Sauf à manquer cruellement d’informations, être passé à côté de l’existence du RGPD relève de l’exception.
Le monde de l’immobilier est, lui aussi, soumis au règlement général sur la protection des données et ce dernier peut, parfois, se rappeler au (bon) souvenir des professionnels de manière étonnante.
Le cas relaté ci-après n’est pas une fiction…
« Une copropriété décide de modifier de système permettant l’accès aux parties communes du bâtiment en remplaçant la traditionnelle quincaillerie par des badges.
Si tout le monde semble séduit par la facilité d’utilisation et le confort apportés par ce nouveau système, ce n’est pas le cas d’un locataire de l’un des appartements dudit immeuble…
Ce dernier interpelle donc le syndic en lui demandant si le système d’accès, dès lors qu’il est « électronique » et personnalisé aux occupants de l’immeuble, collecte, enregistre et/ou conserve des données personnelles….
Notre professionnel de l’immobilier se voit contraint de répondre par l’affirmative et le locataire d’indiquer que le système imposé par une décision à laquelle il n’a pas pris part ne respecte pas le…. RGPD et qu’en conséquence, il en exige le démontage immédiat… »
À mon sens, le locataire n’a pas totalement tort….
Le RGPD impose (sans que cette énumération ne soit exhaustive) une obligation de transparence quant aux données et une obligation de licéité quant au traitement de ces dernières.
La condition de licéité implique que, pour être mis en œuvre, le traitement des données doit rentrer dans l’une de ces cases : la personne concernée a consenti au traitement, le traitement est nécessaire à l’exécution d’un contrat, ou encore, le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement à moins que ne prévalent des intérêts fondamentaux…
On pourrait considérer que le locataire qui n’a pas consenti à l’installation du système d’accès pourrait, dans le respect du RGPD, se le voir imposé sur base du dernier critère… mais….ce serait alors faire fi de l’obligation de transparence….
Cette obligation implique que les données soit collectées APRES communication aux personnes d’une information complète sur le traitement… ce qui dans notre cas, n’a pas été réalisé.
Pour répondre à l’obligation de transparence, notre syndic et l’ACP, auront tout intérêt à communiquer, (exemple) :
- par un courriel à l’attention de l’ensemble des occupants ;
- sur une notice, fournie systématiquement à l’arrivée de tout nouvel occupant
Cette information devrait également figurer de manière permanente sur son intranet / règlement intérieur à la rubrique « Politique de protection des données » – Onglet « Accès par badge », pour permettre aux occupants d’exercer leurs droits. A défaut d’un intranet accessible, cette information doit pouvoir être fournie, à tout moment, sur demande des occupants adressée à rgpd@xxx.be
Objet du traitement (finalité et base légale) :
L’ACP XXX a mis en place un système non biométrique d’accès par badge afin de permettre l’accès (et contrôler ?) aux parties communes de l’immeuble.
La base légale du traitement est l’intérêt légitime (cf. article 6.1.f) du Règlement européen sur la protection des données).
Données enregistrées sur les utilisateurs du badge :
- Identité : nom, prénom….
- Badge : numéro du badge, date de validité.
- Date et heures d’entrée et de sortie.
Destinataires des données :
- Les personnes habilitées du service gérant la maintenance du système d’accès la sécurité des locaux.
Durée de conservation des données : 3 mois.
Droits des personnes :
Vous pouvez accéder aux données vous concernant ou demander leur effacement. Vous disposez également d’un droit d’opposition, d’un droit de rectification et d’un droit à la limitation du traitement de vos données.
Pour exercer ces droits ou pour toute question sur le traitement de vos données dans ce dispositif, vous pouvez contacter xxx. (Président de l’ACP, ou le responsable du traitement de la société qui installe le système…)
- Contact par voie électronique : xxx@mail.b
- Contact par courrier postal :
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés ou que le dispositif de contrôle d’accès n’est pas conforme aux règles de protection des données, vous pouvez adresser une réclamation en ligne à la commission de la protection de la vie privée ou par voie postale. »