RGPD : Obligations et conformité des agences immobilières

24/11/2023

En 2019, une agence immobilière a été condamnée à 400 000 euros d’amende pour avoir manqué à deux obligations essentielles : la sécurité des données personnelles des utilisateurs et leur durée de conservation.

Le sujet de la conformité au RGPD doit donc être pris à bras le corps par les professionnels de l’immobilier pour une raison évidente : de nombreuses données personnelles, parfois sensibles, transitent entre leurs mains.

Afin de bien comprendre les enjeux RGPD dans l’immobilier, il est primordial de se poser les bonnes questions : Qui est concerné ? Comment le RGPD bouleverse les métiers ? Quelle stratégie adopter pour son agence immobilière ?

RGPD et immobilier : qui est concerné ?

Les données concernées par le RGPD immobilier

Les agences immobilières exercent en général 3 métiers : la transaction, la gestion locative et le syndic de copropriété. 

Les professionnels du secteur immobilier sont amenés à effectuer un grand nombre de vérifications qui nécessitent de rassembler des pièces comme : 

  • la pièce d’identité ;
  • le RIB ;
  • la copie de l’acte authentique ;
  • les bulletins de salaire ;
  • les attestations d’assurance ;
  • les justificatifs de santé ;
  • la caution ;
  • et toute autre pièce qui varie en fonction des situations.

L’ensemble de ces documents révèle des données personnelles relatives à la profession, au salaire, au potentiel interdit bancaire, aux coordonnées bancaires, à l’état de santé lorsque le locataire veut bénéficier d’un préavis d’un mois, au statut marital, etc.

Bien qu’une partie de ces informations doivent être collectées en vertu de la loi, il n’en reste pas moins qu’elles sont protégées par le RGPD.

Les professionnels de l’immobilier “classiques” et les acteurs de la proptech

En dehors des agences immobilières qui sont les acteurs classiques de l’immobilier, quels sont donc les autres “structures” susceptibles d’être soumises au RGPD ?

Dans la pratique, il n’est pas rare de voir des organismes titulaires de la carte T (titre délivré aux professionnels de l’immobilier pour la transaction)  travailler avec des agents commerciaux à leur compte. Lesdites structures, en tant que responsables de traitement (article 4 du RGPD) doivent veiller à ce que lesdits agents respectent les prescriptions du RGPD.

Pour rappel, le responsable de traitement est la personne qui détermine la finalité et les moyens du traitement de la donnée personnelle.

Actuellement, nous assistons aussi à un mouvement de forte digitalisation de l’immobilier. Les acteurs innovants de la proptech (start-up qui innove dans le secteur immobilier) proposent ainsi des outils digitaux aux agences immobilières pour optimiser les prises de rendez-vous, la publication d’annonces, la relation-client, le marketing, etc. Bien évidemment, ces derniers ne sont pas exemptés des obligations RGPD et il appartiendra aux agences immobilières  de choisir un logiciel porté par une proptech qui y répond parfaitement.

Impact du RGPD pour les métiers de l’immobilier

Afin de cerner concrètement les effets du RGPD dans la pratique, il est intéressant de se pencher sur 3 cas concrets auxquels toute agence immobilière classique est confrontée.

Développement de la clientèle

Prospection commerciale des particuliers

Trouver des clients vendeurs et acheteurs ? C’est le quotidien des agences immobilières en quête de transactions. Même si le porte à porte existe toujours, les nombreux outils digitaux sont là pour atteindre des milliers de personnes en un clic.

Mais, attention ! Les récoltes “sauvages” de données personnelles des particuliers (mail, numéros de téléphone, adresse, etc.) sont interdites par le RGPD. Il est donc recommandé de ne pas scrapper des coordonnées, de ne pas utiliser des informations librement accessibles ou bien encore d’acheter des bases de données dont les renseignements n’ont pas été recueillies de façon légale.

Ces pratiques ne respectent pas un principe fondamental du RGPD, à savoir le consentement de l’intéressé. 

Focus sur le opt-in site internet

Il existe une stratégie marketing assez répandue que les agences immobilières adoptent également : la newsletter. Or, pour que le destinataire accepte de la recevoir, il faut absolument qu’il s’y soit inscrit et donc, qu’il y consente.

A cette occasion, une politique de confidentialité à faisant apparaître les éléments suivants devra être proposée :

  • la raison pour laquelle vous collectez l’e-mail ;
  • le nom & le prénom du DPO ;
  • le partage des données avec le sous-traitant (comme le logiciel e-mailing) et les conditions dans lesquelles il s’effectue ;
  • le rappel des exercices de droit ;
  • la durée de conservation des données.

Demande de pièces locatives et RGPD

L’autre activité qui nécessite une récolte de pièces importante est la gestion locative, plus particulièrement lors de : 

1/ la proposition des biens à louer en fonction des critères de lieu, de budget, etc. et l’envoi des offres à l’intéressé ;

2/ la sélection du ou des potentiels locataires. Dans les faits, les candidats doivent présenter des documents strictement énumérés par la loi du 06 juillet 1989.:

  • une pièce justificative d'identité en cours de validité, comportant la photographie ;
  • une pièce justificative de domicile
  •  un ou plusieurs documents attestant des activités professionnelles 
  •  un ou plusieurs documents attestant des ressources 

3/ la gestion du contrat  (paiement des loyers, dépôt de garantie, incidents dans le logement) ; 

4/ la résiliation du contrat de bail notamment lors de la fin de solidarité en cas de violences sur conjoint ou sur un enfant qui réside habituellement avec lui et en cas de réduction du préavis prévues à l'article 15-1 de la loi du 06 juillet 1989 pour des raisons de santé, en cas d'obtention d'un premier emploi, de mutation, de perte d'emploi ou de nouvel emploi, etc.

Toutes les informations collectées le sont pour des finalités prévues par la loi et à ce titre, elles ne peuvent pas être utilisées pour un autre objectif que celui prévu initialement.

Par ailleurs, il est interdit de conserver indéfiniment les données. Ainsi pour les candidats locataires, il est déconseillé de garder les informations collectées pour l'appréciation de leur solvabilité au-delà d’une durée de 3 mois.

Copropriété

Les relations entre le syndic, le conseil syndical et les tiers

L’agence immobilière qui joue le rôle de syndic est en droit de demander des pièces, de les conserver et de les fournir au syndicat ou au conseil syndical conformément à la loi du 10 juillet 1965. Néanmoins, le RGPD leur impose une vigilance accrue quant à la transmission des données.

1/ Du syndic au conseil syndical

Le syndic veillera à se protéger en indiquant de préférence par écrit qu’il est nécessaire de préserver la confidentialité des informations.

2/ Du syndic aux copropriétaires

Le syndic a pour obligation de permettre aux copropriétaires de consulter divers documents de la copropriété. Pour plus de sécurité, cette consultation est exclusive de toute copie des pièces afin d’éviter les fuites de données concernant l’ensemble des copropriétaires.

3/ Du syndic à des tiers à la copropriété

Seule la loi permet au syndic de délivrer des renseignements à des tiers. Donc tout ce qui est transmis au syndic est confidentiel sauf si les copropriétaires consentent explicitement à une divulgation d’informations les concernant.

Focus sur l’installation d’une vidéoprotection

Pour des raisons de sécurité, les copropriétaires peuvent décider d’installer une caméra dans un hall d’immeuble. Les enregistrements ne sont pas accessibles à l’ensemble des copropriétaires afin de garantir l’intimité de chacun.

En cas d’incident, les images sont consultables par le conseil syndical ou le syndic à condition que cela soit strictement nécessaire pour gérer le malheureux événement.

Immobilier : les bases d’une stratégie RGPD réussie

Renforcer la sécurité

En 2019, la CNIL condamnait une agence immobilière pour ne pas avoir sécurisé l’accès aux données. Il était donc facile pour des tiers d’accéder aux documents stockés comme le RIB, les cartes d’identité, les avis d’imposition, etc.

Les agences immobilières, au regard des informations en leur possession, sont potentiellement exposées aux risques cyber. 

Voici les actions à mettre en œuvre : sensibiliser les salariés, authentifier les utilisateurs selon un procédé conseillé par un expert cyber, protéger les serveurs, les sites webs et le matériel mobile, archiver de manière sécurisée et bien évidemment vérifier la conformité aux RGPD des prestataires et des outils choisis.

Tenir à jour un registre de traitement

C’est indispensable pour deux raisons. Il est le meilleur moyen de faire le point sur le traitement de vos données mais c’est aussi lui qui sera vérifié en cas de contrôle par le CNIL

Plusieurs mentions doivent apparaître comme le nom et les coordonnées du responsable de traitement, la liste des sous-traitants, les catégories de données, les données qui comportent des éléments confidentiels et les mesures adéquates pour les préserver, les finalités pour lesquelles la récolte a été effectuée, le temps de conservation, etc.

Faciliter les exercices des droits

Les agences immobilières doivent répondre au plus tard dans un délai d’un mois à la moindre demande d’un client, prospect ou toute personne qui leur aurait confié des données.

Pour rappel, voici les droits que la personne concernée peut exercer : 

  • le droit d’accès permet à un utilisateur de savoir où en est le traitement de ses données ; 
  • le droit de rectification permet la modification et la correction des données personnelles ;
  • le droit d’opposition permet de s’opposer à l’utilisation de ses données pour un objectif précis ;
  • le droit à l’effacement permet d’obtenir l’effacement de ses données ;
  • le droit à la limitation permet d’arrêter temporairement l’utilisation des données ;
  • le droit à la portabilité permet à la personne de récupérer une partie de ses données dans un format lisible pour son usage personnel ou pour les transmettre à un autre organisme d’assurance par exemple (copie des données) ;
  • le droit à l’intervention humaine face à un profilage.

Surveiller la durée de conservation des données

En cas de non-respect du principe de conservation limitée des données, l’article 83.5 du RGPD prévoit une amende administrative pouvant s’élever à 20 000 000 euros ou jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent.

En principe, on se réfère souvent au délai de prescription en justice, qui hors spécificité, est égale à 5 ans. Le délai de conservation des données peut alors s’indexer sur ce délai de 5 ans à compter de la collecte ou du dernier contact avec le prospect.

Toutefois, la CNIL a produit un référentiel qui préconise des durées de conservation concernant la gestion locative. Par exemple, il est recommandé de ne pas conserver au-delà de 3 mois les données collectées pour l’appréciation de la solvabilité des candidats à la location.

Investir dans un logiciel RGPD immobilier

Surveiller et manager l’ensemble de ces données de façon artisanale est très chronophage surtout au regard de la quantité des documents collectés et des flux incessants de prospects.

Il convient donc d’auditer plusieurs outils et de choisir un logiciel RGPD. À ce titre, Leto, qui permet à tout non-juriste de pouvoir administrer automatiquement l’ensemble des données.

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre