RGPD et Immobilier : comment les entreprises du secteur doivent-elles aborder la mise en œuvre de cette réglementation ?
Difficile d’échapper au RGPD ! Après avoir largement occupé l’actualité, le RGPD a pris d’assaut les boîtes mails au travers des demandes de consentement (« opt-in ») que bon nombre d’entreprises ont adressées à leurs prospects. Mais le RGPD ne se réduit pas à ça. Cette réglementation implique de mettre en œuvre un démarche structurée pour gérer les données personnelles de manière plus protégée. Entre les contraintes réglementaires et les sanctions financières, il y a un travail à mener qui ne se limite pas au fameux mail de demande de consentement.
Tous les acteurs de l’immobilier ne seront pas impactés de la même manière. Toutefois, que l’on soit bailleur social ou property manager, la même démarche s’imposera. Cette démarche est en trois 3 temps : identifier les données personnelles proprement dites au sein des services de l’entreprise, identifier ce qu’on fait avec ces données personnelles c’est-à-dire ce qu’il est convenu d’appeler « les traitements de ces données » et les risques afférents et enfin, définir et mettre en œuvre le plan d’actions visant à mieux gérer les données personnelles de l’entreprise.
Identifier les données au sein des entités et services collectant des données personnelles.
Attention au piège : les données personnelles ne se limitent pas aux données sensibles !
Lorsque l’on évoque les données personnelles, on pense en premier lieu à des informations telles que les données de santé ou encore l’orientation sexuelle. Mais la définition est bien plus large : constitue une donnée personnelle toute information se rapportant à une personne physique identifiée ou identifiable. La définition est donc très large et le premier travail consistera donc à recenser les entités du groupe concernées par le traitement de ces données (société, direction, service).
B to C et B to B, même combat !
Les entreprises B to C sont évidemment les premières concernées, mais les entreprises B to B ne doivent pas négliger ce sujet. Les entreprises du secteur immobilier ne sont ainsi pas concernées de la même façon. Les bailleurs sociaux (dans leur activité de B to C) par exemple doivent traiter de grands volumes de données personnelles (revenu, composition du foyer,…) tandis qu’une foncière de bureaux (dans un rôle de B to B) aura un fichier prospects / clients plus limité. Le fait d’avoir un client personne morale ne signifie bien entendu pas qu’on ne dispose pas d’information sur les personnes physiques de ladite personne morale. Sans compter que toutes entreprises, immobilier ou pas, sont concernées au titre des données personnelles relatives aux salariés.
Les données personnelles dans l’immobilier : dans les CRM … mais pas que !
Depuis quelques années, les promoteurs, les bailleurs sociaux, les agents ou encore les sociétés de gestion de SCPI ont mis en place des solutions de type CRM (Customer Relationship Management). Ils consolident ainsi dans ces systèmes des informations issues de leur site internet ou encore des informations recueillies lors des échanges directs avec leurs prospects ou clients. Ces outils sont ensuite utilisés pour organiser les échanges avec les clients (impayés, prospection, communication, réservation d’un logement, demande de logement, …). Pour les entreprises ne disposant pas d’un CRM, les données personnelles seront à chercher principalement du côté de l’ERP (progiciel de gestion intégré). Mais dans tous les cas, chacun sait que des données personnelles, CRM ou pas, ERP ou pas, sont stockées dans diverses bases de données de type Excel un peu partout dans l’entreprise.
Rester pragmatique et tendre vers un travail exhaustif.
Pour mieux cerner le périmètre, nous privilégions une analyse des documents de l’entreprise : organigrammes, processus, cartographies applicatives, contrats en cours, déclarations CNIL déjà effectuées, etc. Cette analyse documentaire permettra ensuite de mieux cibler les collaborateurs à rencontrer. La connaissance des métiers de l’entreprise permet de rapidement cibler les entités concernées, mais il ne faut pas négliger l’opportunité d’une analyse systématique par service.
Cette approche a le mérite d’identifier les données de la manière la plus complète possible mais elle a aussi l’avantage d’identifier ipso facto l’utilisation qu’en fait le service / le collaborateur de l’entreprise. Elle prépare directement la constitution d’un « registre des traitements de la donnée », objet de l’étape de travail suivante.
Identifier les traitements de ces données et les risques afférents.
Le recensement des traitements : un approfondissement avec les référents identifiés et la DSI.
La construction du registre des traitements passe par un dialogue avec les référents des traitements identifiés. Il s’agit d’abord d’un recensement des traitements (voir contenu de ce recensement ci-contre). Ensuite, pour chaque lot de données associé à un traitement, il convient d’analyser le(s) cheminement(s) des données pour préciser : si ces données sont utilisées pour d’autres finalités, comment les données sont conservées (où et pour quelle durée) et enfin les mesures de sécurité mises en œuvre. Afin de compléter le registre, une fiche registre est établie pour chaque traitement recensé.
Si ce travail doit s’appuyer sur les équipes fonctionnelles / métier, la mobilisation de la DSI sera également nécessaire afin de comprendre la réalité des traitements informatisés. La sécurisation de l’analyse passe par ce travail croisé « fonctionnels » X « outils ».
Analyser les risques pour prendre les mesures appropriées.
Ce registre des traitements constitue ainsi le matériau sur lequel seront définies des règles de mise à jour. Mais il ne constitue pas une fin en soi !
En effet, il doit permettre avant tout de qualifier le niveau de risque par traitement. La grille de mesure du risque est à élaborer à partir des critères fournis par les textes (règlement, lignes directrices G29, site de la CNIL,…) mais également à partir des critères propres à l’entreprise (niveau estimé de sécurité des procédures de sauvegarde, d’accès aux données, des postes de travail, dans les procédés d’extraction de données, de pseudonymisation…). Si le risque est considéré comme élevé, le traitement devra faire l’objet d’une « analyse d'impact sur la protection des données ». Ce sera par exemple le cas, lorsque ces données entraînent une prise de décision automatisée ayant des effets juridiques à l’égard d’une personne physique (cas des bailleurs sociaux) ou encore lorsque les données sont sensibles (au sens de l’article 9 du RGPD).
Le lourd travail n’est pour autant pas terminé, détrompez-vous ! Il faudra ensuite identifier les actions de mise en conformité pertinentes…
Définir et mettre en œuvre le plan d’actions visant à mieux gérer les données personnelles de l’entreprise.
Un plan d’actions pour répondre à une pluralité d’exigence.
Au nom du principe d’accountability, l’entreprise doit se donner les moyens de respecter une pluralité de principes. C’est au nom de ces principes qu’il faudra définir les actions pour adapter les processus et les outils. Ces principes sont, globalement les suivants :
- Le principe de proportionnalité impose ainsi que les données soient « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ».
- Le principe de temporalité impose que les données soient conservées pendant une durée limitée, au-delà de laquelle les informations doivent être effacées (3 ans pour les fichiers de prospect selon la CNIL).
- On peut également citer : le principe d’exactitude et de qualité des données, le principe de la loyauté et de la licéité de la collecte, le principe de finalités déterminées, explicites et légitimes ou encore le principe de consentement. Ce sont ces deux derniers principes qui expliquent la vague d’emails reçus ces derniers jours.
Tous ces principes doivent être traduits effectivement dans l’entreprise. Cela signifie que, pour chacune des lignes du registre des traitements, les mesures existantes doivent être recensées et, lorsqu’elles sont insuffisantes, les actions correctives doivent être mises en place.
La nature des actions à mettre en œuvre.
Très concrètement, pour se mettre en conformité, une fois les travaux précédents réalisés, les entreprises doivent identifier :
- les procédures ou les processus métier à modifier,
- les modifications de paramétrage des solutions informatiques à réaliser,
- les développements informatiques à réaliser,
- les consentements à obtenir et les actions de communication à réaliser,
- l’organisation interne pour le contrôle et le maintien dans le temps de cette conformité.
Une nécessaire plongée au cœur des processus et des systèmes d’information de l’entreprise.
Le principe d'accountability impose de pouvoir apporter la preuve que toutes les mesures techniques et organisationnelles sont mises en œuvre pour la protection des données personnelles. Sauf exception, la déclinaison de ce principe dans la réglementation n’impose pas mécaniquement la désignation d’un Délégué à la Protection des Données. Toutefois, une gouvernance paraît nécessaire pour conduire et suivre la mise en conformité au RGPD. Il s’agira en effet, d’aller encore un peu plus loin dans les processus et l’analyse des systèmes d’information afin de pouvoir définir les actions permettant de respecter les contraintes réglementaires.
Le coût de cette mise en conformité.
À la lecture de ce qui précède, on comprendra aisément pourquoi cette évolution réglementaire a de lourds impacts pour les entreprises.
D’une part, les enjeux de coûts liés aux systèmes d’information pourront dans certains cas représenter des montants significatifs (même si l’on peut espérer que les éditeurs proposeront de solutions pour faciliter cette mise en conformité). Pour la seule année 2018, les entreprises françaises devraient ainsi débourser entre 900 millions et 1 milliard d’euros en services et logiciels directement liés au projet RGPD, selon les dernières estimations d’IDC France et du Syntec Numérique.
D’autre part, certaines pratiques marketings devront tout simplement être bannies (achat de bases de données, conservation de données personnelles indéfiniment, prospection en masse sans recueillir le consentement préalable,…), ce qui signifie pour les entreprises de renouveler leurs approches commerciales. Cela passera notamment par offrir plus de contenus ciblés aux prospects en échange de leur consentement à l’utilisation de leurs données (Inbound marketing).
La sensibilité des individus sur la protection des données personnelles est de plus en plus forte. Au-delà des sanctions financières ou du coût pour l’entreprise, le RGPD est également un enjeu d’image pour les entreprises qu’il ne faut pas négliger.
*
* *
B to C ou B to B dans l’immobilier, peu importe. Tous les acteurs sont partie prenante à la vie de chacun, chez soi ou au bureau. À ce titre, chacun des acteurs a le devoir de conscience d’être de fait un tiers de confiance pour beaucoup de personnes. Cela oblige. Le bon respect du RGPD pourrait être un signe fort de la bonne foi de ce qui apparaît comme des tiers de confiance pour beaucoup d’entre nous.
Adrien Rospabé, Directeur Associé, Akeance Consulting.
Maud Guibourg, Directrice, Akeance Consulting.