RGPD ou Règlement Général sur la protection des données, est le règlement qui a pour objectif de définir un cadre opérationnel, administratif et juridique auquel les associations, établissements publics, entreprises doivent se conformer à compter du 25 Mai 2018, s’ils traitent des données personnelles de citoyens européens.
Pour la CNIL, Les données sont omniprésentes et désormais au cœur de la chaine de création de valeur des entreprises. Bien gérées et sécurisées, elles permettent de gagner en efficacité et en compétitivité, de personnaliser et de conforter la relation avec les clients, de conquérir de nouveaux marchés, d’améliorer les produits et services et de faciliter la collaboration et la mobilité. .
Une donnée personnelle est une donnée qui permet d’identifier directement ou indirectement une personne.
Le nom ,le prénom, l’adresse postale,sont des données personnelles,mais également l’adresse mail, l’adresse IP d’une connexion internet qui, avec quelques recherches simples, peuvent permettre d’identifier une personne.
Ce sont donc ces données qui sont visées par les nouvelles dispositions légales applicables le 25.Mai 2018
Ces dispositions élaborées afin de contraindre les géants de l’internet (les GAFAM) à respecter nos données personnelles prévoient des sanctions susceptibles de déstabiliser ces sociétés, en effet il est prévu une sanction financière allant jusqu’à 4% de leur chiffre d’affaire mondial, à concurrence de 20 Millions d’euros….
Le syndic ayant notamment la fonction d’archiviste de la copropriété est il considéré par ces dispositions?
Par essence un texte de loi ayant pour vocation de s’appliquer à tous, il n’y a pas de raison pour que les syndics n’encourent pas au même titre que Google et consorts les mêmes sanctions que ces dernières.
Quelles sont les étapes permettant de se mettre en conformité ?
Dans le cadre de la RGPD, 6 grandes étapes peuvent être mises en évidence pour cette mise en conformité
1) La désignation d’un délégué à la protection des données
Ce délégué désigné au sein de l’entreprise, chargé de mettre en place le processus de contrôle et de mise en conformité des données, sera l’interlocuteur avec la CNIL en cas de contrôle.
Il devra par ailleurs faire le point avec les sous traitants ou les fournisseurs pour déterminer comment sont traitées les données personnelles échangées et assurer leur protection, l’entreprise gardant la responsabilité de la conformité des sous-traitants, fournisseurs ou services avec qui elle travaille.
2) Cartographier les traitements de données personnelles
Cette étape consiste à lister tous les types de données personnelles traités par votre entreprise.
Sans que la liste soit exhaustive, il y a lieu de lister:
– les emails et prénoms des prospects ou clients que vous collectez dans le cadre de votre activité
– les emails et prénoms et autres données que vous laissent les visiteurs qui s’inscrivent sur vos sites ou blog
– les adresses IP de visiteurs qui se sont enregistrés dans la base de données de votre site sans même que vous en ayez conscience
Une fois ces sources de collecte de données personnelles isolées, il y a lieu de déterminer les traitements qui sont appliqués tant par vous que par vos sous-traitants, fournisseurs et autres sur ces données.
Après avoir déterminé la finalité du traitement des données, il est indispensable de fixer une durée de conservation de ces dernières.
Enfin devront êtres prévues les types de protection des données personnelles du piratage afin d’éviter d’être sanctionné en cas de vol de celles ci.
3) La correction nécessaire des données
Dans le cadre de la collecte des données, il est recommandé de supprimer, les informations qui ne sont d’aucune utilité dans l’exercice de l’activité.
Par ailleurs il est également recommandé aux entreprises susceptibles de manipuler des données sensibles de les manier avec précaution, de les déclarer à l’ANIL et surtout de ne plus les collecter si elles ne sont pas réellement nécessaires à l’activité de l’entreprise.
4) Minimiser et se protéger contre le vol de données
Avec la RGPD, l’entreprise devient responsable du vol des données personnelles qu’elle détient.
Elle doit déclarer à la CNIL et à chacune des personnes concernées, le vol des données dans les 72 heures à partir du moment où elle en a eu connaissance.
Il est indispensable que l’entreprise s’assure que ces données sont parfaitement protégées afin de rendre leur utilisation difficile voire impossible par les hacker ayant réussi à s’introduire dans le système;
5) Obtenir l’accord explicite des prospects et clients pour collecter et exploiter leurs données personnelles
Avec la RGPD, un des changements les plus importants dans le cadre de l’acquisition des données personnelles est d’obtenir l’accord volontaire et explicite des prospects et clients.
Des précautions supplémentaires devront être prises lors de la collecte des données.
En effet dans l’utilisation d’un formulaire de capture, il va falloir désormais ajouter une case à cocher avec un texte tel: “j’accepte de recevoir par email des informations commerciales ou markéting à propos de…..’
Cette case à cocher ne devra pas être cochée par défaut et le fait que le prospect ne la coche pas, doit rendre impossible la validation du formulaire.
6) Créer un registre de traitement et modifier les conditions de vente ou d’utilisation
Dans le cadre de la mise en conformité régie par la RGPD, un registre de traitement des données personnelles doit être créé sous la forme de son choix (fichier Excel, document Word, etc…)
Bien que ce registre ne soit obligatoire pour les entreprises disposant de plus de 250 salariés, il est fortement conseillé à toute entreprise de tenir ce registre d’une part car ce document aidera l’entreprise à devenir et rester conforme au RGPD en listant chaque traitement et leur finalité.
D’autre part, en cas de contrôle de la CNIL, ce registre prouvera la bonne foi de l’entreprise dans ses efforts à se mettre en conformité même si elle commet des erreurs au vu de la complexité du RGPD.
Ce registre doit pouvoir être consulté sur demande, d’une part par les personnes dont l’entreprise détient les données personnelles et d’autre part par la CNIL en cas de contrôle.
Le registre doit contenir les éléments suivants:
– les noms et coordonnées du responsable du traitement des données personnelles
– la finalité de chaque traitement
– la localisation des données stockées
– la durée prévue de conservation des données avant leur effacement
– les mesures particulières prises pour garantir la sécurité, le cryptage des données
Selon la CNIL, si les données personnelles ne sont pas au cœur de l’activité de l’entreprise, les moyens à déployer pour vous mettre en conformité au RGPD ne seront pas très importants.
Le syndic de copropriété de par sa fonction d’archiviste, semble avoir le profil des entreprises dont les données personnelles sont au cœur de son activité d’où la nécessité de déployer les moyens adéquats pour se mettre en conformité avec le RGPD.
Pensez vous que le syndic fasse partie des entreprises devant mettre en place des moyens importants pour se mettre en conformité avec le RGPD?
Dans l’affirmative les syndics sont ils formés pour assurer la fonction de délégué à la protection des données prévue par le RGPD?
Dans l’hypothèse quasi certaine que les syndics de copropriétés soient concernés par les moyens à déployer pour se mettre en conformité avec le RGPD, quelle serait le type de formation à mettre en place pour faciliter cette mise en place dans les cabinets de syndics?
Donnez nous votre avis sur le contenu de formation susceptible de faciliter la mise en place du RGPD chez les syndics en cliquant sur le lien suivant:
https://docs.google.com/forms/d/1_8Aw8iIRnwUaGSlsF412jZ20WnprlDVReRElQupkK-Q/prefill
Image: 1-More-thing
4 Comments on “RGPD: Quelles applications chez les Syndics de copropriété?”
les syndics ont de nombreux sous-trantants et en gèrent de nombreux pour les copropriétés (par exemple les sociétés qui mettent en place les interphones et qui ont elles de nombreuses données personnelles). Comment s’assurer de la mise en conformité ?
Merci
Bonjour,
Les syndics utilisent effectivement vos données pour faire effectuer les travaux, il faut avant toutes choses que dans les contrats signés entre le syndic et les copropriétaires les clauses concernant l’utilisation des données soient présentes et conformes à la règlementation. Il serait bon que vous vérifier que votre syndic ait un DPO (délégué à la protection des données) qui même si il n’est pas forcément obligatoire pour eux serait un signal positif. Il vous faut demander également au syndic de prouver que la sécurité informatique mais également papier est assurée. Que les documents soient transmis également de manière sécurisée.
Bref demander à votre syndic de prouver sa conformité au regard du RGPD.
martial
rgpd-experts.com
Bonjour,
Le président d un syndicat de copropriété a adressé un questionnaire de satisfaction aux habitants de l. Immeuble dont il est en charge . Dans ce formulaire, il n est fait nul trace d une quelconque acceptation concernant le traitement des données personnelles reçu.
Lors de la prochaine réunion de copropriété, le président avait la volonté de faire un compte rendu de l ensemble des questionnaires récoltes afin de retenir les points essentielles soulevés par les sondes. Il n est nul prévu de nommer ou pointer nommément une personne physique mais plutôt d exprimer sous forme de pourcentage, les sujets retenant le plus l attention.
Dans ces fameux questionnaires, il est resorti à multiples reprises le nom d une famille habitant au 1er étage dont les hurlements des enfants perturbent la tranquillité des habitants vivant à proximité de cette appartement.
Le président souhaitais donc aborder ce sujet mais sans nommément nommer cette famille, plutôt relater que tels pourcentage de personne se sont plaint de bruit venant de tel étage dans tel bâtiment.
Aprenant cela, la famille s est plaint auprès du président en invoquant le non respect du rgpd au motif qu il ne faisait nul mention dans le questionnaire d une autorisation de la part des participants de voir leurs données personnelles exploités.
Par la suite, le président du syndicat, habitant dans l immeuble qui plus est, s est entretenu avec chaque sonde de manière individuelle en leur demandant si il avait leur consentement pour pouvoir utiliser leurs réponses pour la réunion prochaine.
Ma problématique est la suivante : Des lors que le questionnaire était dépourvu de clause d acceptation des traitements des données, le président du syndicat de copropriété est il tenu de garder secrète les informations récoltes dans le cadre de son activité ou peut il, des lors qu il n utilise des donnees de manière nominative, exposé un bilan des réponses récoltes sans contrevenir au respect du Rgpd ?
En vous remerciant infiniment pour votre réponse, veuillez M excuser pour la longueur des faits.
Cordialement
rgpo decret n°2015-1325 du 21 octobre 2015 le syndic « bellman » dit ne pas avoir le droit de commmuniquer les données tele phone / mail des residents prprietaires ou locataires au membres du cons eil syndical (plusieurs fuites d’eau dans un appart 3 semaine pour trouver un contact colonne fermée plus d’eau dansles autres apparts ai pris mes renseignements sur homeland : » lz syndic a-t-il le droitnne de me donner les coordonnées d’un vosin » je suis membre du conseil syndical.