Sauf à manquer cruellement d’informations, être passé à côté de l’existence du règlement général sur la protection des données (ciaprès le « RGPD ») relève de l’exception.
Le RGPD est obligatoire et applicable depuis le 25 mai 2018.
D’une manière générale et non exhaustive, le règlement impose que le traitement de données à caractère personnel réponde à certaines conditions strictes.
Ainsi, les données à caractère personnel devront être :
- traitées de manière licite, loyale et transparente ;
- collectées pour des finalités déterminées, légitimes et explicites ;
- adéquates, pertinentes et nécessaires au regard des finalités poursuivies ;
- exactes, et le cas échéant, mises à jour ;
- conservées sous une forme qui permette l’identification de la personne concernée pendant une durée limitée, soit uniquement pendant la durée nécessaire à la réalisation des finalités du traitement.
- collectées et traitées de manière à garantir leur sécurité.
Outre les respects des obligations ci-dessus, le RGPD octroie aux personnes titulaires des données des droits…
Toute personne dont les données sont traitées dispose, notamment, des droits suivants :
- Un droit d’accès: la personne a le droit de recevoir, de manière compréhensible, une copie de ses données collectées et traitées.
- Un droit de rectification: la personne peut, sans frais, faire rectifier ses données qui seraient inexactes, incomplètes ou non pertinentes.
- Un droit d’opposition: la personne a le droit de s’opposer à ce que ses données la concernant fassent l’objet d’un traitement, et ce pour des motifs sérieux et légitimes. Le droit d’opposition n’est pas possible si le traitement de données est nécessaire à la conclusion ou à l’exécution d’un contrat. Attention toutefois, la personne peut s’opposer au traitement de ses données personnelles sans aucune justification lorsque les données sont collectées à des fins de marketing direct (c.-à.-d. à des fins publicitaires).
La personne concernée a également le droit à l’effacement (ou « droit à l’oubli »), soit le droit à l’effacement de ses données à caractère personnel, dans certaines hypothèses énumérées par la loi. Ainsi, la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de ses données à caractère personnel, notamment dans les cas suivants :
- Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
- La personne concernée a retiré son consentement sur lequel est fondé le traitement, et il n’existe pas d’autre fondement juridique au traitement ;
- La personne concernée fait valoir son droit d’opposition et il n’existe pas de motif légitime impérieux justifiant le traitement, ou la personne s’oppose spécifiquement au traitement de ses données à des fins de marketing direct
- Les données personnelles ont fait l’objet d’un traitement illicite ;
Le monde de l’immobilier est, lui aussi, soumis au règlement général sur la protection des données et ce dernier peut, parfois, se rappeler au (bon) souvenir des professionnels de manière étonnante.
Sur le plan contractuel, le syndic n’échappe pas aux obligations qui lui sont désormais imposées et doit donc prévoir, dans son contrat, une clause relative au « sort » réservé aux données personnelles dont il assure le traitement…
Il convient également de ne pas oublier que le syndic est « un maillon de la chaîne » de celles et ceux qui disposent d’informations… l’ACP et ses membres ne doivent pas être exclus de l’équation, et il sera donc opportun, pour permettre au syndic de ne pas subir la responsabilité de « l’indélicatesse » de certains copropriétaires d’insérer dans le règlement de copropriété, une clause imposant aux membres de respecter les obligations du RGPD…
Sur le plan pratique, une situation (qui n’est pas une fiction…) vaut mieux que de longs discours…
« Une copropriété décide de modifier de système permettant l’accès aux parties communes du bâtiment en remplaçant la traditionnelle quincaillerie par des badges.
Si tout le monde semble séduit par la facilité d’utilisation et le confort apportés par ce nouveau système, ce n’est pas le cas d’un locataire de l’un des appartements dudit immeuble…
Ce dernier interpelle donc le syndic en lui demandant si le système d’accès, dès lors qu’il est « électronique » et personnalisé aux occupants de l’immeuble, collecte, enregistre et/ou conserve des données personnelles….
Notre professionnel de l’immobilier se voit contraint de répondre par l’affirmative et le locataire d’indiquer que le système imposé par une décision à laquelle il n’a pas pris part ne respecte pas le…. RGPD et qu’en conséquence, il en exige le démontage immédiat… »
À mon sens, le locataire n’a pas totalement tort….
Le RGPD impose une obligation de transparence quant aux données et une obligation de licéité quant au traitement de ces dernières.
La condition de licéité implique que, pour être mis en oeuvre, le traitement des données doit rentrer dans l’une de ces cases : la personne concernée a consenti au traitement, le traitement est nécessaire à l’exécution d’un contrat, ou encore, le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement à moins que ne prévalent des intérêts fondamentaux…
On pourrait considérer que le locataire qui n’a pas consenti à l’installation du système d’accès pourrait, dans le respect du RGPD, se le voir imposé sur base du dernier critère… mais….ce serait alors faire fi de l’obligation de transparence….
Cette obligation implique que les données soit collectées APRES communication aux personnes d’une information complète sur le traitement… ce qui dans notre cas, n’a pas été réalisé.
Pour répondre à l’obligation de transparence, notre syndic et l’ACP, auront tout intérêt à communiquer, (exemple) :
- par un courriel à l’attention de l’ensemble des occupants ;
- sur une notice, fournie systématiquement à l’arrivée de tout nouvel occupant
Deze informatie moet ook blijvend aanwezig zijn op het intranet/in het reglement van interne orde, in de rubriek “Gegevensbeschermingsbeleid”, tab “Toegang met badge”, om de bewoners de mogelijkheid te geven hun rechten uit te oefenen. Als er geen toegankelijk intranet is, moet de informatie op elk ogenblik kunnen worden verstrekt na een verzoek van de bewoners aan het adres GDPR@xxx.be
En conclusion, ne négligez pas de mettre votre activité en conformité à TOUTES les exigences du RGPD AVANT de vous retrouver confronté à une situation litigieuse, à un contrôle et ou à … l’amende de 4 %.... et appréhendez chaque situation rencontrée à travers les filtres repris ci-dessous pour déterminer l’ampleur de vos obligations.»
INFO
M. Gilles Tytgat
Legisconsult
Conseils juridiques & Formations en Droit Immobilier
T 0476 97 86 54
www.legisconsult.be