Accueil Actualités juridiques du village Droit immobilier et urbanisme

RGPD : le Syndic confronté à la nouvelle réglementation de la protection des données personnelles.

Par Serge Pelletier, Avocat.

Le Règlement Général européen sur la Protection des Données Personnelles (ci-après « le Règlement ») relatif au traitement des données à caractère personnel (ci-après « les Données ») est applicable en France depuis le 25 mai 2018. Bien qu’il n’exerce pas, à titre principal, une activité de traitement de Données, dans le cadre de son activité, le Syndic est amené à collecter et traiter des Données qui concernent non seulement les collaborateurs et salariés de l’entreprise mais encore les immeubles dont il est gestionnaire qui ont trait en particulier aux (i) copropriétaires ; (ii) locataires (en cas de mandat de gestion locative) ; (iii) prestataires, (iv) fournisseurs et (v) salariés du Syndicat de copropriétaires. Le Syndic est dès lors directement concerné par la nouvelle règlementation en matière de traitement de Données. C’est dans ce contexte que nous proposons ici un rappel des nouvelles obligations qu’il doit intégrer dans son fonctionnement quotidien.

I. La nomination recommandée d’un Délégué à la Protection des Données.

Afin de responsabiliser les acteurs impliqués dans le traitement de données, le Règlement encourage toutes les entreprises à se doter d’un Délégué à la Protection des Données, qui sera chargé de veiller au respect, au niveau interne, du RGPD [1] et d’assurer le lien entre l’entreprise et la Commission Nationale de l’Informatique et des Libertés (ci-après « la CNIL ») afin de rendre compte de la protection permanente des données. La nomination d’un DPO n’est toutefois une véritable obligation légale que dans un nombre limité de cas, mais elle est tout de même fortement recommandée dans les autres cas.

II. Le recensement des Données et la tenue d’un registre des traitements de Données.

Dans le cadre de la gestion des immeubles, le Syndic dispose de nombreuses Données à protéger (noms ; date de naissance ; adresses ; numéros de téléphone ; coordonnées bancaires etc….).

Aux fins de mise en conformité avec le Règlement, qui peut faire l’objet d’un contrôle de la CNIL, le Syndic doit désormais :
(i) recenser ses fichiers de Données dans un registre établissant la cartographie complète de ses activités de traitement ou faire recenser par un responsable de traitement en externe ;

(ii) pouvoir établir la licéité de la détention des Données et de leur traitement en justifiant de ce qu’il a recueilli le consentement des personnes concernées.
Sur ce point, la doctrine considère que la décision de désignation par l’assemblée générale des copropriétaires et la signature du contrat de syndic visant la collecte et le traitement de données personnelles pour les besoins de son exécution suffiraient à établir un consentement.

(iii) se plier au principe de « l’accountability », c’est-à-dire être en capacité de produire une documentation attestant des démarches tendant à la sécurisation des données personnelles qu’il traite pour les besoins de son activité.

Par ailleurs, le Règlement prévoit le droit à la portabilité des Données à savoir le droit pour toute personne dont les données sont collectées par le Syndic de réclamer ses données « dans un format structuré, couramment utilisé et lisible par machine » afin qu’elles soient transmises à un autre responsable de traitement. Dès lors, le Syndic doit être prêt à mettre en œuvre cette portabilité des Données notamment en cas de changement de Syndic (article 20 du Règlement).

En cas de non-respect des obligations qui pèsent sur lui, le Syndic s’expose à une amende pouvant aller jusqu’à vingt millions d’euros ou 4 % de son chiffre d’affaires annuel, en fonction de la nature de la violation du règlement.

Il faut préciser que la CNIL a d’ores et déjà annoncé que le secteur immobilier était une de ses priorités de contrôle en 2018, tout en affirmant sa volonté d’accompagner les entreprises dans la mise en œuvre des nouvelles obligations du Règlement lors des contrôles.

Serge Pelletier
Avocat associé - brunswick avocats
Droit des entreprises en difficulté et droit immobilier
www.brunswick.fr

Voir tous les articles
de cet auteur et le contacter.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

21 votes

Notes :

[1N°2016/679


Vos commentaires

Commenter cet article
  • Dernière réponse : 18 octobre à 16:14
    Le 16 octobre à 09:14 , par Margot
    président bénévole ASL mêmes obligations ?

    Bonjour, le président d’une ASL bénévole ou non est -il dans l’obligation de respecter cette nouvelle réglementation ?
    Le autres colotis peuvent-ils lui poser des problèmes en ce qui concerne cette protection de données ? Et dans ce cas quel document faut-il leur faire signer pour protéger le président ?
    Je vous remercie

    • Le 18 octobre à 16:14 , par Serge PELLETIER
      Réponse à votre question : président bénévole ASL mêmes obligations ?

      Chère Madame,

      Pour répondre à votre interrogation concernant l’application du RGPD à un président d’une ASL, il convient de souligner que cette nouvelle réglementation s’applique à toute opération de traitement de données personnelles, à l’exception notamment des traitements de données effectués dans le cadre d’une activité strictement personnelle ou domestique.

      Le RGPD ne fait en revanche aucune différence selon qu’un traitement de données est réalisé de façon gratuite ou onéreuse.

      Dès lors, le fait qu’un président d’une ASL exerce ses fonctions de façon bénévole n’a à notre sens pas d’incidence pour déterminer si ses activités de traitements de données sont soumises ou non au respect des exigences du RGPD.

      Néanmoins, il conviendrait de creuser la question de savoir si les opérations de traitements de données réalisées par un président d’une ASL peuvent être considérées ou non comme des opérations effectuées dans le cadre d’une activité purement personnelle et domestique, ce qui exclurait alors de facto l’application du RGPD.