À l’ère du bâtiment connecté et de la smart city, l’immobilier produit un volume inégalé de données personnelles. Or, si les opportunités émanant de leur traitement sont légions, celui-ci s’accompagne de certaines obligations. Pour y voir plus clair, Régis Chatellier, chargé d’études prospectives, et Éric Delisle, chef du service des questions sociales, RH et sport à la Commission nationale de l’informatique et des libertés (CNIL) font le point.

in interiors : Quelles sont les obligations des entreprises immobilières en matière de gestion des données ?

Régis Chatellier : Les données personnelles permettent aux entreprises de travailler, mais leur imposent aussi des obligations vis-à-vis des individus. La CNIL ne s’intéresse pas au propriétaire de la donnée – puisqu’en matière de protection, la propriété n’est pas importante – mais au responsable du traitement, soit à l’acteur ou l’organisation qui collectera et traitera les données pour son compte. Elle va s’intéresser à l’identité de ce traitement, à la nature des données qu’il collecte, aux bases légales selon lesquelles il est effectué et aux obligations vis-à-vis de l’individu. Moyennant certaines règles à suivre, il est autorisé de collecter des données personnelles et de les traiter. Il existe en contrepartie une obligation de respect des droits des individus, qui doivent toujours pouvoir avoir accès aux données ainsi qu’un droit de modification et de suppression, voire parfois un droit de portabilité.

Éric Delisle : Pour les acteurs de l’immobilier, le premier principe est celui de la finalité. Les données personnelles sont aujourd’hui partout et il est normal de les traiter, mais votre première obligation est de savoir pourquoi vous le faites, que ce soit pour une gestion de contrat locatif, une communication commerciale ou toute autre utilisation. Parce que le RGPD reprend pour 85 % la loi Informatique et Liberté adoptée en 1978, cette obligation n’est pas nouvelle. Par contre, ce règlement représente en quelque sorte un passage à l’âge adulte des organismes, puisqu’ils passent d’une logique de formalité administrative, par laquelle ils devaient envoyer des formulaires à la CNIL, à une logique de responsabilité, par laquelle ils doivent documenter dans une registre les opérations des traitements réalisés. Il n’y a pas d’obligation d’envoyer ce registre à la CNIL, mais celle-ci pourra venir le contrôler pour vérifier la conformité des traitements.

ii : Comment le bâtiment connecté et la smart city font ils évolués ces obligations ?

RC : À l’échelle de la ville, il reste très peu de services qui ne sont pas numérisés et directement liés à la collecte de données. Il est donc important, de la même manière que pour le bâtiment, que chaque acteur mettant en place cette collecte organise les moyens de respecter le cadre vis-à-vis de la loi et des individus. Sur la ville, il est de plus en plus compliqué de circuler anonymement dans la ville et la collecte de données devient permanente. Il faut donc être vigilant pour que les personnes puissent encore comprendre de quelle manière celles-ci sont collectées, et par qui. Dans ce cadre, et notamment au niveau des aménageurs urbains dans les choix qu’ils feront avec leurs partenaires, la CNIL cherche à s’assurer que les acteurs soient en respect de ces règles.

ii : Quelles sanctions peuvent être appliquées en cas de non-conformité ?

ED : Dans le règlement européen, il existe deux types de sanctions. Elles peuvent d’une part porter sur des obligations essentielles, comme la finalité, la durée de conservation et la sécurité, et mener jusqu’à 20 M€ d’amendes ou 4 % du chiffre d’affaires mondial, le montant le plus élevé des deux constituant la limite maximum. Les autres types de manquements encourront pour leur part jusqu’à 10 M€ ou 2 % du chiffre d’affaire mondial.

ii : Comment les acteurs de l’immobilier peuvent-ils améliorer leur gestion des données ?

RC : Quand on parle du bâtiment, du point de vue de la protection des données personnelles, la personne qui installera le capteur, la caméra ou tout type de service doit avant tout mettre en place un système pouvant a minima informer la personne de la collecte des données et dans certains cas lui demander son consentement. La CNIL dispose de toute une série d’outils permettant aux acteurs de bien comprendre comment mettre en place ces systèmes permettant de garantir une relation de confiance avec les individus et que l’on respecte leurs droits.

ED : Avec l’explosion des objets connectés et des dispositifs communiquants intégrés dans les bâtiments, nous observons une utilisation croissante des données. Il existe donc une volonté forte de réutiliser ces informations, par exemple pour proposer de la publicité ciblée aux propriétaires immobiliers ou pour les accompagner sur le respect des normes environnementales. Une fois que nous avons déterminé un usage, il faut s’interroger si l’utilisation de ces données est nécessaire et si celles-ci sont respectueuses des personnes concernées. L’essence de ce règlement est de ne pas utiliser les données dans le dos des individus, mais plutôt de les informer et de leur donner la possibilité de s’opposer à cet usage.

• Consultez le cahier Innovation et prospective de la CNIL « La plateforme d’une ville – Les données personnelles au cœur de la fabrique de la smart city »
• Découvrez le dernier numéro d’in interiors, consacré au bâtiment connecté