RGPD - Comment tenir mon registre des activités de traitement ?
Publié le 28 Juin 2021
La profession d’agent immobilier recouvre de multiples facettes. D’intermédiaire de vente ou de location à syndic de copropriété en passant par régisseur, les services que peut offrir l’agent immobilier à ses clients sont aussi divers que les données à caractère personnel qu’il sera amené à collecter et traiter. Les catégories de personnes impliquées dans un projet immobilier peuvent en effet être très variées : vendeurs, (candidats-)acheteurs, bailleurs, (candidats-) locataires, cautions, notaires, huissiers, avocats, assureurs, syndics, copropriétaires, investisseurs, etc.
Comprendre la nature de son rôle et les obligations qui en découlent au sens de la réglementation relative à la protection des données peut dès lors s’avérer une tâche complexe pour le professionnel de l’immobilier. En particulier, la tenue du registre des activités de traitement telle qu’imposée par le Règlement général relatif à la protection des données (RGPD) peut s’avérer un vrai casse-tête. Essayons d’y voir plus clair…
Les notions de responsable du traitement et de sous-traitant
Le RGPD distingue deux principaux acteurs dans le traitement de données à caractère personnel : le responsable du traitement et le sous-traitant. Les obligations et responsabilités de chacun diffèrent, ce qui rend fondamentale l’identification du rôle joué.
Quelques définitions en guise de rappel :
- Le responsable du traitement est défini comme toute personne physique ou morale, autorité publique, service ou organisme qui détermine, seul ou conjointement, les finalités et les moyens du traitement de données personnelles.
- Le sous-traitant est quant à lui désigné comme toute personne physique ou morale, autorité publique, service ou organisme qui traite les données personnelles pour le compte du responsable du traitement.
Le double critère utilisé pour identifier le responsable du traitement est donc celui de la détermination des finalités (“pourquoi ?”) et des moyens (“comment ?”) du traitement. Le sous-traitant est quant à lui identifiable par le fait qu’il agit sur instruction du responsable du traitement.
Déterminer quel rôle revêt une personne prenant part à un traitement de données à caractère personnel implique d’effectuer une analyse de l’activité de traitement en cause. À cet égard, soulignons qu’une même personne ou entité pourrait agir, en même temps, en tant que responsable du traitement pour certaines activités et en tant que sous-traitant pour d’autres activités.
L’agent immobilier est-il responsable du traitement ou sous-traitant ?
Comme indiqué ci-dessus, la réponse à cette question repose essentiellement sur une analyse de chaque activité de traitement concernée effectuée par l’agent immobilier.
Illustrons nos propos par quelques exemples :
- L’agent immobilier – intermédiaire de vente ou de location traite les données à caractère personnel relatives aux candidats intéressés par le bien immobilier en qualité de sous-traitant. Il agit en effet au nom et pour le compte du vendeur ou du bailleur qui lui donne mandat pour rechercher des candidats acquéreurs ou locataires. À l’inverse, il traite les données à caractère personnel du vendeur ou du bailleur en qualité de responsable du traitement aux fins de l’exécution du contrat de services qu’il a conclu avec son client ;
- L’agent immobilier qui intervient en tant que syndic d’une copropriété traite les données à caractère personnel des copropriétaires ou de tiers (entrepreneurs, comptables,…) pour le compte de l’association des copropriétaires en qualité de sous-traitant ;
- L’agent immobilier-régisseur qui traite les données à caractère personnel d’un propriétaire privé qui lui a confié son portefeuille immobilier pour l’informer quant au rendement de son portefeuille agit en qualité de responsable du traitement ;
- L’agent immobilier qui répond à une question qui lui est posée par un prospect via le formulaire de contact de son site internet revêt la qualité de responsable du traitement ;
- L’agent immobilier qui traite les données à caractère personnel de ses employés pour la gestion de leurs horaires et de leur salaire agit en tant que responsable du traitement.
La tenue d’un registre des activités de traitement
Tant le responsable du traitement que le sous-traitant doivent, selon le RGPD, tenir un registre des activités de traitement. Les informations à mentionner dans ce registre sont toutefois plus nombreuses pour le responsable du traitement tandis que le sous-traitant peut se limiter à tenir un registre “allégé” :
Comment remplir son/ses registre(s) ?
Que vous soyez responsable ou sous-traitant, l’obligation qui pèse sur vous de tenir un registre ne doit pas être prise à la légère. Lorsque la portée des informations à indiquer dans le registre est bien comprise, le processus ne se révèle toutefois pas si ardu qu’il n’en a l’air. Il ne s’agit pas non plus d’une tâche chronophage puisqu’une fois le registre établi, celui-ci ne devra être modifié qu’en cas de nouvelle activité déployée par l’agent ou de modification importante d’une activité existante.
La première étape consiste, comme nous venons de le voir, à répertorier l’ensemble des services et activités menées tant en interne qu’en externe et qui impliquent le traitement de données à caractère personnel. Une fois cette liste effectuée, il s’agira ensuite de déterminer en quelle qualité (responsable ou sous-traitant) vous agissez (cfr supra).
La seconde étape consiste à récolter toutes les informations nécessaires pour remplir le registre de traitement, en fonction de votre qualité de responsable ou de sous-traitant (cfr tableau n°1). En guise d’exemple, prenons l’activité de traitement effectuée par l’agent immobilier relative aux données du bailleur dans le cadre d’un service d’intermédiation de location. Pour cette activité, l’agent immobilier devra remplir le registre de traitement qui s’applique aux responsables du traitement. Nous vous livrons ci-dessous un aperçu non-exhaustif des informations qui pourraient 1 figurer dans le registre pour ce type d’activité :
Cette opération doit ensuite être répétée pour chaque activité de traitement répertoriée au cours de la première étape, en adaptant bien évidemment les informations au cas par cas. Lorsque l’activité de traitement est réalisée par l’agent immobilier en qualité de sous-traitant, les informations à répertorier sont moins nombreuses et détaillées (cfr Tableau n° 1).
Une fois complété, le registre doit être maintenu à jour et conservé en interne. Il doit être aisément consultable et communicable à l’Autorité de Protection des Données (autorité chargée de veiller au respect du RGPD) en cas de contrôle.
Aucune règle de forme n’est imposée pour la tenue du registre. Vous pouvez donc utiliser des modèles mis à disposition (tel que le modèle de Federia ou encore de l’Autorité de Protection des Données) ou créer votre propre registre.
Ne perdez pas de vue que le RGPD impose également d’autres obligations aux responsables et aux sous-traitants. Notamment, en tant que responsable du traitement, vous êtes tenus de communiquer aux personnes dont vous traitez les données toute une série d’informations (pratiquement identiques à celles contenues dans le registre). Ces informations se retrouvent en général dans les documents contractuels que vous faites signer à vos clients. Pour certains types de traitements, vous devez également obtenir le consentement de la personne concernée et en conserver la preuve.
Enfin, vous devez être conscients que les personnes dont vous traitez les données à caractère personnel (en tant que responsable ou en tant que sous-traitant) peuvent exercer un certain nombre de droits à votre égard tels que le droit d’accès aux données, le droit d’en obtenir copie, le droit de rectification ou encore, dans certaines conditions, le droit d’opposition au traitement. Vous êtes légalement tenus de répondre à ces demandes dans un délai de 30 jours à compter de la notification de la demande.
La non-tenue du registre de traitement, au même titre que le non-respect des autres obligations contenues dans le RGPD, peut vous exposer à des sanctions, voire à une amende administrative infligée par l’APD. Récemment, un maître d’ouvrage- promoteur immobilier qui intervenait comme syndic d’une ACP s’est vu infliger une amende de 5.000 euros pour non-respect des règles relatives au traitement des images de caméras de surveillance placées dans les parties communes d’un immeuble à appartements.
S’atteler à remplir ses registres de traitement constitue donc une étape indispensable non seulement pour déterminer le rôle endossé dans le cadre des différentes activités de traitement et évaluer les risques et responsabilités qui en découlent, mais également pour assurer (du moins en partie) sa mise en conformité et éviter d’éventuelles sanctions.
1 Ces informations étant susceptibles de varier en fonction des services effectivement offerts par l’agent immobilier au bailleur.
Article rédigé par Elodie Lecroart,
Avocate au barreau de Namur (Lexing)
Contact : e.lecroart@lexing.be
Retrouvez le modèle de registre dans votre Espace Membre.