RGPD: Quelles applications chez les Syndics de copropriété?

RGPD ou Règlement Général sur la protection des données, est le règlement qui a pour objectif de définir un cadre opérationnel, administratif et juridique auquel les  associations, établissements publics, entreprises doivent se conformer à compter du 25 Mai 2018,  s’ils traitent des données personnelles de citoyens européens.

Pour la CNIL, Les données sont omniprésentes et désormais au cœur de la chaine de création de valeur des entreprises. Bien gérées et sécurisées, elles permettent de gagner en efficacité et en compétitivité, de personnaliser et de conforter la relation avec les clients, de conquérir de nouveaux marchés, d’améliorer les produits et services et de faciliter la collaboration et la mobilité. .

Une donnée personnelle est une donnée qui permet d’identifier directement ou indirectement une personne.

Le nom ,le prénom, l’adresse postale,sont des données personnelles,mais  également l’adresse mail, l’adresse IP d’une connexion internet qui, avec quelques recherches simples, peuvent permettre d’identifier une personne.

Ce sont donc ces données qui sont visées par les nouvelles dispositions légales applicables le 25.Mai 2018

Ces dispositions élaborées afin de contraindre les géants de l’internet (les GAFAM) à respecter nos données personnelles prévoient des sanctions susceptibles de  déstabiliser ces sociétés, en effet il est prévu une sanction financière allant jusqu’à 4% de leur chiffre d’affaire mondial, à concurrence de 20 Millions d’euros….

Le syndic ayant notamment la fonction d’archiviste de la copropriété est il considéré par ces dispositions?

Par essence un texte de loi ayant pour vocation de s’appliquer à tous, il n’y a pas de raison pour que les syndics n’encourent pas au même titre que Google et consorts les mêmes sanctions que ces dernières.

Quelles sont les étapes permettant de se mettre en conformité ?

Dans le cadre de la RGPD, 6 grandes étapes peuvent être mises en évidence pour cette mise en conformité

1) La désignation d’un délégué à la protection des données

Ce délégué désigné au sein de l’entreprise, chargé de mettre en place le processus de contrôle et de mise en conformité des données, sera l’interlocuteur avec la CNIL en cas de contrôle.

Il devra par ailleurs faire le point avec les sous traitants ou les fournisseurs pour déterminer comment sont traitées les données personnelles échangées et assurer leur protection, l’entreprise gardant la responsabilité de la conformité des sous-traitants, fournisseurs ou services avec qui elle travaille.

2) Cartographier les traitements de données personnelles

Cette étape consiste à lister tous les types de données personnelles traités par votre entreprise.

Sans que la liste soit exhaustive, il y a lieu de lister:

– les emails et prénoms des prospects ou clients que vous collectez dans le cadre de votre activité

– les emails et prénoms et autres données que vous laissent les visiteurs qui s’inscrivent sur vos sites ou blog

– les adresses IP de visiteurs qui se sont enregistrés dans la base de données de votre site sans même que vous en ayez conscience

Une fois ces sources de collecte de données personnelles isolées, il y a lieu de déterminer les traitements qui  sont appliqués tant par vous que par vos sous-traitants, fournisseurs et autres sur ces données.

Après avoir déterminé la finalité du traitement des données, il est indispensable de fixer une durée de conservation de ces dernières.

Enfin devront êtres prévues les types de protection des données personnelles du piratage afin d’éviter d’être sanctionné en cas de vol de celles ci.

3) La correction nécessaire des données

Dans le cadre de la collecte des données, il est recommandé de supprimer, les informations qui ne sont d’aucune utilité dans l’exercice de l’activité.

Par ailleurs il est également recommandé aux entreprises susceptibles de manipuler des données sensibles  de les manier avec précaution, de les déclarer à l’ANIL et surtout de ne plus les collecter si elles ne sont pas réellement nécessaires à l’activité de l’entreprise.

4) Minimiser et se protéger contre le vol de données

Avec la RGPD, l’entreprise devient responsable du vol des données personnelles qu’elle détient.

Elle doit déclarer à la CNIL et à chacune des personnes concernées, le vol des données dans les 72 heures à partir du moment où elle en a eu connaissance.

Il est indispensable que l’entreprise s’assure que ces données sont parfaitement protégées afin de rendre leur utilisation difficile voire impossible par les hacker ayant réussi à s’introduire dans le système;

 

5) Obtenir l’accord explicite des prospects et clients pour collecter et exploiter leurs données personnelles

Avec la RGPD, un des changements les plus importants dans le cadre de l’acquisition des données personnelles est d’obtenir l’accord volontaire et explicite des prospects et clients.

Des précautions supplémentaires devront être prises lors de la collecte des données.

En effet dans l’utilisation d’un formulaire de capture, il va falloir désormais ajouter une case à cocher avec un texte tel: “j’accepte de recevoir par email des informations commerciales ou markéting à propos de…..’

Cette case à cocher ne devra pas être cochée par défaut et le fait que le prospect ne la coche pas, doit rendre impossible la validation du formulaire.

 

6) Créer un registre de traitement et modifier les conditions de vente ou d’utilisation

Dans le cadre de la mise en conformité régie par la RGPD, un registre de traitement des données personnelles doit être créé sous la forme de son choix (fichier Excel, document Word, etc…)

Bien que ce registre ne soit obligatoire pour les entreprises disposant de plus de 250 salariés, il est fortement conseillé à toute entreprise de tenir ce registre d’une part car ce document aidera l’entreprise à devenir et rester conforme au RGPD en listant chaque traitement et leur finalité.

D’autre part, en cas de contrôle de la CNIL, ce registre prouvera la bonne foi de l’entreprise dans ses efforts à se mettre en conformité même si elle commet des erreurs au vu de la complexité du RGPD.

Ce registre doit pouvoir être consulté sur demande, d’une part par les personnes dont l’entreprise détient les données personnelles et d’autre part par la CNIL en cas de contrôle.

Le registre doit contenir les éléments suivants:

– les noms et coordonnées du responsable du traitement des données personnelles

– la finalité de chaque traitement

– la localisation des données stockées

– la durée prévue de conservation des données avant leur effacement

– les mesures particulières prises pour garantir la sécurité, le cryptage des données

 

Selon la CNIL, si les données personnelles ne sont pas au cœur de l’activité de l’entreprise, les moyens à déployer pour vous mettre en conformité au RGPD ne seront pas très importants.

Le syndic de copropriété de par sa fonction d’archiviste, semble avoir le profil des entreprises dont les données personnelles sont au cœur de son activité d’où la nécessité de déployer les moyens adéquats pour se mettre en conformité avec le RGPD.

Pensez vous que le syndic fasse partie des entreprises devant mettre en place des moyens importants pour se mettre en conformité avec le RGPD?

Dans l’affirmative les syndics sont ils formés pour assurer la fonction de délégué à la protection des données prévue par le RGPD?

Dans l’hypothèse quasi certaine que les syndics de copropriétés soient concernés par les moyens à déployer pour se mettre en conformité avec le RGPD, quelle serait le type de formation à mettre en place pour faciliter cette mise en place dans les cabinets de syndics?

Donnez nous votre avis sur le contenu de formation susceptible de faciliter la mise en place du RGPD chez les syndics en cliquant sur le lien suivant:

https://docs.google.com/forms/d/1_8Aw8iIRnwUaGSlsF412jZ20WnprlDVReRElQupkK-Q/prefill

Image: 1-More-thing

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *