrat, la question des données personnelles devra être abordée.
- Les sous-traitants du propriétaire et de l’agence vont collecter les données de leurs clients et le contrat entre responsable de traitement et sous-traitant doit préciser les règles en matière de gestion des données personnelles.
- Durant la durée de vie du bail, des traitements de données complémentaires pourront avoir lieu, quant à des travaux effectués par des corps de métier, des recouvrements de loyers impayés, etc.
3 bases légales possibles
Pour tous ces traitements de données, le RGPD impose une base légale sans laquelle ces traitements seraient purement et simplement illégaux et punissables. C’est le responsable de traitement qui doit déterminer la base légale applicable en l’espèce. Il n’y a que trois bases légales possibles dans le cadre de la location immobilière, et qui doivent être précisées dans les politiques de vie privée proposées :
- Le consentement de la personne concernée : par exemple lorsque le candidat locataire confie ses données à l’agence.
- Un contrat : par exemple lorsqu’un propriétaire confie le soin de trouver un locataire à une agence
- L’intérêt légitime : par exemple de l’agence à contacter d’anciens clients pour des propositions commerciales similaires
Politique de vie privée
Et pour tous ces traitements de données, des politiques de vie privées devront être rédigées et être proposées AVANT toute collecte et tout traitement de données à caractère personnel. Et ces politiques de vie privée doivent comporter de nombreuses précisions :
- L’identité et les coordonnées du responsable de traitement (l’entité qui collecte ou traite les données)
- La base légale en vertu de laquelle les données sont collectées et, en cas de consentement, le fait que la personne concernée peut retirer son consentement à tout moment.
- Le type de données collectées en tenant compte que seules la collecte de données indispensables est autorisée et que certains types de données ne peuvent être demandées, comme la religion d’un candidat locataire par exemple.
- Les coordonnées de son délégué à la protection des données. Il est recommandé aux professionnels du secteur de désigner un délégué, qui peut être mutualisé au sein d’un réseau d’agence par exemple.
- Les finalités du traitement, c’est-à-dire les raisons pour lesquelles les données sont collectées ou traitées
- Les catégories de personnes physiques ou morales qui auront accès aux données : propriétaire, banque pour la garantie bancaire, sous-traitants de l’agence, administration fiscale, entrepreneurs en cas de travaux, etc.
- Le fait que les données seront transférées hors de l’Union Européenne (en cas d’utilisation d’un hébergeur américain pour la base de données de l’agence par exemple)
- La durée de conservation des données. En effet, elles doivent être détruites dès qu’il n’est plus nécessaires de la conserver, par exemple les données d’un candidat locataire non retenu, sauf si celui-ci demande d’être informé d’autres possibilités de location. Ces durées sont différentes selon les cas : les données d’un candidat locataire sont conservées différemment de celles du locataire choisi.
- Une information quant aux droits des personnes concernées : droit d’accès, de rectification, etc.
- Une information quant aux possibilités de porter plainte auprès de l’autorité concernée (CNIL par exemple)
- L’existence de techniques de profilage automatisé, par exemple pour sélectionner automatiquement des candidats locataires
Pour informer correctement les personnes concernées, il est recommandé que la politique de vie privée leur soit communiquée dès le premier échange et qu’en cas de transfert de données la politique soit approuvée avant tout transfert de données personnelles. De même une politique complète de gestion des données personnelles doit se trouver sur le site de l’agence et du propriétaire. Un lien renvoyant vers la politique de vie privée peut également être inséré dans l’annonce de location, dans les emails à destination des candidats ainsi que sur le formulaire de contact sur le site web de l’agence immobilière à l’attention des personnes intéressées par une annonce.
Conseil de GDPRfolder
Le site internet est la partie émergée de l’iceberg et montre malheureusement trop souvent soit une absence de politique de vie privée, soit quelques lignes insuffisantes, voire des références à la règlementation qui a précédé le RGPD. Vérifiez donc votre site et insérez les politiques de vie privée indispensables.
Conclusion
Il est important de noter que les données collectées doivent être uniquement celles nécessaires pour le traitement concerné. Par exemple les coordonnées bancaires et les fiches de salaires ne peuvent être collectées que lorsque le candidat locataire est intéressé et souhaite signer un bail, afin que le propriétaire puisse effectuer son choix parmi les candidats locataires. Ces données ne peuvent être collectées pour de simples visites avant tout engagement du candidat locataire.
Il est de la responsabilité du responsable de traitement de mettre en place les mesures de sécurité indispensable pour sauvegarder la confidentialité des données collectées, et notamment de limiter l’accès à celles-ci uniquement aux personnes qui en ont besoin dans le cadre de leur fonction. Il ne serait pas correct que tous les collaborateurs de toutes agences d’un réseau aient accès à toutes les données personnelles de tous les candidats locataires de toutes les agences. De même, le choix des sous-traitants des agences est de la responsabilité du responsable de traitement qui doit sélectionner des organisations démontrant qu’elles sont en règle par rapport au RGPD.
N’oublions pas que les personnes concernées ont un droit d’accès, de rectification, un droit à l’effacement et que ceux qui ont collecté les données doivent leur répondre endéans le mois.
Il est donc essentiel que les agences et les propriétaires (lorsqu’ils sont des professionnels) mettent en place les informations nécessaires pour les personnes concernées, les procédures liées à ces informations et aux droits des personnes concernées, sans oublier la constitution d’un dossier RGPD complet.
Conseil de GDPRfolder
Ne tardez pas, des agences immobilières se sont déjà vu infliger des amendes pour non-conformité au RGPD.
Envie d'en savoir plus ?
Vous cherchez une solution clé en main pour votre gestion RGPD ?
Contactez-nous pour en savoir plus sur notre solution et sur ses applications.