A l’heure actuelle, les propriétaires de biens immobiliers ne se contentent plus de louer simplement les lieux, mais mettent à disposition des preneurs des services annexes : réception mutualisée, services de conciergerie, accès à une salle de sport commune etc. On pense également aux systèmes de contrôle d’accès aux locaux ou aux parkings, ou encore au caméras de surveillance.
L’ensemble de ces services est fréquemment regroupé sous l’appellation « real estate as a service ».
Les acteurs de l’immobilier oublient fréquemment qu’ils traitent des données à caractère personnel pour le compte de leurs locataires.
Quel est le statut du bailleur ?
Le propriétaire des lieux est donc à la fois responsable de traitement lorsqu’il protège son patrimoine, mais aussi sous-traitant de tous ses locataires au sens du RGPD, puisqu’il gère pour eux le contrôle d’accès et la vidéosurveillance, et donc les données des visiteurs, l’identité des détenteurs de badges, les heures d’entrée et sortie, les images des caméras, l’identité des membres du personnel du preneur qui peuvent accéder à la salle de sport, les prestations commandées, les données des badges d’accès etc.
Quelles conséquences pour le bailleur ?
En plus des obligations du bailleur en qualité de responsable du traitement, il doit donc, en qualité de sous-traitant :
- d’un point de vue formel :
- veiller à inclure dans le contrat de bail ou un avenant les clauses exigées par le RGPD en cas de sous-traitance,
- tenir un registre des activités de traitement réalisées en sous-traitance.
- dans la gestion des données :
- le bailleur peut évidemment accéder aux données pour les besoins de l’exécution du contrat (tels que la facturation des prestations),
- le bailleur-sous-traitant doit obtempérer à la demande de ses locataires d’obtenir les données qui les regardent. Le bailleur doit donner suite à cette demande, à moins qu’elle ne soit de manière flagrante contraire au RGPD, auquel cas il a le devoir d’en avertir son locataire,
- le bailleur ne doit pas répondre directement aux demandes d’accès des personnes concernées, puisqu’il n’est que sous-traitant, mais uniquement aider ses locataires à y répondre.