L'enquête Digital Real Estate 2023 montre que le degré de maturité du secteur de la construction et de l'immobilier ne dépend pas seulement des possibilités techniques et des nouvelles innovations, mais aussi de la manière dont nous traitons et utilisons les données. Or, cela entraîne toujours de nouveaux défis juridiques. L'expert David Schwaninger nous explique comment ces nouvelles innovations ont un impact juridique sur l'industrie et ce que la nouvelle loi sur la protection des données du 1er septembre 2023 implique.
De plus en plus d'entreprises numérisent leurs processus et souhaitent utiliser les données qui en résultent. Quels sont les aspects juridiques auxquels il faut prêter une attention particulière ?
Il est important de savoir que les données ne sont pas des choses et qu'on ne peut donc pas en être propriétaire. La loi sur la protection des données ne régit pas le droit aux données en général, mais le traitement d'une catégorie de données, les données personnelles. Par traitement, on entend par exemple le stockage, l'archivage et la copie. Il est en outre important de distinguer s'il s'agit de données relatives à des personnes physiques ou morales, surtout dans l'optique de la nouvelle loi sur la protection des données (nLPD). En effet, la législation sur la protection des données ne s'appliquera désormais que s'il s'agit de données personnelles concernant des personnes physiques.
La nouvelle loi sur la protection des données entrera en vigueur le 1er septembre 2023. Quelles sont les conséquences de cette loi en ce qui concerne les Data Analytics dans le secteur de la construction et de l'immobilier ?
Il y a quelques changements dans la nouvelle loi sur la protection des données. Les plus importantes sont les suivantes :
- Elle se limite désormais aux données des personnes physiques.
- Il existe désormais une obligation d'information. Les personnes concernées doivent obligatoirement être informées par l'entreprise lorsque celle-ci traite leurs données. Si cette obligation d'information n'est pas respectée intentionnellement, les entreprises sont punissables. Ce ne sont pas les entreprises qui sont amendées, mais les personnes responsables, avec une amende pouvant aller jusqu'à 250'000 francs.
- Si des données personnelles tombent entre de mauvaises mains, il existe désormais une obligation de déclaration. Il peut s'agir d'une cyberattaque, mais aussi de l'abandon de dossiers dans les transports publics. Un tel incident doit être immédiatement annoncé au Préposé fédéral à la protection des données et à la transparence et aux personnes concernées.
- Si une entreprise emploie 250 personnes ou plus, elle doit désormais établir un registre des activités de traitement. Celui-ci décrit quelles données personnelles sont traitées, comment et dans quel but. Mais il est également recommandé aux petites entreprises d'établir un tel registre afin d'avoir une vue d'ensemble structurée des données existantes. En particulier, les petites entreprises peuvent également être tenues de tenir un tel registre, par exemple lorsqu'elles traitent des données personnelles sensibles à grande échelle.
- Si l'entreprise charge un sous-traitant d'accéder aux systèmes de l'entreprise, une convention doit être conclue avec ce dernier. Il existe en outre une obligation de contrôle, de sorte que la responsabilité ne peut pas être "transférée" à la personne chargée du traitement des données. Les fournisseurs d'espaces de stockage en nuage ou les assistants informatiques externes sont des exemples de tels sous-traitants.
Quels sont les besoins d'action que tu vois pour les entreprises du secteur ?
Les entreprises du secteur de la construction et de l'immobilier ont déjà fait beaucoup de choses. Elles sont notamment déjà bien avancées en matière de sécurité des données. En outre, certaines ont déjà conclu des accords détaillés avec des prestataires tiers (sous-traitants). Néanmoins, rares sont les entreprises qui sont très bien préparées aux changements à venir dans la législation sur la protection des données. Il y a encore du pain sur la planche. En effet, la nLPD s'appliquera à partir du 1er septembre 2023, sans période de transition ni délai de grâce.
Constates-tu des différences entre les PME et les grandes entreprises en ce qui concerne la gestion des dispositions réglementaires ?
Oui, il y a des différences entre les PME et les grandes entreprises. Du fait que les grandes entreprises opèrent souvent à l'échelle internationale et ont donc déjà dû se pencher sur la question en raison de la loi européenne sur la protection des données, elles ont déjà pu mettre en place certaines structures pour le traitement de leurs données et de celles de leurs clients. Les PME sont encore un peu à la traîne et doivent rattraper leur retard, car nous sommes déjà très bientôt en septembre... Néanmoins, je recommande aux grandes entreprises de vérifier si les directives et les réglementations sont réellement appliquées en interne.
Outre le droit de la protection des données, y a-t-il d'autres développements dans le domaine juridique qui sont pertinents pour l'utilisation de l'analyse des données en se concentrant sur le secteur de la construction et de l'immobilier ?
Oui, diverses. Il y a eu un changement dans le droit des faillites, qui joue un rôle dans l'externalisation vers des fournisseurs de cloud. En cas de faillite, on a désormais le droit de récupérer ses données. Jusqu'à présent, il fallait compter sur la bonne volonté de l'administration de la faillite. Mais attention, le tri des données prend également du temps. C'est pourquoi les données doivent toujours être sauvegardées séparément. Par ailleurs, des modifications ont été apportées au droit d'auteur, ainsi toutes les photographies sont désormais protégées par le droit d'auteur. Lors du traitement des données de construction, il faut tenir compte des droits d'auteur, car il existe par exemple un droit d'auteur conjoint sur un modèle BIM. A l'avenir, le Digital Services Act (DSA) de l'UE, encore en cours d'élaboration, entraînera des changements. Il aura une influence sur le traitement des données au-delà des données personnelles. La législation suisse se rapprochera probablement tôt ou tard de la DSA.
L'utilisation du BIM permet une planification numérique sur un modèle de bâtiment commun. Comment la propriété ou l'utilisation des données est-elle réglée dans de tels modèles et à quoi faut-il faire attention ?
Comme nous l'avons déjà mentionné, les droits d'auteur ou de co-auteur jouent un rôle important dans l'utilisation de cette méthodologie. En l'absence de dispositions contractuelles, les modifications du modèle ne peuvent être effectuées qu'en commun. C'est pourquoi il est recommandé, en tant que propriétaire, de régler cette question par contrat avant la réalisation du projet, afin qu'à la fin du projet de construction, des modifications puissent être apportées au modèle sans l'accord de toutes les autres personnes impliquées dans le projet. Comme les données nécessaires pour la phase d'utilisation ultérieure sont de toute façon commandées lors de la planification d'un projet de construction, la définition du cadre juridique pour un transfert sans problème peut être effectuée en même temps, une fois le projet terminé. Cependant, l'expérience montre que l'on accorde peu d'attention aux composantes juridiques. Apporter ces modifications après coup peut s'avérer très coûteux.
De plus en plus de propriétaires immobiliers s'intéressent aux données d'exploitation de leurs biens, telles que les données de consommation. Comment la question de la propriété des données est-elle réglée à cet égard et que recommandez-vous aux propriétaires et à leurs prestataires de services en ce qui concerne la fourniture de ces données ?
D'une part, la transmission d'informations issues des bases de données BIM ne pose en principe aucun problème, sauf s'il s'agit d'un savoir-faire spécifique, ce qui est rarement le cas. Mais si l'ensemble du modèle est transmis à des prestataires de services ou à des tiers, cela doit également être réglé par contrat au préalable. Souvent, dans ce cas, ce ne sont pas les aspects juridiques qui constituent un obstacle, mais les aspects techniques. D'autre part, il est important de savoir que si les données des locataires sont conservées sous forme de dossier ou dans le système, une déclaration de protection des données doit être présente dans le contrat de location ou être jointe à celui-ci, conformément à la nouvelle loi sur la protection des données. Dans les petites entreprises, cela est souvent négligé, ce qui peut entraîner des problèmes juridiques. Au niveau des bâtiments également, on assiste à une mise en réseau de plus en plus importante - mot-clé : Smart Building.
Quels sont les risques juridiques à prendre en compte dans ce contexte ?
Jusqu'à présent, les propriétaires et les exploitants sont relativement libres dans ce domaine, à condition que les données soient anonymes. Mais si, par exemple, les données de consommation peuvent être attribuées et que l'identité de la personne concernée peut être déterminée - par exemple par l'attribution au numéro d'appartement -, le droit de la protection des données s'applique désormais. Dans ce cas, il faut également garantir que les données seront effacées dès que l'entreprise n'en aura plus besoin. C'est pourquoi je recommande d'établir, sur la base des délais de conservation et de prescription, une liste indiquant quand quelles données peuvent être supprimées.
De plus en plus de données sont stockées et utilisées sur des plateformes tierces ou dans le cloud. Y a-t-il des points particuliers auxquels il faut faire attention lors du choix et de la collaboration avec le fournisseur de la plate-forme ?
Il est important de s'assurer que les fournisseurs tiers n'utilisent pas les données à des fins personnelles et que la sécurité des données est garantie. Cela peut être vérifié au moyen de divers certificats. En outre, il faut tenir compte d'éventuelles obligations de confidentialité dans les contrats avec les clients. S'il y en a, les données ne peuvent généralement pas être transmises à des tiers ou alors seulement à des conditions très strictes. Si l'entreprise de services fait faillite, il existe un droit à la restitution des données. Soit ce droit est fixé par contrat, soit c'est le droit de distraction qui s'applique, lequel est réglé par la loi sur les faillites.
À propos de l'étude
Depuis 2016, l'enquête Digital Real Estate recense chaque année l'état de la transformation numérique du secteur de la construction et de l'immobilier en Suisse et, depuis 2019, également en Allemagne. Le livre blanc présente la situation actuelle dans les deux pays en se basant sur les estimations de différents dirigeants et professionnels de la branche et est complété par l'expertise des conseillers de pom+Consulting AG.
L'étude peut être téléchargée gratuitement en allemand.
Vous avez des questions ? Nos experts et spécialistes se feront un plaisir de vous aider.