La confidentialité, c’est-à-dire la « propriété de l’information qui vise à assurer l’accès uniquement aux personnes autorisées » (Lesdefinitions.fr, 2013), est un aspect incontournable de la démarche de dématérialisation qui résulte de la présence de données sensibles atteignant potentiellement des personnes physiques dans les documents objets de la démarche, comme l’explique Julien Daclin, directeur Performance digitale et environnementale chez JLL (Jones Lang LaSalle, 2018).

En pratique, en matière immobilière, les personnes physiques dont il faut protéger les données personnelles sont en premier lieu les locataires, mais cela peut être aussi des porteurs de parts de SCPI ou d’organismes de placement collectif immobilier (OPCI), par exemple.

La protection de l’identité humaine dans le droit interne

C’est à la base la Commission nationale de l’informatique et des libertés (CNIL) qui venait encadrer les données à caractère personnel. Elle définit ces dernières comme les données permettant d’identifier une personne directement ou indirectement.

Deux lois ont été édictées à la suite du travail de la CNIL :

• la loi n° 78-17 du 6 janvier 19781 ;

• modifiée par la loi n° 2004-801du 6 août 20042.

L’article 1 de la première loi venait énoncer l’objectif de cette dernière. Il disposait que « l’informatique doit être au service de chaque citoyen. ... Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». D’aucuns estimaient que l’objet de cette loi venait porter atteinte aux libertés individuelles en encadrant les agissements de chacun alors qu’elle avait pour but d’empêcher l’atteinte aux libertés de tous.

Ces lois donnaient cinq grands principes de confidentialité des données à caractère personnel qui étaient étudiées en fonction de (de Chaumont & Garcia-Behr, 2019) :

• la finalité, qui devait être légitime ;

• la proportionnalité, qui devait être nécessaire ;

• la durée limite de conservation, qui était définie en fonction de la finalité, puis les données détruites ultérieurement ;

• la sécurité de la confidentialité, pour éviter la divulgation ;

• le respect des droits des personnes, ce qui suppose d’informer l’utilisateur de la finalité de la demande d’information, de la facultativité de celle-ci, ainsi que des possibilités de rectifier.

Pour respecter ces grands principes, ces lois donnaient les moyens de respecter la confidentialité en :

• limitant l’accès aux dossiers ;

• mettant en place le chiffrement, qui permet de rendre une donnée inintelligible sauf au destinataire légitime ;

• protégeant les logins et les mots de passe des utilisateurs ;

• anonymisant des données.

L’uniformisation de la protection au niveau européen

Afin d’atténuer la fragmentation des lois nationales en la matière, le cadre européen est venu permettre l’harmonisation en un seul ensemble de règles relatives à la protection des données. Le travail de la Commission sur ce sujet a commencé en 2012 pour s’achever en 2016 et a été transposé en droit français en mai 2018.

Il naît donc de ces travaux le règlement européen sur la protection des données3, qui vient donner les grandes lignes directrices sur la collecte et le traitement des informations personnelles au sein de l’UE. Il est entré en vigueur le 25 mai 2018 et a été signé par 29 pays.

Les données personnelles y sont définies comme toute information concernant une personne physique identifiée ou identifiable via : nom, prénom, numéro d’identification, données de localisation, identifiant en ligne, facteurs physique, psychologique, génétique, mental, économique, culturel ou social.

Les grands principes abordés (de Chaumont & Garcia-Behr, 2019) :

• le règlement s’applique aux entreprises hors de l’Europe dès qu’elles traitent d’informations relatives aux organisations ou aux résidents de l’UE ;

• la collecte : mise en place d’une demande de consentement explicite dès qu’il s’agit de recueillir des données personnelles ;

• le stockage : droit de demander l’effacement des données ;

• la consultation : droit de visualiser les données communiquées ;

• la récupération/l’utilisation : droit de récupérer les données transmises et de les transférer ;

• l’adaptation/la modification : droit de modifier, à tout moment, les informations données ;

• la non-discrimination : droit de ne pas faire l’objet d’une décision fondée sur un traitement automatisé ;

• la protection : les données doivent être protégées dès la conception ;

• la divulgation/la diffusion : si les données venaient à fuir, les concernés doivent en être informés ;

• en cas de non-respect du règlement, une amende de 4 % du montant du chiffre d’affaires de la société est pratiquée.

Il existe quatre niveaux de confidentialité en fonction de la sensibilité des données :

• faible ;

• moyenne ;

• haute ;

• très haute.

Les mesures qui doivent être prises :

• la mise en place d’une gouvernance de la protection des données qui sera chargée de contrôler en interne la bonne application du règlement européen et la mise en place d’un interlocuteur pour contacter ce service ;

• le droit des personnes concernées par les données : droit à l’accès, à la rectification, à la suppression, à la restriction du traitement, à l’opposition, au transfert des données ;

• en cas de violation des données, la CNIL doit être avertie dans un délai de 72 h, et les personnes concernées également ;

• faire une analyse d’impact sur la protection des données sur les sujets sensibles ;

• se mettre à jour des dernières lois et minimiser les données personnelles stockées au traitement autorisé et pour une durée déterminée ;

• faire évoluer les métiers et le logiciel pour permettre une meilleure gestion des données à caractère personnel.