Comment appliquer le référentiel de la CNIL aux données immobilières de son agence ?

Dans le contexte actuel de digitalisation des activités immobilières, la gestion des données personnelles et leur sécurisation revêtent une importance majeure. La Commission Nationale de l’Informatique et des Libertés (CNIL) a mis à disposition un référentiel destiné aux professionnels de l’immobilier pour les aider à se conformer à la réglementation complexe relative à la protection des données personnelles. Nous avons simplifié et décortiqué ce référentiel pour vous permettre de comprendre comment l’appliquer de manière efficace au sein de votre agence immobilière.

Données immobilières : quels sont les objectifs du référentiel de la CNIL ?

À qui s’adresse le référentiel de la CNIL ?

Ce référentiel s’adresse aux agences immobilières et plus précisément : 

• Aux personnes physiques ou morales ; 
• Qui mettent en location un local à usage d’habitation ou à usage mixte (professionnel et d’habitation) ; 
• À titre professionnel ;
• Le local doit constituer la résidence principale du preneur, au sens de la loi n° 89-462 du 6 juillet 1989 tendant à améliorer les rapports locatifs et portant modification de la loi n° 86-1290 du 23 décembre 1986.

Il s’adresse notamment : 

• Aux organismes louant pour leur compte des locaux d’habitation ;
• Aux professionnels de l’immobilier en tant que représentants du bailleur ou lorsqu’ils se livrent, ou prêtent leur concours, aux opérations portant sur les biens d’autrui.
• Aux plateformes en ligne proposant des services relatifs à la gestion locative.

💡Bon à savoir : ce référentiel ne s’applique pas à la gestion d’un patrimoine immobilier à caractère social. Il en va de même pour les traitements de données personnelles dans le cadre de locations saisonnières.

Quel est le but du référentiel de la CNIL ?

C’est un outil qui a pour objectif d’aider les professionnels de la gestion locative qui traitent des données personnelles à se mettre en conformité avec la réglementation relative à la protection des données à caractère personnel.

Ce référentiel n’a pas de valeur contraignante. C’est une aide, une sorte de guide dédié aux professionnels.

Comprendre ce qu’est un traitement de données personnelles en tant que gestionnaire

Qu’est-ce que la finalité d’un traitement de données personnelles ?

Le traitement de données personnelles doit :

1. Répondre à un objectif précis ;
2. Être justifié par les activités du gestionnaire immobilier. 

Pour faire simple, vous ne pouvez traiter des données immobilières que si cela est justifié par votre activité. Pour comprendre si ces données sont vraiment nécessaires, il suffit de vous poser cette question : à quoi servent des données dans le cadre de mon activité ?

Les traitements relatifs à la gestion locative, qui sont nécessaires et justifiés, permettent généralement de :

• Proposer des biens à la location (notamment pour l’analyse des critères des biens recherchés par d’éventuels locataires et l’envoi des offres de location) ;
• Gérer la pré-contractualisation et la conclusion du contrat de bail (organisation des visites du logement, appréciation de la solvabilité des candidats à la location, etc.) ;
• Gérer la vie du contrat (notamment le suivi du paiement des loyers, des charges et des dépôts de garantie ou encore la gestion de l’occupation du logement) ;
• Résilier le contrat de bail (notamment la fin de solidarité en cas de violences sur son conjoint ou sur un enfant qui réside habituellement avec lui et en cas de réduction du préavis). 

Si vous traitez des données qui ne répondent pas strictement à un objectif lié à votre activité professionnelle, vous devez généralement alors obtenir le consentement des personnes concernées (c’est le cas, par exemple, pour l’envoi de newsletters promotionnelles).

Qu’est-ce que la base légale de traitement ?

Concrètement, maintenant que vous savez que votre traitement est justifié (ou non) dans le cadre de votre activité, vous devez définir sur quoi repose la légalité de ce traitement. 

Prenons un exemple : dans le cadre du suivi du paiement des loyers, des charges et des dépôts de garantie, je gère des données d’identité, bancaires et des adresses e-mail. 

• 1ère question : pourquoi je gère ces données ? Pour le bon exercice de mon activité. Ce traitement est donc justifié ⇒ Finalité. 
• 2ème question : comment puis-je le justifier ? Ici, le traitement est justifié parce que vous assurez la bonne exécution du contrat qui vous lie avec les différentes parties (propriétaire-bailleur, locataire…) ⇒ Base légale. 

Plusieurs bases légales existent pour justifier les traitements de données immobilières et personnelles, comme par exemple, le consentement (notamment nécessaire dans le cadre de communications promotionnelles). 

Pour vous aider à savoir quelle base légale justifie chacun de vos traitements de données immobilières, nous vous avons reproduit un tableau issu du référentiel de la CNIL ci-dessous :

Toujours garder en tête les principes de pertinence et de minimisation des données

Ces principes paraissent complexes de prime abord. Mais la logique derrière est en réalité assez simple à comprendre. Cela signifie simplement que vous devez conserver seulement les données personnelles nécessaires. 

Voici quelques exemples concrets pour vous aider à mieux comprendre ces principes fondamentaux du RGPD : 

• Pour aider des personnes à chercher un logement : 
  • Vous n’avez a priori besoin que des informations suivantes : 
    • Identification (nom, prénom),
    • Coordonnées de contact (selon la préférence des personnes concernées : adresse électronique et/ou numéro de téléphone),
    • Critères de recherche (localisation, loyer, surface, etc.).
  • Tant que vous n’avez pas sélectionné les candidats à la location, à ce stade, vous n’avez aucune utilité à recueillir et traiter des informations sur leur situation professionnelle ou financière. 

• Pour apprécier de la solvabilité des candidats à la location : 
  • Selon le décret n° 2015-1437 du 5 novembre 2015, vous ne pouvez collecter à ce stade que des données des candidats à la location et de leurs éventuels garants, relatives à :
    • Leur identification, 
    • Leurs coordonnées postales, 
    • Leur situation professionnelle, 
    • Leurs ressources.
  • Vous ne pouvez pas récolter d’information supplémentaire (par exemple,  RIB, justificatifs de situation financière, carte d’assuré social, extrait de casier judiciaire, dossier médical, document attestant du versement ou du non-versement de pensions alimentaires, contrat de mariage ou certificat de concubinage). 
  • Il existe certaines exceptions. Vous pouvez, par exemple, solliciter des documents supplémentaires en cas de location d’un logement à destination des ménages modestes (par exemple, avis d’imposition ou de non-imposition dans le cadre du dispositif Pinel), sous réserve que les données permettent au bailleur de s’assurer que le locataire remplit les conditions du dispositif. 

Pour vous aider à savoir quelles pièces vous pouvez recueillir et à quel stade, nous vous avons reproduit ci-dessous le tableau du référentiel de la CNIL :

Protection et sécurité des données immobilières : le protocole à suivre en agence

Éviter de collecter les données sensibles

Vous devez éviter de collecter et traiter certaines données considérées comme sensibles. Voici une liste des principales données que vous ne devez pas collecter, hors cas exceptionnels prévus par la loi : 

• Les données sensibles sont celles révélant l’origine ethnique ou prétendument raciale, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne, les données génétiques, les données biométriques, les données concernant la santé ou celles concernant la vie sexuelle ou l’orientation sexuelle d’une personne.

• Les données relatives aux infractions, condamnations pénales et mesures de sûreté connexes (hors exception d’une fin de solidarité pour cause de violences exercées au sein du couple ou sur un enfant).
• Les données de santé (hors cas exceptionnel relatif à la réduction du préavis lorsque l’état de santé du locataire nécessite un changement de domicile).

Définir qui a le droit d’accéder aux données personnelles

Vous devez choisir les personnes habilitées à en connaître : 

1. Au sein de votre agence. Par exemple, les personnes en charge de la gestion locative peuvent être habilitées à accéder aux données personnelles de vos clients. En revanche, ce n’est pas justifié pour les personnes en charge de la prospection commerciale. 
2. Mais aussi, lorsque vous transmettez des données à un sous-traitant ou un prestataire pour vous aider dans le cadre de votre activité. Il vous appartient de vérifier que celui-ci respecte bien le RGPD et de signer avec lui un contrat précisant ses obligations en matière de protection des données personnelles. 

💡Bon à savoir : il est recommandé de stocker (par exemple, en cas de stockage sur un Cloud) les données au sein de l’Union européenne. À défaut, d’autres règles doivent être appliquées (décision d’adéquation, BCR, etc.).

Quelles sont les durées de conservation des données personnelles ? 

Les données personnelles doivent toujours être conservées par les gestionnaires locatifs pour une durée déterminée et proportionnelle à leur utilité. 

Voici ci-dessous un tableau récapitulatif des durées de conservation selon le type de données :

Quand et comment informer les locataires et garants sur les traitements de données ?

Les personnes doivent être directement informées au moment où les données sont collectées. Afin que les informations soient aisément accessibles, il est recommandé qu’une politique de confidentialité reprenant l’ensemble des mentions exigées à l’article 13 du RGPD soit :

• Jointe à la liste des pièces justificatives à fournir aux candidats à la location ;
• Et insérée dans l’annonce en ligne.

Comment garantir les droits des personnes du RGPD ?

Les agences doivent respecter les droits des individus dont elles traitent les données. Cela comprend notamment les droits d’accéder à leurs données, de les rectifier, de les supprimer et de s’opposer à leur traitement. 

Si vous recevez, par exemple, une demande de suppression de données d’un locataire, vous devez en principe y faire droit. Vous devez indiquer une adresse e-mail ou un formulaire où les locataires peuvent exercer leurs droits sur votre site internet.

Comment garantir la sécurité des données personnelles ?

De leur collecte à leur suppression, vous devez garantir la sécurité des données, notamment pour éviter qu’elles ne soient “volées” par des personnes mal intentionnées. 

Nous vous avons reproduit ci-dessous les recommandations du référentiel de la CNIL pour vous aider à savoir comment procéder :

Quand faire une analyse d’impact pour des données immobilières ?

Dans le cadre de la gestion locative, il est en principe nécessaire de réaliser une analyse d’impact lorsque les critères suivants sont remplis :  

• Vous stockez des données sensibles ou à caractère hautement personnel (notamment les données financières) ;
• Vous traitez des données à large échelle du fait d’un volume important de données et du nombre potentiellement élevé de personnes concernées ;
• Ces données sont traitées notamment lors de l’évaluation des candidats à la location ;
• Vous traitez des données relatives aux infractions, condamnations et mesures de sûreté.

Pour réaliser une étude d’impact, référez-vous aux outils méthodologiques proposés par la CNIL sur son site web.

La protection des données immobilières est un enjeu de taille dans le domaine de la gestion locative. Pourtant, de nombreux professionnels ne sont pas encore aux normes et s’exposent à des sanctions (qui peuvent être très lourdes !). Le référentiel de la CNIL offre des directives sur lesquelles les professionnels de l’immobilier doivent s’appuyer pour se conformer à la réglementation en vigueur. Bien comprendre et mettre en application ces recommandations, c’est assurer non seulement la sécurité des données personnelles que vous traitez, mais aussi la confiance de vos clients et partenaires. Gardez en tête que les obligations RGPD qui pèsent sur les gestionnaires immobiliers vont continuer de s’alourdir du fait de la numérisation croissante des données au sein des agences immobilières et des nouveaux outils qui se développent (par exemple, le jumeau numérique). Plus vous vous y mettrez tard, plus l’effort à fournir pour vous mettre en conformité sera grand.

Article rédigé avec Héloïse Fougeray