N’oubliez pas le RGPD !

Depuis le 25 mai 2018, le RGPD (Règlement Général pour la Protection des Données) s’applique aux traitements des données à caractère personnel. La protection des personnes physiques à l'égard du traitement des données à caractère personnel est un droit fondamental. L'article 8, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne et l'article 16, paragraphe 1, du traité sur le fonctionnement de l'Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant.

Mais ce droit n'est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité.

Par définition, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non. Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

​Quelle sont les données personnelles en question ?

La notion de « données personnelles » est à comprendre de façon très large. Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ». On peut donc identifier la personne directement (exemple : nom, prénom), ou indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).

En copropriété, les catégories de personnes concernées sont par définition les copropriétaires, les occupants et les tiers intervenant dans la vie de la copropriété.

​Quels sont les traitements concernés en copropriété ?

Un « traitement de données personnelles » est une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).

La collecte de ces données repose essentiellement sur une base de licéité contractuelle. Mais elle peut aussi reposer sur une base légale ou le consentement. Exemple : tenue d’un fichier des copropriétaires ou de fournisseurs, envois de demande d’acompte, répartition des frais de chauffage etc.

Les traitements sont donc les tâches élémentaires de collecte et d’utilisation de données à caractère personnel ayant pour finalité la gestion administrative, financière et technique dans laquelle le syndic s’adresse aux copropriétaires.

​Le registre de traitement : un document indispensable

Le registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité. Le registre est donc obligatoire pour chaque ACP. En cas de plainte, ce document sera demandé en priorité lors du contrôle par l’Autorité de Protection de Données (APD).

En tant que document de recensement et d’analyse, le registre doit refléter la réalité des traitements de données personnelles et vous permet d’identifier précisément :

  • ​les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
  • les catégories de données traitées, 
  • à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées
  • Î combien de temps vous les conservez,
  • Î comment elles sont sécurisées.

En outre, pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants :

  • ​le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre
  • les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données 
  • les catégories de personnes concernées (copropriétaires, fournisseurs, etc.)
  • les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.)
  • les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez
  • les délais prévus pour l'effacement des différentes catégories de données, c’est-àdire la durée de conservation, ou à défaut les critères permettant de la déterminer
  • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre

Un DPO (Délégué à la Protection des Données) est-til obligatoire en copropriété ?

Le DPO a donc avant tout une mission d’information, de conseil et de contrôle. Il n’est pas responsable de la conformité de l’organisme, de la tenue du registre. Le DPO est uniquement investi d’une mission de contrôle du respect du RGPD.

​La désignation d'un DPO est obligatoire dans les cas suivants : lorsqu'il s'agit d'un organisme public ; dans le cas d'une entreprise dont l'activité amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données « sensibles » .

Nous pouvons donc conclure que le DPO n’est pas obligatoire en copropriété ; il est tout simplement fortement recommandé dans les grandes copropriétés.

Contrôle et responsabilités

L'Autorité de protection des données (APD) est un organe de contrôle indépendant chargé de veiller au respect des principes fondamentaux de la protection des données à caractère personnel. L'Autorité a été créée au sein de la Chambre des représentants belge par la loi du 3 décembre 2017 portant création de l'Autorité de protection des données et succède à la Commission de la protection de la vie privée.

​L’APD peut vérifier la proportionnalité des mesures mises en place au regard de la sensibilité des données traitées et des risques encourus par les personnes concernées.

L’APD peut jouer un rôle informatif pour donner suite à une requête ou répressif pour donner suite à une plainte avec des obligations de mise en conformité ou des amendes substantielles.

​Le syndic est-il responsable du traitement ?

Dans une copropriété le syndic est effectivement le responsable du traitement. Il doit s’assurer du respect du RGDP par son bureau de syndic, les membres du personnel qui gèrent les dossiers et les ACP. En cas de problème il peut faire l’objet d’une plainte auprès de l’ADP. 

En tant que responsable du traitement il doit également s’assurer que les fournisseurs respectent eux-mêmes le RGPD. Ces obligations doivent se retrouver explicitement dans les contrats des fournisseurs. Ces contrats doivent notamment prévoir qu’en cas de piratage ou de perte de données, le fournisseur doit en informer le syndic dans les 72 heures.

Questions/réponses

​Caméras de sécurité : n’oubliez pas le pictogramme

Si l’ACP décide de placer des caméras de surveillance dans l’immeuble, le syndic est tenu de placer un pictogramme. Le pictogramme fait office de consentement et sa présence à l’entrée du lieu surveillé est donc obligatoire.

Aux mentions actuelles sur le pictogramme signalant l’existence d’une surveillance par caméra s’ajoutent désormais depuis la loi du 11 décembre 2018 également le numéro de téléphone du syndic, le cas échéant, les cordonnées de votre délégué à la protection des données, et le site web où les personnes concernées peuvent consulter toutes les informations légales concernant le traitement d’images.

Attention : à défaut de pictogramme, il y a double infraction : absence de pictogramme et absence de consentement.

​Transmission des données des copropriétaires

​Le syndic est obligé de « tenir à jour la liste et les coordonnées des personnes en droit de participer aux délibérations de l’assemblée générale et de transmettre aux copropriétaires, à première demande et au notaire s’il en fait la demande au syndic, dans le cadre de la transcription d’actes qui sont transcrits dans les registres du bureau compétent de l’Administration Générale de la Documentation Patrimoniale conformément à l’article 3.30, les noms, adresses, quotesparts et références des lots des autres copropriétaires » (Cc art 3.89- §5-14°). Une fois cette obligation légale remplie, le syndic est déchargé de sa responsabilité à l’égard de ce traitement spécifique. Le destinataire de ces informations ne peut pas les transmettre à nouveau sans le consentement des personnes concernées

​Depuis la décision 27/2020 du 29 mai 2020 prise par la Chambre Contentieuse, le syndic peut à certaines conditions, y ajouter les numéros de téléphone et adresses mail des copropriétaires concernés. 

​La motivation de la Chambre Contentieuse qui confirme la possible extension des coordonnées transmises au téléphone et à l’adresse mail est la suivante 

https://www.gegevensbeschermingsautoriteit.be/publications/zonder-gevolg-nr.-27-2020.pdf

« Toutefois, compte tenu du large déploiement de l’usage tant du mail que du téléphone (portable) comme moyen de communication, la Chambre Contentieuse n’estime pas disproportionnée la communication de telles données de contact (l’une et/ou l’autre) de copropriétaires par le syndic à un nouveau copropriétaire pour autant que ces copropriétaires aient marqué leur accord pour que le syndic joue ce rôle de point de contact et que celui-ci l’accepte et pour autant que les copropriétaires aient également consenti à ce que leurs données de contact soient communiquées aux copropriétaires qui en feraient la demande. »

​Mails et personnes en cc

Les mails sont des moyens rapides de communications ; mais attention, tous les copropriétaires ne doivent pas toujours lire le contenu des mails envoyés. Par exemple en cas de procédure juridique, ou d’impayés d’un copropriétaire… Il est donc important de ne jamais mettre tous les copropriétaires en cc de certains mails. 

Conseil :

P lacez un disclaimer sous vos mails pour demander au personnes qui recevrait un mail de votre part par erreur d’effacer le mail immédiatement. Voir exemple ci-dessous :

​" Ce message peut contenir des informations personnelles et confidentielles. S'il vous est envoyé par erreur, veuillez répondre pour informer l'expéditeur de l'erreur et supprimer ce message immédiatement. Veuillez consulter notre site https://www.uvsyndici.be/nl/disclaimer/91 ​pour d'autres informations importantes concernant cet avis."

​Site internet du syndic et/ou de la copropriété

Le site internet doit toujours mentionner le disclaimer et les cookies. Ceci sera désormais contrôlé par l’APD dont la stratégie 2023 est de contrôler la politique des cookies ainsi que le rôle du DPO.

Conseils de l'UDS aux syndics

  • Adaptez votre contrat de syndic à l’aide de clauses de protection des données pour toutes les tâches et obligations impliquant le RGPD (description des traitements avec les finalités, les bases de licéité, la durée de conservation des données, les modalités d’exercice des droits par les personnes, etc.)
  • Tarifez dans votre contrat les prestations spécifiquement liées au RGPD
  • Contrôlez les contrats de tous les fournisseurs au niveau du RGPD
  • N’oubliez pas d’établir un registre par ACP (les membres UDS auront bientôt un modèle à leur disposition sur l’intranet)
  • Mettez un point explicatif au sujet du RGPD à l’ordre du jour de vos AG, et demandez quelles coordonnées vous pouvez transmettre.

INFO

Dominique Krickovic 
Directrice UVS (Unie van Syndici vzw) 
Préseidente UDS (Union des Syndics asbl) 
Expert assermenté en copropriété (vzw Kavex) 

En association avec Jean-Pierre Heymans 
Privacy Praxis srl 
Chaussée de Louvain 498 - C5 1380 Lasne 
jp@privacypraxis.com 
https://www.privacypraxis.com/

Tags
Edition 11 RGPD
Nos blogs
CHERCHER DANS TOUS LES ARTICLES

PARTAGER

Delen

 



Quelle mouche a piqué les banques ?