AccueilÀ VendreÀ LouerProjetsServicesContact

Politique de confidentialité interne
(Privacy Policy)

  • 1. Introduction


Nous respectons la vie privée de nos employés, de nos clients, des visiteurs de notre site Web et de nos fournisseurs et partenaires. Nous traitons donc les données personnelles de chacun avec soin. Cette politique de confidentialité explique comment les données personnelles de chaque catégorie de personnes concernées sont gérées. Elle nous permet de travailler conformément au RGPD, le règlement général sur la protection des données, entré en vigueur le 25 mai 2018.

  • 2. Importance des données personnelles dans notre entreprise


En tant qu'agent immobilier, notre rôle consiste à mettre en vente et en location des biens par le biais de mandats d’agence et à jouer un rôle de médiation dans le cadre de ces missions. Les données personnelles jouent à cet égard un rôle très important. Nous facilitons la rencontre du propriétaire et du locataire ou du vendeur et de l’acquéreur, et pour ce faire, beaucoup de données personnelles sont traitées. Cela concerne à la fois l'identité et les coordonnées, mais également le budget de location, le budget d'achat, les souhaits liés à la propriété, les photos de la propriété, etc…

Nous travaillons dans un secteur concurrentiel. Nos clients, le candidat-locataire ou le candidat-acquéreur s'attendent à ce que nous traitions leurs données personnelles avec respect et conformément au RGPD.

Nous travaillons également dans un secteur local qui est très compétitif au niveau de l'offre. Cela signifie que nous pouvons être informés, directement ou via des contacts locaux, de faits ou d’évolutions du marché immobilier, et qu’il nous faut ces informations pour nous permettre de réagir vite en fonction d’évènements spécifiques. Cela peut conduire à des tensions avec un traitement «prudent» de données personnelles.

D'où l'importance d'une politique d'entreprise sur les données personnelles.

  • 3. But de cette politique de confidentialité interne


Cette politique de confidentialité est notre "politique d'entreprise sur les données personnelles". C'est un document interne dans lequel nous expliquons comment nous appliquons le RGPD à notre agence. Nous expliquons également quels choix nous pouvons faire, quels choix nous faisons et pourquoi (la motivation). Nous faisons cela à la fois pour les délais de conservation et pour les bases légales pour les opérations de traitement.

Lorsque nous collectons des données personnelles, nous devons en informer la personne concernée. Nous discutons ici de quelle façon nous faisons cela.

Le RGPD a également un impact sur plusieurs documents (tels que les contrats, le site web, etc...) qui sont utilisés par nos services, sur notre façon de travailler avec les fournisseurs et sur notre organisation interne (par ex. la sécurité).

Enfin, une personne concernée a des droits qu'elle peut exercer à notre égard.

La politique de confidentialité comprend donc trois domaines principaux :

  • Les choix que nous faisons en tant que société sur la façon dont nous traitons les données personnelles de nos clients.
  • La communication avec nos clients.
  • Les changements dans l'organisation interne.

La déclaration de confidentialité (privacy statement) contient les données personnelles des clients ainsi qu’une description de leur traitement. Aussi nous ne la répétons pas ici.

  • 4. Les choix que nous faisons en tant que société sur la façon dont nous traitons les données personnelles de nos clients

 

Le RGPD n'est pas un livre de recettes qui indique exactement quelles données personnelles peuvent être traitées, pour combien de temps et dans quel but. Il ne s’y trouve pas de règles prêtes à l'emploi expliquant les rapports entre traitement et protection de données.

Chaque entreprise a l'obligation de traiter les données personnelles conformément au RGPD. Souvent, il suffira de déterminer une base légale appropriée, par exemple en enregistrant la preuve du consentement des personnes concernées. Pour certains traitements, il faudra trouver une motivation plus fondée. En formulant cette motivation, il se peut que nous devions quelque peu modifier nos processus ou y apporter quelques conditions préalables ou restrictions. Enfin, dans certains cas, il peut s’avérer nécessaire d'apporter des changements assez substantiels à un processus pour le rendre conforme au RGPD.

Les choix qui s’offrent à nous comprennent :

  • Sur quelles bases légales basons-nous notre traitement ?
  • Quelles motivations supplémentaires devons-nous trouver ?
  • Quels processus devons-nous modifier ?
  • Quels délais de conservation appliquons-nous et pourquoi ?
  • Comment limitons-nous les risques ?

    • 4.1 Comment déterminons-nous la base légale du traitement ?

Chaque traitement doit être "licite", ce qui signifie qu'il doit avoir une base légale.
Dans notre métier, il y a 4 bases légales pour le traitement des données personnelles :

  • Le traitement pour lequel nous avons une obligation légale.
  • Les données personnelles nécessaires pour pouvoir exécuter un contrat.
  • Le consentement que nous donne un client pour traiter ses données personnelles.
  • L'intérêt légitime que nous avons en tant qu’agence.

En ce qui concerne l'obligation légale, nous n'avons pas le choix : si le législateur nous oblige à collecter des données personnelles (par ex. dans le cadre de la loi anti-blanchiment) nous devons le faire.

Pour pouvoir exécuter un contrat, certaines données personnelles doivent être traitées. Dès que le client signe un contrat (par ex. un mandat), il est tenu de communiquer les données personnelles nécessaires à son exécution. Il peut également être nécessaire de traiter certaines données dans la phase précontractuelle, notamment pour permettre la rédaction du contrat.

Un client peut également donner son consentement pour traiter certaines données personnelles dans un but spécifique. Il ou elle doit activement donner ce consentement. Nous ne pouvons donc pas dire : «Vous donnez votre consentement à moins que vous ne le refusiez explicitement.» Le consentement doit également répondre à un but spécifique.

L’intérêt légitime : En tant qu'agent immobilier, pour être en mesure de faire notre travail correctement, il est nécessaire de pouvoir effectuer certains traitements sans le consentement d'un client. Il s'agit de données personnelles et de traitements auxquels le client peut s'attendre et pour lesquels il ne faut donc ni contrat ni consentement.

Pour chacun de nos traitements nous devons considérer quelle base légale est la meilleure.
Nous donnons ci-dessous les caractéristiques de chacune de ces bases :

 

 

L’intérêt légitime

Le consentement

L’exécution du contrat

Mise en oeuvre

Facile

Moyenne

 

Difficile

 

Solidité de la base légale

Ne peut se substituer au consentement par solution de facilité.

Forte si la preuve du consentement est sérieuse.

Très forte

Avantages

Facile à mettre en œuvre.

Chaque traitement est possible avec un consentement approprié.

Tous les traitements requis pour l'exécution du mandat sont autorisés

Inconvénients

Un client peut facilement s'opposer au traitement.

Retirer son consentement est facile et toujours possible.

Conclure un contrat test assez lourd, et contrairement au consentement, nous avons également des obligations contractuelles

  • 4.1.1 Dans quels cas utiliser "le contrat" comme base légale ?

Nous utilisons le contrat comme base légale dans le cadre d'un mandat de location ou de vente, dans notre relation avec le propriétaire ou le vendeur. Dans la transition de la «prospection» à la «phase précontractuelle», cette même base légale est utilisée, conformément au RGPD.

  • 4.1.2 Dans quels cas utiliser le “consentement” ou “l'intérêt légitime” comme base légale ?

En ce qui concerne le candidat-locataire, le candidat-acquéreur, le simple visiteur, ou la personne qui fait usage de services gratuits, il n'est pas souhaitable ni utile d’utiliser un contrat. Ce serait trop formel pour ce que ces personnes attendent. Dans ce cas, nous devons déterminer si le consentement ou l'intérêt légitime constitue la meilleure base légale du traitement.

Nous vous recommandons le consentement.
Il y a deux cas où son utilisation n'est pas possible :

1) La visite d’un bien par un candidat-acquéreur signifie que nous transmettrons ses coordonnées au vendeur en cas de mandat résilié. Il ne peut pas refuser cette transmission après la visite du bien. C'est pourquoi le consentement n’est pas approprié en tant que base légale, car celui-ci peut être retiré et dans ce cas, le traitement basé sur ce consentement n'est plus autorisé, y compris le traitement ultérieur de transmission de données personnelles. Dans le cas présent, la transmission relève d’un intérêt légitime (impérieux).

2) Si nous recueillons des informations sur un bien ou sur ses propriétaires indépendamment de ces personnes, nous le faisons sur la base d'un intérêt légitime. Nous discuterons plus loin comment traiter l'obligation d’informer les personnes concernées dans ce cas.

Pour ce qui relève du marketing direct, nous nous basons uniquement sur l'intérêt légitime.
Une opposition à ce marketing direct est automatiquement traitée.

  • 4.2 De quelles motivations supplémentaires avons-nous besoin?

Pour la plupart des traitements, le traitement lui-même indique pourquoi nous en avons besoin et aucune motivation supplémentaire n'est requise. Il n’y a qu’un nombre limité de processus qui requièrent une motivation plus approfondie.

  • 4.2.1 Sauvegarde d'informations provenant "d'informateurs" et autres

Dans le secteur immobilier, il est crucial de gagner des mandats de vente. C'est un marché local et très compétitif. Il s'agit donc d'être la première agence à obtenir des informations sur les biens ou leurs propriétaires. Ce sont des informations qui sont mises à jour très régulièrement, et il s'agit d'informations assez importantes au niveau quantitatif, qui doivent être partagées entre les collaborateurs. Cette information doit donc être sauvegardée dans Omnicasa. Il s’agit manifestement de notre intérêt légitime.

  • 4.2.2 Prospection active

Pour la prospection active, nous utilisons soit les informations que nous avons entrées dans Omnicasa, soit les données rendues publiques par le vendeur-même.

Le fait de contacter un vendeur sur la base d'une publicité qu’a publiée ce vendeur ne relève pas de la règlementation sur les données personnelles mais de pratiques commerciales.

Lors d’un contact avec le vendeur, nous apprenons souvent de nouvelles informations utiles. Afin de pouvoir traiter ces données et les utiliser pour d'autres contacts, il nous faut le consentement du vendeur. S'il nous le donne, nous pouvons continuer. S'il refuse de le faire, nous limiterons les données pour le bien concerné à l’information que nous ne sommes plus autorisés à contacter le propriétaire.

Si le vendeur nous demande de supprimer toutes les données que nous avons de lui, nous pouvons invoquer notre intérêt légitime impérieux. D'une part (voir ci-dessous), nous appliquons les mesures appropriées pour traiter cette information avec soin, afin que la personne concernée ne court pas de risque. D'autre part, nous avons le droit de conserver les informations sur les contacts que nous avons eus avec la personne concernée, et ce pendant une certaine période, dans la mesure où nous ne faisons rien d'autre avec ces informations.

ou

Si le vendeur nous demande de supprimer toutes les données que nous avons de lui, nous le ferons. Nous effacerons alors toutes les informations sur ce bien, sauf l'information concernant le refus du consentement et la demande de suppression des données (pour nous assurer que nous n’insèrerons pas à nouveau la même information dans le système).

  • 4.2.3 Liste des candidats-acquéreurs

Il est possible pour plusieurs raisons que le mandat de vente qu'un vendeur nous confie se termine sans succès. Dans ce cas, le vendeur recevra à la fin de notre mission la liste des candidats-acquéreurs qui ont visité l'immeuble ou qui y ont manifesté un intérêt sérieux. Cette liste contient les données personnelles de ces candidats-acquéreurs, notamment le nom et le prénom, l'adresse e-mail et le numéro de téléphone portable, ce dernier pouvant être rendu partiellement illisible.

Cette liste est requise dans le contexte du système de rémunération. Nous sommes rémunérés par la commission, et si une vente a lieu dans les 6 mois après la fin du mandat, lorsque l'acquéreur se trouve sur la liste des candidats-acquéreurs, le vendeur nous doit la commission contractuelle. Il s’agit d’un modèle de rémunération équitable, juste et durable pour la rémunération de nos services. Il est essentiel que le vendeur soit au courant de la liste des candidats-acquéreurs après résiliation du mandat : le vendeur doit pouvoir signifier son accord avec la liste et s’assurer que nous ne pouvons pas y ajouter des noms.

Être sur la liste signifie qu'un candidat-acquéreur a montré un intérêt sérieux dans le bien proposé à la vente. Il sera donc placé sur cette liste, qu'il soit d'accord ou non. Il s’agit de notre intérêt légitime impérieux.

  • 4.3 Quels processus devons-nous adapter ?

Un nombre limité de processus ne sont pas conformes au RGPD et doivent être adaptés.

  • 4.3.1 Liste des candidats-acquéreurs

Suite à l'introduction du RGPD, nous devons apporter quelques modifications à la rédaction et à la transmission de la liste des candidats-acquéreurs.

1) Le vendeur devient, même s’il s’agit d’un particulier, le responsable de cette liste. Nous ne donnons pas au vendeur plus de droits concernant cette liste que ceux dont il a besoin dans le cadre du mandat de vente.

Cette liste contient suffisamment de données personnelles pour obtenir un accord sur la liste à la fin du mandat et pouvoir dire avec certitude si un acquéreur spécifique figure ou non sur la liste. Nous masquons partiellement le numéro de téléphone mobile.

2) Le candidat-acquéreur doit être informé de cette transmission.

  • 4.3.2 Le rapport d’activités

Chaque vendeur a accès (en ligne) à un rapport d'activités liées au bien. Avec l'introduction du RGPD, il est difficile de justifier le fait que des données personnelles soient toujours communiquées dans ce rapport : si le bien est vendu, le vendeur n'a pas besoin de connaitre l'identité des autres candidats-acquéreurs. Dissimuler partiellement le nom, l'adresse e-mail et le numéro de téléphone suffit pour que le vendeur puisse vérifier la liste des candidats-acquéreurs dans le cas d’une résiliation du mandat.

  • 4.4 Quelles périodes de conservation observons-nous, et pourquoi ?


Comme dit précédemment, le RGPD n'est pas un livre de recettes apportant une réponse claire à chaque question.

  • 4.4.1 Périodes imposées par la loi

Si notre responsabilité contractuelle est de dix ans, nous devons conserver toutes les données personnelles relatives à ce contrat dix ans après leur dernière utilisation. Si un client désire être définitivement supprimé après 5 ans (soit 5 ans après la dernière utilisation), il doit accepter de renoncer à ses droits relatifs au contrat (par exemple en ce qui concerne notre responsabilité).

S'il existe un risque de responsabilité extracontractuelle (par ex. lors d’une estimation gratuite ou lors du pré-screening des locataires), nous conserverons toutes les données personnelles pendant au moins cinq ans.

Dans le cadre de la législation en matière de TVA, de comptabilité et de loi anti-blanchiment, nous conservons les données nécessaires, et ce pendant les délais imposés par la loi.

  • 4.4.2 Délais de conservation que nous pouvons déterminer

En ce qui concerne les personnes avec lesquelles nous n'avons pas de contrat, le RGPD demande que nous conservions les données personnelles aussi longtemps que nécessaire aux fins pour lesquelles elles sont traitées, ainsi qu'aux fins compatibles avec celles-ci. Ce dernier point nous donne une certaine marge dans l'évaluation de la période de conservation.

Traitement

Choix possibles

Notre choix

Newsletters

Supprimer lors de la désinscription

Supprimer lors de la désinscription

Critères de recherche location

Option 1 : Supprimer après six mois d’inactivité sur le site web (si l'inactivité est mesurable). Option 2 : Demander une confirmation tous les 6 mois pour connaitre les clients actifs. Option 3 : Supprimer sans confirmation.

 

Option 1

Critères de recherche vente

Option 1 : Supprimer après 2 ans; 

Option 2 : Demander une confirmation tous les 2 ans pour connaitre les clients actifs.

Option 1

Candidat-locataire

Option 1 : Supprimer après 6 mois; 

Option 2 : demander la confirmation de la recherche active tous les 6 mois.

Option 1

Candidat-acquéreur

Option 1 : Supprimer après 2 ans; 

Option 2 : demander une confirmation de la recherche active tous les 2 ans.

Option 1

Locataire

Option 1 : délai minimum légal (10 ans)

Option 2 : 30 ans (relation à long terme)

Option 2

Acquéreur

Option 1 : délai minimum légal (10 ans)

Option 2 : 30 ans (relation à long terme)

Option 2

Vendeur

Option 1 : délai minimum légal (10 ans)

Option 2 : 30 ans (relation à long terme)

Option 2

Propriétaire

Option 1 : délai minimum légal (10 ans)

Option 2 : 30 ans (relation à long terme)

Option 2

Prospect-vendeur

Option 1 : L’information est conservée aussi longtemps que nous estimons qu’elle est utile 

Option 2 : 2 ans après le dernier contact.

Option 1

 

  • 5. La communication avec nos clients

La communication avec le client est cruciale. Le traitement des données personnelles doit être transparent. Cela signifie que nous devons être transparents sur la façon dont nous traitons les données personnelles, et que nous devons informer le client d'une manière concise et compréhensible.

La communication comprend :

  • Signaler au client, au moment où nous recueillons ses données, pourquoi nous le faisons, et pour combien de temps nous allons traiter ces données.
  • Expliquer au client, au moment où nous recueillons ses données, ses droits relatifs au traitement.
  • La confirmation ou la preuve du consentement.
  • Comment gérer un client qui veut exercer ses droits, et comment gérer la requête d'un client.

    • 5.1 Informations à fournir au moment où nous demandons les données personnelles.

Tout traitement, aussi bien celui pour lequel nous obtenons le consentement, celui que nous exécutons dans le cadre d'un contrat, celui pour lequel nous avons une obligation légale, ou celui pour lequel nous avons un intérêt légitime, doit être communiqué au client.

L'explication doit être concise et compréhensible ; nous n'avons pas à tout expliquer en détail et pouvons satisfaire d’une explication générale.

  • 5.1.1 Que communiquons-nous?

Nous devons donner deux types d'informations à la personne concernée :

  • 1) Des informations sur le traitement:
    • a. "Nous sommes l’agence IMMO BME – L’EXPERT EN IMMOBILIER sprl".
    • b. "Nous avons besoin des données pour [but : vendre – louer – acheter …]; nous avons pour cela besoin de votre accord". Si nous comptons sur le consentement, nous devons toujours dire que le consentement peut être retiré.
    • c. "Normalement, nous gardons ces données jusqu'à [délai de conservation]".
  • 2) Des informations sur les droits.

    • 5.1.2 Comment le communiquons-nous ?

      • 5.1.2.1 Contact par e-mail.

Il suffit que dans notre réponse, nous nous référions à la déclaration de confidentialité, avec un lien direct vers celle-ci.

Ou 

Par défaut, nous plaçons une référence à la déclaration de confidentialité dans la signature de nos e-mails.

  • 5.1.2.2 Contact via le site web

Sur le site web, là où les données personnelles sont collectées, un lien bien visible vers la déclaration de confidentialité est repris. Nous ne devrons pas demander confirmation que celle-ci a été lue.

  • 5.1.2.3 Contact par l’agence

Nous avons le choix soit de fournir la déclaration de confidentialité imprimée, soit de donner l'information oralement. Si nous donnons l'information oralement, nous pouvons être brefs et clairs à ce sujet. La plupart des gens sont compréhensifs quand nous utilisons leurs données à des fins légitimes.

Exemple: "Vous disposez d'un droit d'accès, du droit de corriger les erreurs, de demander l'échange de données, et de vous opposer à un traitement. Si vous souhaitez exprimer une plainte, vous pouvez contacter l'autorité de protection des données, mais bien sûr, nous préférons que vous nous contactiez directement pour que nous puissions vous aider".

Si d'autres questions sont posées, nous pouvons soit nous référer à la déclaration de confidentialité, soit consulter nous-mêmes la déclaration de confidentialité pour mieux répondre à la question.

  • 5.1.2.4 Contact téléphonique

Si les contacts ont lieu exclusivement par téléphone, nous pouvons à nouveau communiquer les informations et les droits oralement et nous référer au site web.

  • 5.1.2.5 Communication au candidat-acquéreur concernant la liste de candidats-acquéreurs

Si les premiers contacts se font par e-mail et que notre e-mail contient une référence à la déclaration de confidentialité, cela suffit comme déclaration.

Si nos contacts ne se font que par téléphone, nous informons, au plus tard quand le rendez-vous est fixé, que nous conserverons les données pour nos obligations contractuelles avec le vendeur, et que nous pouvons donner le nom de la personne au vendeur, sous des conditions très strictes.

  • 5.1.2.6 Communication lors d’une prospection active

Lors de la prospection active, la tournure que prendra le contact impactera les informations du prospect que nous conserverons. La communication a donc lieu dans le contexte de ces données à conserver.

  • 5.1.2.7 Communication lors de la sauvegarde d’information obtenue à l’insu de la personne concernée

Les informations obtenues indépendamment de la personne concernée peuvent fournir un avantage commercial et font donc partie de notre secret d'affaires. Nous ne sommes pas obligés d’informer la personne concernée que nous conservons ces informations.

  • 5.2 Confirmation ou preuve du consentement

 

En tant que responsable, nous devons être en mesure de prouver qu'une personne concernée a donné son consentement.

Si la personne concernée donne son consentement par e-mail, cet e-mail est suffisant. Lors d’un consentement en ligne, nous envoyons par défaut un e-mail qui inclut la confirmation du consentement. Si la permission est donnée oralement au bureau ou par téléphone, nous demandons au client s'il veut une confirmation par SMS ou par e-mail du consentement, auquel cas nous recevrons un numéro de portable ou une adresse e-mail. Si le client ne le veut pas, il n'y a aucune trace de ce consentement. Ceci est acceptable car le consentement n'est pas demandé pour des informations sensibles.

Toutefois, si un client lui-même indique la race, la religion, l'orientation sexuelle ou la santé comme un élément dans la recherche d’un bien approprié, une preuve de consentement plus stricte est requise. Dans ce cas, l'autorisation est soit obtenue par écrit ou confirmée par le client dans un sms ou un e-mail de sa part.

 

 

  • 5.3 Comment gérer la requête d'un client?

 

Chaque personne a un certain nombre de droits en ce qui concerne ses données personnelles. À cette fin, elle peut nous adresser une requête. Il nous faut être attentif à de telles demandes pour deux raisons. Tout d'abord, les gens demandent normalement de façon informelle les informations qu’elles souhaitent obtenir. Quand cela se passe de manière formelle, un bon suivi est important pour éviter tout problème. En outre, nous devons veiller à ce que celui qui formule une requête est bien celui qu'il prétend être. Sinon, nous risquons des problèmes supplémentaires.

Nous vérifierons donc toujours l'identité des personnes qui formulent une requête, et ce, sur la base d'une copie de la carte d'identité, par courrier ou via une visite à l’agence. Nous disposons d’un mois pour répondre à la demande. Nous ne sommes donc pas pressés.

Si une demande est suspecte ou délicate pour quelque raison que ce soit, elle sera discutée en interne, éventuellement après avoir eu recours à un conseil externe spécialisé.

  • 5.3.1 Le droit d'être informé si nous traitons des données personnelles d'une personne.

Chaque personne peut demander si nous conservons des données personnelles à son sujet.

  • 5.3.2 Le droit d’accès

Toute personne a droit d’accès à toutes les données que nous avons sur elle. Cependant, nous avons un devoir déontologique de discrétion (article 34 de la déontologie de l’agent immobilier). S'il y a des raisons de penser que la demande d'accès est suspecte, ou si nous avons conservé certaines informations que nous souhaitons traiter discrètement, nous traiterons cette question ad hoc, éventuellement après avoir eu recours à un conseil externe.

  • 5.3.3 Le droit de retirer son consentement

Toute personne a le droit de retirer son consentement sans condition. Ce choix doit être respecté.

  • 5.3.4 Le droit à l’effacement

Dans certains cas, une personne a le droit d’obtenir la suppression de ses données personnelles, notamment quand les données ne sont plus nécessaires pour aucun traitement, ni ne sont traitées selon notre intérêt légitime impérieux.

  • 5.3.5 Le droit à l’opposition

Toute personne a le droit de s'opposer à un traitement fondé sur notre intérêt légitime. Si une personne s'oppose à un traitement sur la base de notre intérêt légitime impérieux, nous discuterons cette requête au cas par cas et prendrons une décision, éventuellement après avoir eu recours à un avis externe spécialisé.

  • 5.3.6 Le droit à la limitation

Invoquer le droit à la limitation implique un différend ou un futur différend. Celui-ci est discuté et décidé au cas par cas, éventuellement après avoir eu recours à un avis externe spécialisé.

  • 5.3.7 Le droit à la portabilité de données personnelles.

Nous ne traitons pas les données personnelles automatiquement.
Le droit de portabilité des données ne nous concerne donc pas.

  • 6. Les changements dans l'organisation interne

 

Dans les deux points précédents, nous avons discuté de la façon dont nous déterminons en interne le traitement des données personnelles et motivons nos choix, comment nous informons nos clients et communiquons avec eux. Le RGPD a également des conséquences sur notre façon interne de travailler :

  • Les documents que nous utilisons pour nos clients doivent être conformes au RGPD.
  • Dans le cadre de nos relations avec les sous-traitants et les partenaires avec lesquels nous transmettons des données personnelles, il existe des conditions supplémentaires pour la transmission de ces données, qui doivent être réglées contractuellement.
  • Nous devons prendre des mesures qui renforcent la sécurité des données personnelles, ou au moins décrire les mesures de sécurité existantes.
  • Nous devons savoir comment gérer les évènements suivants :
    • Que faire lorsque nous sommes contactés par l'autorité de protection des données ?
    • Que faire lorsqu’une violation de données se produit ?

      • 6.1 Vue d'ensemble des documents impactés par le RGPD.

Nous donnons ici un bref aperçu des documents que nous utilisons dans nos relations avec les clients et qui sont impactés par le RGPD. Si un client pose des questions détaillées sur un contrat ou une clause particulière, nous nous réfèrerons à ce document et à l'explication qui accompagne ce document.

Nom du document

Fonction

Impact RGPD

Politique de confidentialité interne

Document interne contenant la politique sur les données personnelles

Nouveau

Déclaration de confidentialité

Contient pour les clients au sens large comment nous traitons leurs données personnelles et leurs droits y afférant.

Nouveau

Politique de cookies

Explication générale du fonctionnement des cookies

Limité

Clause de non-responsabilité (Disclaimer)

Limitation générale de la responsabilité

Limité

Mandat de vente

Convention avec le vendeur

Traitement des données personnelles du vendeur ; obligations concernant la liste des acheteurs potentiels

Mandat de location

Convention avec le propriétaire

Traitement des données personnelles du propriétaire

Offre

 

Limité (document entre particuliers)

Compromis

 

Limité (document entre particuliers)

Bail

 

Droits et obligations du locataire et du propriétaire

Mails de l’agence

 

Contiennent un lien vers la déclaration de confidentialité, systématiquement ou au moins lorsque des données personnelles sont demandées.

 

  • 6.2 Mesures de sécurité

Nous sous-traitons les mesures techniques de sécurité, au niveau logiciel et hardware, à notre fournisseur informatique et à notre fournisseur de logiciels.

Les mesures que nous-mêmes prenons dans le cadre de la protection des données personnelles sont principalement organisationnelles.

Nous nous assurons que lorsque des personnes externes (clients) sont présentes dans nos bureaux, nos PC ou ordinateurs portables sont verrouillés en notre absence.

Dans tous les programmes où des données personnelles sont traitées, nous nous assurons que chaque personne possède et utilise son propre identifiant (nom d'utilisateur et mot de passe).

Nous remplaçons les mots de passe régulièrement. Et si un employé ou un collaborateur indépendant quitte l’agence, nous remplaçons immédiatement tous les mots de passe.

Nous ne recherchons pas de données personnelles sans but spécifique.

Il est important que les collaborateurs soient conscients de l'importance de traiter les données personnelles avec soin. À cette fin, nous leur fournissons régulièrement les formations nécessaires.

  • 6.3 Gérer certains événements spécifiques

    • 6.3.1 Nous sommes contactés par l'autorité de protection des données

L'autorité de protection des données dispose d'un pouvoir assez important : elle dispose de pouvoirs d'enquête étendus et peut prendre des mesures telles que l'interdiction du traitement ou des amendes administratives. L’autorité de protection des données prend d’abord contact sous forme de question. Nous traiterons cette question avec le plus grand soin, en ayant éventuellement recours à un conseil spécialisé externe.

  • 6.3.2 Nous sommes confrontés à une violation de données

Une violation de données se produit lorsque les données personnelles que nous gérons se retrouvent entre les mains de personnes qui ne devraient pas y avoir accès.

Nous transférons une partie de notre responsabilité aux sous-traitants et aux partenaires, et nous-mêmes assumons une partie de la responsabilité (voir mesures de sécurité). Compte tenu de notre taille, il nous est très difficile de vérifier s'il y a eu des violations ou non, ni quelles tentatives de violation ont été faites.

Quand nous apprenons une violation de données, ou une violation de données probable, nous traitons cela de manière ad hoc, mais rapidement et sérieusement.

  • 6.4 Relations avec les partenaires et sous-traitants, collaborateurs indépendants

 

Un certain nombre de sous-traitants traitent nos données personnelles. Cela concerne par ex. notre secrétariat social, notre fournisseur informatique ou notre fournisseur de logiciels. Nous avons conclu, avec ces sous-traitants, un contrat spécial de traitements de données : le DPA. Celui-ci décrit nos droits et obligations ainsi que ceux du sous-traitant.

Avec certains partenaires, nous échangeons des données personnelles, qu’eux traitent sous leur propre responsabilité. Il peut s'agir par ex. de notaires ou d'experts CPE. Nous les informons des conditions dans lesquelles nous leurs communiquons des données personnelles.

Avec nos collaborateurs indépendants, nous avons un accord qui comprend quelques clauses sur les données personnelles : leurs droits concernant les données personnelles que nous traitons pour l'exécution du contrat, leur devoir de confidentialité des données personnelles avec lesquelles ils entrent en contact, et leur obligation de traiter les données personnelles uniquement dans le cadre de leur mission.

  • 6.5 Traitement des données personnelles des employés

Remarque générale. L'employeur, tel que stipulé dans le contrat de travail, traite les données personnelles en tant que responsable du traitement dans le cadre de ses activités et considère qu'il est très important que les données personnelles de l'employé soient traitées avec soin et confidentialité.

Données personnelles. Le terme «données personnelles» comprend toutes les informations concernant une personne physique identifiée ou identifiable. Les données personnelles sont collectées à des fins spécifiques et explicitement définies. 

L'employeur recueille actuellement les données personnelles suivantes de l'employé :

  • données d'identification (nom, prénoms, adresse, copie de la carte d'identité, copie du permis de conduire, etc…).
  • données personnelles (date et lieu de naissance, état civil, langue, nationalité, sexe, etc.).
  • données concernant la carrière professionnelle (études, compétences, expérience professionnelle, certificats, etc.).
  • données concernant l'évaluation des performances.
  • situation familiale et composition de la famille.
  • données financières (salaire, primes, etc…).
  • caractéristiques propres à la gestion des avantages contractuels.
  • caractéristiques du contrat de travail.
  • toutes les données que l'employeur est tenu de collecter sur base d'obligations légales, règlementaires et administratives.

 

Dans la mesure où des dispositions légales l’imposent, cette information est transmise au secrétariat social et aux administrations concernées, y compris l'Office national de sécurité sociale (ONSS).

Fondement du traitement des données personnelles. Le traitement des données personnelles est basé sur les fondements suivants de l'article 6.1 du règlement général sur la protection des données (RGPD): l'exécution du contrat de travail, l'obligation légale et l’intérêt légitime de l'employeur. L'employé est tenu de communiquer ces données personnelles. Occasionnellement, il est possible de demander le consentement de l'employé pour traiter certaines données personnelles. L'employé peut retirer ce consentement à tout moment.

Finalités : Le traitement des données personnelles de l'employé par l'employeur est lié aux activités suivantes et sert les finalités suivantes:

  • L’administration du personnel, y compris la gestion des données financières telles que les traitements, salaires, avantages contractuels (y compris une éventuelle voiture de société), assurances et le remboursement des frais.
  • la gestion du personnel, y compris l'évaluation du personnel, la formation et le plan de carrière, l’accompagnement de la carrière.
  • le respect de toutes les obligations légales, règlementaires et administratives ainsi que le respect et l'application de la législation sociale et fiscale.
  • la planification du travail, tant sur le plan administratif qu'organisationnel, la planification et la gestion des horaires de travail et autres tâches, dans un but de gestion et de facturation des prestations pour les clients.
  • la gestion des contrôles d'accès (en particulier les bâtiments, y compris les parkings, ainsi que les téléphones, les téléphones mobiles et le réseau informatique).
  • la communication entre employeur et employés.
  • la gestion de statistiques.
  • le support, tant administratif qu’organisationnel, des procédures de recrutement.

 

Les coordonnées peuvent être transmises aux clients ou partenaires où l'employé effectue une mission.

Délai de conservation. L'employeur ne conservera les données personnelles que durant un délai nécessaire aux fins pour lesquelles les données ont été collectées ou traitées. L'employeur conservera les données personnelles de l’employé, ce dès le recrutement et pour toute la durée du contrat de travail, ainsi qu’ultérieurement pour autant que cela soit nécessaire d’un point de vue légal.

Les droits de l’employés lors du traitement des données personnelles. L’employé dispose de plusieurs droits concernant ses données personnelles, tels que le droit d’accès, le droit de rectification et d'effacement des données (droit à l'oubli), le droit de limitation du traitement, le droit d'opposition et le droit de la portabilité des données.

Ces droits sont énumérés dans les articles 15 à 22 du RGPD. Si l'employé fait appel à l'un de ces droits, l'employeur s’assurera de l'identité de l'employé avant de traiter la demande. L'employeur répondra dans un délai raisonnable à la demande de l'employé.

Si les demandes de l'employé sont manifestement infondées ou excessives, l'employeur pourra facturer raisonnablement ses services en fonction du coût administratif ou pourra refuser de répondre à la demande.

L'employeur peut refuser de répondre à la demande de l'employé si elle est en conflit avec une autre obligation légale, à condition que ce refus ne porte pas préjudice aux droits fondamentaux et libertés fondamentales.

Droit d’accès de l’employé à ses données personnelles. L'employé peut demander à l'employeur l’accès à ses données personnelles et ce à des intervalles raisonnables. Si un employé fait trop souvent telle demande, l'employeur n’est pas tenu d’y répondre. Dans certains cas, par exemple dans le cas d’une violation des droits d’autres personnes, l'employeur ne permettra pas l'accès aux données.

Droit de rectification et d'effacement des données (droit à l'oubli). L'employé peut demander à l'employeur de corriger ses données erronées. L'employé indiquera les changements souhaités.

L'employé peut demander à l'employeur de supprimer ses données sans retard déraisonnable si elles ne sont plus nécessaires aux fins pour lesquelles elles ont été recueillies, lorsque l'employé a retiré son consentement, lorsque l'employé s'oppose au traitement et qu'il n'y a pas d’intérêt légitime impérieux pour ce traitement ou lorsqu'il s’agit d’un traitement illicite. L'employé doit indiquer la suppression souhaitée. L'employeur peut toutefois refuser de supprimer les données personnelles dans les cas prévus par le RGPD

Le droit à la limitation du traitement. L'employé a un droit de limitation du traitement de la part de l'employeur dans les conditions prévues par le règlement général sur la protection des données. L’employé qui a obtenu une limitation du traitement est informé par l'employeur avant que cette limitation du traitement ne soit levée.

Droit d'objection. L'employé a le droit de s'opposer au traitement de ses données personnelles si le traitement est basé sur l'intérêt légitime de l'employeur ou d'un tiers. Si le traitement est nécessaire pour l'exécution d'un contrat ou dans le cadre d’une obligation légale, l'employé ne pourra invoquer son droit d'opposition.

Droit à la portabilité des données. L'employé a le droit de recevoir les données personnelles qu'il a fournies à l’employeur dans un format structuré, courant et lisible par un ordinateur, et il a le droit de transmettre ces données à un autre employeur, sans que l'employeur n’y fasse obstacle, si :

  • le traitement est fondé sur le consentement ou dans la cadre de l’exécution d’un contrat.
  • le traitement est effectué à l’aide de procédés automatisés.

Dans l'exercice de son droit à la portabilité des données, l'employé a le droit d’obtenir que ses données personnelles soient transmises, si cela est techniquement possible, directement d'un employeur à un autre.

Procédure de réclamation et règlement des litiges. L’employé qui estime que l'employeur ne remplit pas correctement ses obligations relatives au traitement des données personnelles, telles que définies ci-dessus, peut s'adresser directement à son employeur. L'employé peut également déposer une plainte auprès de l'autorité de protection des données à l'adresse suivante :

Autorité de protection des données
Rue de la presse 35 1000 BRUXELLES
Tel: +32 (0) 2 274 48 00
Fax: +32 (0) 2 274 48 35
E-mail: commission@privacycommission.be 


Au cas où l’employé subit un préjudice suite au traitement de ses données personnelles, il ou elle peut également intenter une action en dommages et intérêts devant le tribunal de première instance de son domicile.

Pour plus d'informations concernant les plaintes et les possibilités de recours,
il est conseillé à l'employé de consulter le site web de l'Autorité de protection des données : https://www.privacycommission.be/fr/plainte-et-recours. 

Obligations de l'employé. L'employé qui a accès à des données personnelles les traite uniquement pour le compte de l'employeur. L'employé s'engage également à traiter confidentiellement toutes les données personnelles auxquelles il a accès.

  • 6.6 Traitement des données personnelles des collaborateurs des fournisseurs et des partenaires


Fondement du traitement. Dans le cadre d'une relation commerciale avec des fournisseurs et autres partenaires, un certain nombre de données personnelles des collaborateurs de ces fournisseurs et partenaires sont conservées, en raison de l'exécution du contrat ou de l’intérêt légitime.

Quelles données personnelles conservons-nous? Nous conservons uniquement les catégories de données personnelles suivantes : coordonnées et éventuellement informations relationnelles.

  • Identification et coordonnées: y compris nom et prénom, adresse, adresse e-mail, numéro de téléphone ou autres coordonnées.
  • Informations relationnelles: Informations personnelles qui peuvent être utiles pour la gestion des relations commerciales.

Autres aspects du traitement et des droits. Pour les autres aspects du traitement ainsi que les droits des personnes concernées, nous nous référons aux sections pertinentes des clients, prospects et visiteurs du site, qui s'appliquent au cas présent.