Logo Dipeeo - Votre DPO externe

RGPD Immobilier : Ce qu'il faut retenir !

Plusieurs structures dans le domaine de l’immobilier traitent de nombreuses données personnelles. Elles sont donc concernées par le RGPD.

RGPD Immobilier

Mais au fait, c’est quoi le RGPD ?

Pour développer le RGPD et le domaine immobilier, il faut définir ce que c’est clairement le RGPD. Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR). C’est un règlement européen qui renforce et harmonise le traitement des données personnelles au sein de tous les États membres de l’Union européenne.

Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.

L’importance du RGPD dans l’immobilier

Plusieurs structures dans le domaine de l’immobilier traitent de nombreuses données personnelles. Elles sont donc concernées par le RGPD. Le domaine de l’immobilier est très touché par l’innovation et la digitalisation. Ces innovations sont rendues possibles grâce à la maîtrise et l’utilisation des données personnelles : projet collaboratif dès le design des bâtiments, implication des futurs usagers, outils digitaux, plateformes SaaS, ventes aux enchères, etc. 

On remarque également le renforcement de la prospection digitale et des agences immobilières en ligne.

Qu’est ce qu’une donnée personnelle ?

Il s’agit de toute information permettant d’identifier une personne physique directement ou indirectement :

  • nom, prénom
  • adresse mail
  • carte de paiement
  • numéro de téléphone
  • identifiant
  • numéro de sécurité sociale
  • adresse IP
  • photo d’un visage
  • vidéo montrant une personne
  •  …

Exemple de société traitant des données personnelles dans le domaine de l’immobilier

Otaree

 

Otaree est une plateforme en ligne qui permet de vendre des biens immobiliers neufs. Leur solution logicielle simplifie les recherches et accélère les démarches commerciales. Notamment grâce à un moteur de recherche avancé avec 25 critères, des mises à jour automatique du stock, une cartographie interactive, un évaluateur d’emplacement et un comparateur de lots. De ce fait, Otaree traite beaucoup de données personnelles grâce à ces outils.

Dipeeo a réalisé un webinar avec Otaree sur les règles de prospection à respecter lorsqu’on est dans le domaine de l’immobilier. Vous pouvez retrouver ce webinar en cliquant ici.

HomeExchange

 

HomeExchange est une structure qui fait de l’échange de maisons et d’appartements entre particuliers. Avec plus de 450 000 maisons dans 157 pays, c’est une gestion très importante de données personnelles (Nom, prénom, réservation, coordonnées bancaires, adresse, …). La recherche de maison et la demande est facilitée par l’utilisation des filtres pour affiner la recherche (type d’échange, équipements…), et par l’organisation des détails des échanges via la messagerie HomeExchange.

Econhomes

 

Econhomes développe des solutions pour permettre de répondre aux attentes des copropriétaires sur les charges de copropriété, à toutes les étapes de la vie d’un immeuble. La réduction des charges de copropriété nécessite des données personnelles comme le nom, le prénom, l’adresse, … Il est donc important de bien respecter et sécuriser les données.

Econhomes a réalisé un témoignages client qui explique leurs enjeux face aux données personnelles et la raison pour laquelle il est important pour une structure comme Econhomes de se mettre en conformité. Vous trouverez le témoignage en cliquant ici.

RGPD Immobilier : Une digitalisation importante des acteurs

En 2022, le marché de immobilier français connaît un essor important. De plus, de nombreuses mesures légales optimisent le profit des investisseurs. Par exemple, la Loi Pinel instaure des mesures de défiscalisation qui maximisent les revenus locatifs.

Le marché immobilier a beaucoup évolué ces dernières années. Avec la digitalisation, les idées innovantes ne sont pas à la traîne. Notamment dans le secteur immobilier, avec des plateformes SaaS de conception d’immeubles, ou des applications qui permettent de voir la structure intérieurs des bâtiments via un smartphone, plusieurs structures voient le jour et se développent rapidement.

Les acteurs historiques, comme les agences immobilières se transforment, voient de nouveaux acteurs et ont des pratiques très digitales.

Immense opportunité mais un besoin de maîtriser les données

Le marché de l’immobilier représente une immense opportunité mais cette opportunité a besoin d’être maîtrisée, notamment via le respect des données personnelles et la sécurité informatique de la structure pour éviter un piratage ou une fuite de données.

Les agences immobilières ont donc besoin de se mettre en conformité au Règlement Général sur la Protection des Données (RGPD). En effet, elles manipulent beaucoup de données comme les ventes passées, parfois très anciennes, avec des données parfois sensibles sur les clients, ou encore des durées de conservation peu respectées.

Elles se mettent en conformité avec pour principales raisons : conformité du site web, conformité pour la prospection, conformité des durées de conservation, respect des consentements, etc.

RGPD Immobilier - Dipeeo

Comment mettre en conformité une entreprise du secteur de l’immobilier avec le RGPD

Collecter et traiter les données personnelles de vos prospects et de vos clients implique de vous assurer de leur respect et de leur sécurisation.

1/ RGPD Immobilier : Le consentement préalable ou l’Opt-in

L’Opt-in ou encore le consentement préalable est l’un des grands principes du RGPD. Ce principe vous impose de recueillir le consentement d’une personne afin de pouvoir la prospecter. Dans le secteur immobilier, les règles de ce consentement préalable sont différentes lorsqu’on est en B2B (Business to Business) ou en B2C (Business to Consumer).

Beaucoup de gens pensent qu’en B2B, il est nécessaire d’avoir le consentement préalable ou l’Opt in, pourtant, c’est faux parce qu’il n’y a pas d’Opt in en B2B. Il n’est pas nécessaire d’avoir le consentement de vos prospects. Cependant, en B2C, le consentement préalable est obligatoire, mais seulement pour les SMS et les emails.

Ce qui signifie que pour le téléphone, qu’on soit en B2B ou en B2C, il n’y a pas d’Opt-in. Vous pouvez donc contacter toutes les personnes que vous souhaitez prospecter sauf si ces personnes sont inscrites sur Bloctel.

Concernant le courrier (publicité par voie postale) qui est un moyen utilisé fréquemment dansle secteur immobilier, il n’y a pas d’Opt-in non plus. Vous pouvez ainsi envoyer des courriers aux personnes que vous souhaitez prospecter. Cependant, il faut rester vigilant car la législation sur les courriers évolue. Bientôt, il ne sera possible d’envoyer des courriers qu’aux personnes ayant indiqué “Oui pub” sur leurs boîtes postales.

2/ La source des données personnelles dans le secteur immobilier

En prospection digitale, vous devez préciser aux personnes prospectées d’où viennent les données que vous avez utilisées. Vous pouvez prospecter de manière directe ou de manière indirecte.

Si vous faites de la prospection commerciale de manière directe, c’est souvent le cas en B2B, c’est-à-dire que vous avez recueilli vous-même le consentement préalable du prospect, il n’y a pas besoin d’informer de la source des données de prospection commerciale.

Par contre, si vous faites de la prospection commerciale de manière indirecte, autrement dit que vous avez obtenu les données d’un prospect de manière indirecte :

  • Outil de génération d’e-mail
  • Achat de bases de données
  • On vous fournit une base de données…

 

Ce sont des pratiques très fréquents dans le domaine immobilier mais vous êtes dans l’obligation d’informer les sources de données de prospection commerciale et vous devez le faire pour chaque message de prospection

Par exemple :

 

Nous avons obtenu vos coordonnées i) directement par vous ii) par l’intermédiaire d’informations publiques (ex : salon et site internet) iii) par l’intermédiaire des réseaux sociaux  (ex : Linkedin) ou encore iv) via des outils autorisés par la CNIL (ex : Drop contact), conformément aux dispositions de l’article L34-5 du CPCE et aux directives de la CNIL.

3/ La durée de conservation des données

La durée de conservation des données est également  l’un des grands principes du RGPD. Elle doit donc être respectée pour se mettre en conformité RGPD. De ce fait, il faut connaître ces règles de la durée de conservation des données personnelles.

Dans tous les domaines, y compris le domaine immobilier, les données personnelles ne peuvent être conservées que pour une durée limitée qui est fixée soit légalement (ex: lois, décrets, règlements), soit directement par l’autorité française de contrôle, la CNIL, via des recommandations, normes simplifiées, etc. Cela concerne également les agences immobilières.

Prospection commerciale B2B :

 

En B2B, il n’y a pas de limites de conservation de données. Donc vous pouvez utiliser une adresse mail sauf pour ceux qui ont demandé un Opt out.

De même, les interprétations sur le sujet sont multiples. On peut lire que la durée de conservation est de trois ans. Toutefois, l’utilisation d’adresse mail B2B étant libre et sans consentement préalable, cette durée devient caduque et peut se renouveler.

Prospection commerciale B2C :

 

La durée de conservation des données personnelles en B2C est de 3 ans à compter du dernier contact. Après ce délai, vous n’avez plus l’autorisation d’utiliser l’adresse mail de ce prospect. À chaque fois que vous contactez une personne par mail, ce délai se remet à zéro et vous pouvez le recontacter pendant 3 ans.

Concernant les personnes pour lesquelles la durée de conservation arrive à échéance, vous pouvez envoyer un mail aux prospects concernés juste avant l’échéance pour leur demander s’ils acceptent que leurs données soient encore utilisées et traitées. Si oui, vous pourrez utiliser leurs adresses mails.

Vous pouvez consulter notre article sur les durées de conservation qui s’appliquent aux domaines des ressources humaines, du marketing, de la prospection commerciale, du marketing, de la comptabilité, etc. (Tableau durée de conservation des données personnelles)

RGPD Immobilier - Dipeeo

4/ Faut-il nommer un Délégué à la protection des données (DPO) ?

Un DPO ou Délégué à la Protection des Données qu’il soit interne ou externe assiste le responsable de traitement ou le sous-traitant dans la conformité au RGPD. On appelle responsable de traitement la personne qui réalise un traitement sur une donnée personnelle. 

Tous les DPO doivent être déclarés auprès de la CNIL  sur ce lien. La liste des DPO nommés auprès de la CNIL est une information publique disponible sur le site de la CNIL. Si vous êtes une agence immobilière ou une structure dans le domaine immobilier et que vous traitez des données personnelles, vous devez nommer un délégué à la protection des données (DPO) et le nommer à la CNIL.

Une communication interne au sein de votre entreprise (ou autre type d’organisme) est recommandée. L’ensemble des employés doit avoir connaissance de sa présence, ses activités et du fait qu’il est joignable pour tout sujet autour des données personnelles.

5/ Le privacy by design

Le Privacy by Design est l’une des notions du RGPD. C’est un concept qui impose aux entreprises d’intégrer les principes du RGPD dès la conception d’un projet, d’un service ou de tout autre outil lié au traitement de données personnelles. Si vous procédez à la refonte de votre site Internet ou au développement d’une application pour l’ immobilier, ces projets doivent être pensés autour des règles du RGPD. Cela vous évitera des corrections après développement.

Play Video about RGPD Immobilier - Quelles sont les règles d'opt-in en prospection commerciale B2B et B2C ?

Les sujets RGPD les plus fréquemment rencontrés par les acteurs immobilier

1/ Peut-on faire de l’achat de base de données de prospect en B2C ?

On peut faire de l’achat de base de données de prospects en B2C mais cela nécessite une condition : Il faut faire attention à la personne qui vous vend la base de données de prospects.

En B2C, vous ne pouvez pas prospecter sans l’accord préalable (Opt-in). Ce qui signifie que si quelqu’un vous a envoyé une base, vous n’avez pas le droit de prospecter les personnes qui sont dans cette base de données. En effet, ces personnes ne vous connaissent pas. MAIS il y a une exception !

Si ces personnes ont donné leurs accords par l’intermédiaire d’une case à cocher qui donne l’autorisation d’envoyer les informations personnelles à des partenaires ou à des tiers, il n’y a pas de problème.

La personne qui vous a vendu la base doit donc avoir recueilli le consentement préalable de tous les prospects contenus dans cette base et doit pouvoir le prouver. Elle doit également s’engager à respecter le RGPD et de démontrer que ses sources de données sont conformes au RGPD.

Quand vous faites de l’acquisition de base de données, vous devez vous assurer que celui qui vous a vendu la base de données respecte le RGPD et que la source de la base de données est conforme aux RGPD.

2/ En B2C, a-t-on le droit de faire un prêt de base de données de prospect ou un partenariat ?

En B2C, il est possible de faire un prêt de base de données de prospects si les prospects ont donné leur consentement. Cependant, ce n’est pas très recommandé car il y a 2 raisons à cela : le consentement préalable et l’éthique. En B2C, les gens n’acceptent plus de recevoir un message ou un email de prospection sans leur consentement, et ils ne comprennent pas et sont mécontents.

Cependant, en B2C, vous avez le droit de faire une communication commune ou un événement comme un webinar.

3/ Les mandataires ont-ils le droit de partager une base de données de prospects ?

RGPD Immobilier : Les mandataires n’ont pas le droit de partager une base de données de prospects. Pourquoi ? Dans un réseau constitué de plusieurs membres, tous juridiquement indépendants, liés par un contrat, un consommateur va venir pour un mandataire spécifique, un mandataire qui aura sa base de données personnelles, à lui.

De plus, un mandataire est considéré comme un sous-traitant, parce qu’il va traiter les données pour le compte d’un mandant, donc les données appartiennent au mandant.

4/ Un mandataire peut-il réutiliser une base de données de prospects pour plusieurs entreprises ?

Un mandataire est considéré comme un sous-traitant au sens du RGPD ; Il peut réutiliser une base de données de prospects pour plusieurs entreprises s’il a lui-même créé sa base dans le cadre de son activité.

La base lui appartient, c’est sa propriété. Il peut donc l’utiliser pour plusieurs entreprises dans le secteur immobilier ou pas. Par contre, si on lui procure une base en lui demandant de s’occuper d’une tâche en lien avec cette base, cela ne lui appartient pas donc il ne peut pas réutiliser cette base comme il le souhaite.

Quelles sont les risques et les sanctions encourus ?

Lorsqu’une structure n’est pas conforme au RGPD, elle est exposée à de nombreux risques. Par exemple, elle peut avoir une violation de données personnelles ou encore un contrôle CNIL. Un contrôle CNIL peut se faire de manière inopinée ou encore lorsqu’une personne dépose une plainte à la CNIL.

Ces dépositions de plaintes sont souvent liées à des causes internes lorsqu’un salarié n’est pas content (Ressources Humaines). Elles peuvent également être liées à des causes externes; c’est-à-dire une déposition de plainte par un client  B2C ou un client B2B. Le secteur immobilier est d’autant plus impacter car beaucoup de structures ont des clients B2B et B2C.

 Avec le RGPD, le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.

En plus des sanctions que le RGPD peut donner aux entreprises qui ne sont pas en conformité, il existe d’autres conséquences qui peuvent directement nuire à l’entreprise :

  • Demande en dommages et intérêts : les personnes qui sont en lien avec la violation du RGPD peuvent subir un dommage matériel ou moral. L’entreprise ou l’organisme devra alors verser des dommages et intérêts. 
  • Le non-respect du RGPD est aujourd’hui considéré comme de la concurrence déloyale. Une décision du tribunal de grande instance de Paris vient de considérer que ne pas respecter le RGPD peut être condamnable pour concurrence déloyale.
 
Attention :

 

En plus du paiement de l’amende pour le non-respect du RGPD, l’entreprise doit un versement de dommages et intérêts. En effet, le paiement de dommages et intérêts ne se substitue pas aux sanctions administratives et pénales.

Un déficit d’image : Une absence de mise en conformité d’une entreprise au RGPD va surement nuire à son image et à sa réputation. Cela pourrait alors engendrer une perte de revenus, car il y aura une perte de confiance des clients en l’entreprise.

RGPD Immobilier - Dipeeo

✨ Dipeeo : Votre DPO externalisé ✨

Dipeeo propose un service de DPO externalisé permettant de traiter tous les sujets RGPD du client. Le client a un interlocuteur unique, son DPO, qui est un juriste ou un avocat.

Dipeeo réalise toute la mise en conformité du client, rédige les documents, répond aux questions, traite les imprévus.…

En plus des échanges en visio, le client et le DPO Dipeeo vont collaborer via la plateforme digitale. Celle-ci permet d’automatiser l’ensemble des tâches à faible valeur ajoutée de la conformité RGPD. Dipeeo propose également un tarif spécifique pour les agences immobilières qui est de 79.90€ par mois

Dipeeo : c'est un DPO externalisé qui traite tous les sujets RGPD pour vous

Icone dpo_externe
Icone dpo_externe
Icone dpo_externe
Icone dpo_externe

DPO externalisé à vos côtés

Conformité RGPD globale

Simple et rapide

Le label "RGPD Conforme" délivré

Vous êtes à la recherche d’un DPO externe ? 

Nous sommes là pour vous aider. 

Tous nos DPO sont certifiés par l'AFNOR et justifient d'une
expérience significative

Les ressources disponibles

Sous traitant RGPD - Dipeeo

Sous traitant RGPD

Qu’est-ce qu’un sous traitant RGPD ? Sous traitant RGPD Un sous traitant RGPD au sens du Règlement Général sur la Protection des Données est une...

Read More

Témoignages de nos clients

Play Video about Témoignage client Leadjet

Startup Tech

Play Video about Temoignage3-BGE-PaRIF-dpo-externe

Association

Play Video about Temoignage2-Econhomes-dpo-externe.png

Startup Immobilier

Play Video about Temoignage-Tour-dArgent-dpo-externe.png

Groupe de restauration

Envie de découvrir
Dipeeo ?
Demander une démo !

Nous sommes disponibles pour échanger sur vos besoins
et vous présenter le service de DPO externalisé Dipeeo
 
Votre DPO externalisé réalise votre mise en conformité et traite
tous les sujets RGPD au quotidien

Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.