Un an et demi après son entrée en vigueur, le RGPD a fait sa première victime française : un réseau immobilier s’est vu sanctionné financièrement pour « atteinte à la sécurité des données et non-respect des durées de conservation ». C’est la Cnil, autorité en charge de faire respecter le règlement européen dans l’Hexagone, qui a prononcé la sentence.
Ce coup dur permet de rappeler à tous les professionnels de l’immobilier que le règlement européen pour la protection des données n’est pas un texte à prendre à la légère, et que la Cnil entend renforcer ses actions de vérification pour inciter les entreprises à respecter leurs obligations.
Pour nous, c’est aussi l’occasion de rappeler que le RGPD dans l’immobilier n’est pas qu’une épée de Damoclès suspendue au-dessus des professionnels de la transaction : c’est également une opportunité en or, celle de consolider la confiance entre vos prospects/clients et vous.
Un important réseau immobilier sanctionné par la Cnil pour non-respect de ses obligations à l’égard du RGPD
400 000 € : c’est le montant de l’amende infligée à un grand réseau immobilier, spécialisé dans l’achat/vente et la gestion de biens, pour avoir « insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées » (jugement rendu par la Cnil).
La sanction cible le manque de sécurité du site web de l’entreprise au regard des documents personnels uploadés par les candidats à la location. La plateforme permet en effet à ceux-ci de déposer leur dossier en ligne à destination des bailleurs. Or, en août 2019, un utilisateur a signalé à la Cnil avoir pu accéder à des documents qui n’étaient pas les siens, simplement en modifiant l’URL dans son navigateur, depuis son espace personnel. De sorte que les pièces justificatives de plusieurs milliers d’individus étaient accessibles, certaines entrant dans la catégorie des informations sensibles (coordonnées bancaires, relevés de comptes, avis d’imposition, numéros de cartes Vitale, attestations d’allocations…).
Au fil de son enquête, la Cnil a constaté le retard pris par l’entreprise quant à la prise en charge du problème, dont elle avait connaissance depuis plusieurs mois. Entre mars et septembre 2018, jusqu’à ce qu’un correctif soit apporté, les données des utilisateurs étaient accessibles par le tout-venant du fait d’une vulnérabilité : aucune procédure d’authentification ne permettait de vérifier que les utilisateurs souhaitant accéder à des documents étaient bien ceux qui les avaient préalablement uploadés.
Dans son jugement, la Cnil indique que la société a « manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD ». Ce n’est pas tout : l’entreprise « conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à la location au-delà de la durée nécessaire à l’attribution de logements ». Ces données auraient dû être supprimées ou, du moins, archivées et stockées dans une base de données distincte. Enfin, la Cnil reproche la « gravité du manquement », le « manque de diligence (…) dans la correction de la vulnérabilité », et le fait que « les documents accessibles révélaient des aspects très intimes de la vie des personnes ». Néanmoins, pour fixer le montant de l’amende, elle a tenu compte de la taille et de la surface financière de la société fautive. (Le document de la Cnil est disponible dans son entièreté sur cette page.)
Mais le mal est fait. Pour la société en question, la sanction est double : elle touche au portefeuille, mais aussi à la notoriété. Cette annonce s’est accompagnée d’un bad buzz qui a frappé le réseau de plein fouet, et dont il aura sans doute du mal à se remettre.
Comment se conformer aux exigences du RGPD dans l’immobilier ?
Dans le dernier compte rendu qu’elle a publié pour faire le point sur ses activités, la Cnil affirme avoir passé en revue plusieurs agences et réseaux de l’immobilier. Si certaines règles sont bien appliquées dans l’ensemble (concernant la collecte des données, notamment), d’autres sont plus ou moins bien respectées (l’obligation de sécurisation des informations personnelles). C’est vrai pour les données des locataires, mais aussi pour toutes les autres : acheteurs, vendeurs, bailleurs. Tous les professionnels de la transaction sont donc concernés.
Pour éviter de subir le même sort que ce réseau immobilier, il n’est pas inutile de rappeler les grands préceptes du RGPD au regard de la gestion des données personnelles. Vous avez l’obligation…
- d’obtenir le consentement explicite, volontaire et éclairé des utilisateurs dont vous collectez les données,
- de réduire le nombre d’informations collectées au strict nécessaire,
- de ne pas les conserver au-delà de la durée imposée par vos activités (avec l’obligation soit de les supprimer, soit de les archiver dans une base de données séparée),
- d’informer les utilisateurs des finalités visées par l’exploitation de leurs données,
- de sécuriser les serveurs pour éviter le vol, la modification, l’altération ou la disparition des données,
- de vous assurer que vos outils digitaux sont parfaitement conformes au RGPD dans l’immobilier.
N’oubliez pas que le RGPD dans l’immobilier n’est pas seulement une contrainte pour les professionnels, mais aussi une opportunité.
L’application des exigences du règlement européen vous oblige à rationaliser votre collecte de données, à montrer aux utilisateurs que vous êtes sensible à la question de la protection de leurs informations personnelles, à consolider votre socle de confiance, à vous différencier de la concurrence (qui n’est peut-être pas aussi stricte que vous) et à choisir des outils de travail qui garantissent votre sécurité.
pas de commentaires