L’expression PropTech (contraction de « Property » et « Technology ») désigne le recours à la technologie et au numérique dans le secteur immobilier, à toutes les étapes de la chaîne de valeur, de la construction à l’asset management et à la gestion du parc immobilier, en passant par les transactions intervenues sur le marché pour vendre ou louer le bien (ou encore les tours de financement éventuels).
Comme dans d’autres secteurs (santé, droit, assurance, …), des acteurs bien établis dans le secteur du property management ou de l’asset management, ainsi que de nombreuses start-ups, ont compris l’intérêt de mobiliser les technologies, par ailleurs en évolution constante, pour automatiser des processus existants ou offrir de nouveaux services à toutes les parties prenantes, en particulier les utilisateurs finaux.
On pense, par exemple, à l’impression 3D et à la réalité virtuelle (ou augmentée) au stade de la construction ; à l’estimation de la valeur des immeubles par des outils d’intelligence artificielle (IA), aux plateformes d’annonces de vente ou de location en ligne, voire encore à la signature électronique des contrats de crédit, au stade de la transaction ; ou à la gestion « intelligente » du parc immobilier basée sur l’Internet des Objets (IoT – Internet of Things) ou sur des d’outils collaboratifs permettant de maximaliser l’utilisation des espaces de coworking ou des parkings.
Lime vous propose une analyse des principaux enjeux juridiques des PropTech, dont le premier volet est consacré au RGPD.
Dans le secteur en croissance des PropTech, les technologies en général, et le numérique en particulier, sont mobilisés par les entreprises du secteur de l’immobilier ou des start-ups pour améliorer certains processus ou offrir de nouveaux services à valeur ajoutée aux utilisateurs. Les dispositions du Règlement général sur la protection des données (RGPD) doivent être strictement observées lorsque des données à caractère personnel sont traitées.
- Dans un premier temps, il convient d’analyser avec précision le cas de figure pour déterminer le rôle précis joué par chacun des acteurs et le qualifier à l’aune des catégories du RGPD (responsable du traitement, sous-traitant, personne concernée, etc.).
- Il faut ensuite s’assurer que toutes les règles prescrites par le règlement ont été observées (licéité du traitement, limitation des finalités, transparence, relations contractuelles avec des sous-traitants éventuels, etc.), sous peine de sanctions financières ou de risques réputationnels.
1. PropTech et traitements de données à caractère personnel
Les traitements de données réalisés dans le cadre des PropTech doivent respecter scrupuleusement le cadre normatif, spécialement s’il s’agit de données à caractère personnel.
On présente quelques questions auxquelles il faut être attentif en cas de traitements de données à caractère personnel dans le domaine des PropTech : identification du rôle des parties (point 2) ; respect des principes du RGPD (point 3) et risques encourus en cas de non-respect (point 4).
2. Quel est le rôle des parties au sens du RGPD ?
Pluralité d’intervenants
Conformément au RGPD, c’est au responsable du traitement – soit celui qui détermine les moyens et les finalités du traitement – qu’il incombe, à titre principal, de respecter les exigences prescrites par le règlement.
Le cas échéant, il peut faire appel à des sous-traitants (au sens du RGPD), qui traiteront les données pour son compte et en suivant ses instructions (par exemple, un prestataire informatique fournissant une solution technique ou offrant un espace de stockage dans le cloud).
Une identification parfois complexe
Aussi faut-il identifier précisément, pour chacun des traitements envisagés, le rôle joué par les parties : responsable du traitement unique, responsables conjoints, sous-traitant, tiers ou personne concernée.
L’analyse est importante, non seulement pour apprécier la responsabilité encourue par chacun des acteurs, mais également pour savoir qui détient les droits sur les données et peut, le cas échéant, les partager ou les exploiter à des fins économiques.
- Dans certaines hypothèses, l’exercice devrait être assez simple. Lorsqu’un propriétaire publie une annonce sur une plateforme de vente ou de location en ligne, il a la qualité de personne concernée et le gestionnaire de la plateforme est le responsable du traitement.
- Dans d’autres cas de figure, susceptibles d’être rencontrés en matière de property management, de nombreux acteurs pourraient être impliqués, par exemple si le propriétaire ou le locataire d’un immeuble de bureaux fait appel à une société spécialisée pour gérer son parc immobilier, ainsi qu’à un fournisseur de technologies proposant une solution pour allouer au mieux les places de parking, au profit des employés occupant les bureaux ou de tiers. La personne concernée est le conducteur du véhicule souhaitant trouver une place de parking ; les autres intervenants – fournisseur de technologie ; propriétaire de l’immeuble ; gestionnaire de l’immeuble ; société occupant de l’immeuble – se partageront les rôles de responsable du traitement (éventuellement responsables conjoints) et de sous-traitants. Compte tenu des risques que chaque acteur souhaite assumer, une répartition des rôles conforme au RGPD devra être réalisée et correctement documentée, notamment dans les politiques de confidentialité ou les conventions à conclure pour encadrer la sous-traitance des traitements de données ou à la responsabilité conjointe.
3. Focus sur certains principes du RGPD
Liste des principes
L’article 5 du RGPD liste les principes relatifs aux traitements de données à caractère personnel, et les détaille ensuite dans d’autres parties du texte (comme les obligations de transparence ou de sécurité), parallèlement aux obligations pesant sur les responsables et les sous-traitants : licéité, limitation des finalités, minimisation des données, limitation de la conservation, responsabilité, etc.
Ils doivent à l’évidence être respectés dans l’environnement PropTech, ce qui peut poser des questions – parfois délicates – dans certains cas. Sans prétendre à l’exhaustivité, on présente quelques illustrations tirées d’expériences pratiques.
Quelques exemples
- Prenons d’abord l’exemple d’un particulier dont le domicile est équipé d’un compteur intelligent pour la fourniture d’électricité. Grâce à celui-ci, il est possible de mesurer en temps réel l’énergie consommée, et d’adapter ses habitudes pour limiter la consommation ou la réserver aux moments où le tarif est plus avantageux. Si ce particulier souhaite que les données soient communiquées à un tiers (offrant des services à valeur ajoutée), une base de licéité devra être identifiée et normalement, son consentement sera nécessaire. Le gestionnaire du réseau devra par ailleurs prendre diverses mesures en termes de sécurité pour garantir l’intégrité et la confidentialité des données : en étudiant la manière dont l’énergie est consommée, on peut en effet connaître les habitudes de la personne concernée (à quels moments est-elle à son domicile, à quelle heure se lève-t-elle? combien de personnes occupent le foyer ? etc.). Un Data Breach pourrait donc avoir des conséquences très dommageables pour la personne concernée.
- Imaginons encore que le gestionnaire d’un nombre important d’appartements ou de studios décide d’équiper ceux-ci de capteurs pour faciliter la maintenance et intervenir rapidement en vue de prolonger la durée de vie des infrastructures. Les données ainsi collectées pourraient être considérées comme des données à caractère personnel révélant diverses informations utiles sur les occupants des lieux. L’intérêt légitime du responsable du traitement ou l’exécution du contrat pourraient constituer des bases de licéité suffisantes pour les finalités de maintenance. Par contre, on peut difficilement imaginer que, pour d’autres finalités, et dans une perspective de monétisation, ces données soient agrégées à grande échelle et partagées avec des partenaires de l’entreprise sans une anonymisation préalable et/ou l’identification d’une autre base de licéité, combinée à la fourniture d’informations ad hoc. A défaut, on pourrait considérer que les principes de limitation des finalités et de minimisation des données ont été méconnus.
- Dans l’exemple précité de la gestion des places de parking de l’immeuble de bureaux, si la solution a été présentée comme un souple outil d’optimisation de l’espace,le principe de limitation des finalités devrait quant à lui interdire à un employeur d’analyser les données d’utilisation du parking (heure d’entrée et de sortie) pour calculer le temps de travail des membres de son personnel et en tirer des conséquences sur le plan du droit du travail.
Les obligations de transparence
La mise en œuvre des obligations de transparence, en vue de respecter les droits de la personne concernée, devront donner lieu à la rédaction de politiques de confidentialité (ou de chartes vie privée) conformes aux dispositions du RGPD. Il faudra également s’assurer de leur force obligatoire à l’égard des personnes concernées, ce qui peut être compliqué, quand de nombreux acteurs interviennent à des titres divers (cf. les exemples précédents).
Cette multiplication des acteurs peut également être source de complexité au moment d’identifier le responsable auprès duquel la personne concernée peut exercer ses droits (accès, rectification, opposition, etc.).
4. Que risque-t-on en cas de non-respect des principes du RGPD ?
Le non-respect des exigences prescrites par le RGPD peut être sanctionné très sévèrement, notamment par des peines d’amendes calculées sur un pourcentage du chiffre d’affaires de l’entreprise (jusque 4%).
Au-delà des coûts liés à une procédure contentieuse devant l’Autorité de protection des données, l’impact réputationnel négatif ne doit pas être sous-estimé.
Aussi faut-il être très attentif à la conformité au RGPD, tout en traitant les plaintes éventuelles avec sérieux et dans les meilleurs délais.
Pour davantage d'informations, n'hésitez pas à contacter Hervé Jacquemin.
Suivez nos dernières publications sur LinkdIn