Conformité RGPD et data privacy : le bâtiment aussi est concerné

À l’heure où de grandes quantités de data y sont produites et que les objets connectés colonisent le bâtiment, le Règlement Général sur la Protection des Données (RGPD) concerne évidemment aussi les bâtiments intelligents. Une question se pose alors : comment s’y prendre pour être en conformité ? Éléments de réponse avec Guillaume Lerouge, Responsable juridique et Data Privacy Manager chez ENGIE Cofely.

 

Quelles sont les grandes lignes du RGPD et les avancées en matière de protection des données personnelles ?

« Le RGPD est entré en application le 25 mai 2018, pour d’une part renforcer les droits et le contrôle des citoyens de l’Union européenne sur leurs données personnelles et d’autre part intensifier les obligations à la charge des organisations privées et publiques qui collectent et exploitent ces données, notamment en matière d’information des personnes, de recueil du consentement, de traçabilité et de documentation interne. »

En cas de manquement à ces obligations, les personnes concernées peuvent se tourner vers l’autorité de contrôle du pays. Pour la France, il s’agit de la Commission Nationale de l’Informatique et des Libertés, la CNIL. Les sanctions encourues par les organisations qui ne respectent pas le RGPD sont très lourdes, puisqu’elles peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entité.

Et attention : ces sanctions concernent aussi bien les « responsables de traitements » (notamment l’entreprise propriétaire ou locataire d’un site, représentée par son directeur immobilier) que les « sous-traitants » (en particulier le prestataire qui installe et exploite des objets connectés). Désormais, ces différents acteurs partagent la responsabilité de gérer les données conformément à la réglementation.

 

Parlons smart building : dans quelle mesure est-il impacté par le RGPD ?

« Par essence, les smart buildings produisent une multitude de données, notamment celles fournies par les compteurs intelligents et les différents capteurs qu’ils contiennent. Or certaines d’entre elles peuvent être qualifiées de données à caractère personnel au sens du RGPD, dès lors qu’elles se rattachent, même indirectement, à une personne physique. La protection de ces données doit donc être prise très au sérieux par les acteurs du bâtiment. Cela, à chacune des étapes de la vie du bâtiment, en phase de conception, de réalisation et d’exploitation. »

Une prise en compte en amont de la protection des données est nécessaire. En effet, les différents intervenants du smart building, c’est-à-dire les fabricants d’objets, les maîtres d’œuvre, les constructeurs, ou encore les fournisseurs d’énergie, doivent tous intégrer cette question, dès l’étape d’élaboration des objets connectés, de la conception du bâtiment qui les accueille, ou de mise au point de services aux occupants, selon le principe de « privacy by design ». Le RGPD impose ainsi le principe d’une protection dès qu’un process impliquant un traitement de données à caractère personnel est créé. Il existe un document de référence très utile en la matière, le pack conformité « compteurs communicants » de la CNIL, dont les grands principes restent globalement valables même s’il date de 2014, avant l’entrée en application du RGPD.

Enfin, dans le cas particulier de l’utilisation d’une maquette BIM, les acteurs du bâtiment doivent là aussi être vigilants. Dans une moindre mesure au cours des étapes de conception et de construction, car la maquette constitue un simple support à l’édification du smart building et n’a vocation qu’à partager des données professionnelles, relatives aux différents intervenants. En revanche, beaucoup plus en phase d’exploitation et maintenance, car la maquette intègre alors des données relatives à l’usage du bâtiment et à ses occupants.

Quels sont les principes de protection des données à caractère personnel dans le bâtiment ?

« La conformité au RGPD implique un plan d’actions global et l’intervention de nombreux acteurs. Ainsi, le directeur immobilier, responsable du site, devrait en premier lieu associer le délégué à la protection des données (DPD) de son entité pour organiser, piloter et mettre en œuvre ce plan d’actions. »

Le DPD a pour mission d’animer un groupe d’experts de différents domaines (informatique, juridique, mais aussi Ressources Humaines), en vue de mettre en œuvre l’ensemble des mesures nécessaires à la mise en conformité avec le RGPD. Celle-ci implique une revue complète des processus en la matière. Il s’agit notamment de recenser les données collectées et leurs usages, pour dessiner une cartographie d’ensemble des « traitements de données » opérés au sein du bâtiment, et de vérifier la légitimité globale des opérations : détermination de leur base légale, caractère loyal et proportionnel des données recueillies (ce qu’on appelle « privacy by default »), durée de conservation limitée et système de purge au-delà, mesures de sécurité et confidentialité, etc. Ce recensement servira à constituer le « registre des activités de traitement » qui représente un élément essentiel de conformité au RGPD.

De surcroît, si le DPD considère qu’un traitement de données est susceptible d’engendrer des risques spécifiques et potentiellement élevés pour les droits et libertés des personnes, il devra en plus effectuer une analyse d’impact relative à la protection des données (AIPD). Ce sera nécessaire, par exemple, en cas de géolocalisation des occupants dans les bâtiments.

 

Quelles obligations en découlent pour les différentes parties prenantes du bâtiment ?

« Le gestionnaire du site a une obligation d’information, voire de recueil du consentement pour certaines applications, auprès des occupants dont il récupère les données, qu’ils soient permanents ou visiteurs. Cette information peut s’effectuer par voie d’affichage dans le bâtiment ou individuellement via un formulaire, sous format papier ou directement sur l’application numérique utilisée. Cette mention détaille les raisons pour lesquelles les données sont collectées, les personnes qui y ont accès, la durée pendant laquelle les données seront conservées, les modalités dans lesquelles les personnes peuvent faire valoir leurs droits (droits d’accès, de rectification, d’opposition, de limitation, de portabilité…). En principe, les institutions représentatives du personnel (IRP) devront être associées en amont du projet, dès lors que le dispositif technique mis en place concerne les salariés. »

Au-delà de l’information, le directeur immobilier va mettre en œuvre des outils et mesures nécessaires pour garantir la sécurité des données et en assurer la confidentialité, via la gestion attentive des accès aux données et des habilitations à les visionner, les mises à jour régulières des logiciels et des antivirus, l’utilisation de mots de passe robustes, le chiffrement, des solutions de pseudonymisation voire d’anonymisation des données, des sauvegardes pour éviter les pertes de données…

Enfin, le gestionnaire du bâtiment est responsable non seulement des données qu’il utilise mais aussi de celles transmises à des prestataires – les « sous-traitants » au sens du RGPD – dans le cadre des services numériques. Sur un plan contractuel, il va devoir valider que les différents intervenants tout au long du cycle de vie du smart building, du bureau d’études au mainteneur, sont tous à même de garantir la protection des données personnelles des occupants et visiteurs.

Le respect de l’ensemble de ces principes doit permettre au directeur immobilier de satisfaire aux principales exigences du RGPD. Vous pouvez être tranquille !