Stockage des données immobilières : êtes-vous conforme au RGPD ?

Vous collectez et stockez chaque jour des données sensibles : pièces d’identité, justificatifs de revenus, états des lieux, coordonnées… En tant que bailleur, vous êtes tenu de garantir la protection des données personnelles que vous stockez, sous peine de sanctions. Mais, entre RGPD, CNIL et exigences techniques, il est difficile de savoir par où commencer. Cet article vous explique les règles applicables aux données immobilières et comment choisir des solutions d’hébergement conformes et sécurisées.

Stockage de données personnelles : les réglementations applicables aux bailleurs

En tant que bailleur, vous êtes responsable des données personnelles que vous collectez dans le cadre de votre activité. Il s’agit souvent de données sensibles :

• pièces d’identité,
• justificatifs de revenus,
• coordonnées,
• photographies de logements,
• états des lieux
• etc.

Leur traitement est strictement encadré par les réglementations européennes et françaises. Voici les principales règles à respecter en 2025.

Le Règlement général sur la protection des données (RGPD)

Le Règlement général sur la protection des données (RGPD – Règlement UE 2016/679) s’applique à toutes les structures traitant des données personnelles dans l’Union européenne. Il vous impose de :

• Ne collecter que les données utiles et de manière transparente (article 5),
• Ne pas conserver les informations plus longtemps que nécessaire (article 5-1-e),
• Mettre en place des mesures de sécurité adaptées aux risques (article 32),
• Héberger les données dans l’UE ou, à défaut, dans un pays offrant des garanties équivalentes (articles 44 à 49).

La loi Informatique et Libertés

Complémentaire au RGPD, elle vous impose notamment :

• D’informer clairement vos locataires ou candidats sur l’usage de leurs données,
• De tenir un registre des traitements (par exemple pour la gestion locative ou les états des lieux),
• D’offrir à chacun la possibilité d’accéder, de rectifier ou de supprimer ses données (articles 12 à 15).

Voici ci-dessous un tableau récapitulatif des recommandations issues du référentiel de la CNIL pour garantir la sécurité des données immobilières. 

Le référentiel CNIL : les durées de conservation à respecter

Le référentiel CNIL sur la gestion locative (délibération n°2022-115) vous recommande :

• 3 mois de conservation pour les dossiers non retenus,
• Toute la durée du bail + délai de prescription (généralement 3 à 5 ans) pour les locataires,
• Des durées plus longues uniquement si la loi l’exige (comptabilité, litiges…).

Voici un tableau récapitulatif des principales durées de conservation à respecter :

BON À SAVOIR

Activez les fonctions de purge automatique des données dans vos logiciels ou CRM. Cela montre que vous respectez les obligations imposées par le RGPD aux bailleurs, réduit les risques en cas de contrôle et allège votre gestion.

Hébergement des données : pourquoi votre responsabilité est directement engagée ?

Savez-vous où et comment vos données sont hébergées ? Un hébergeur mal choisi peut compromettre la sécurité de vos données et vous mettre hors des clous du RGPD. Voici les trois points de vigilance à vérifier :

L’emplacement des serveurs

Si vos données sont hébergées aux États-Unis ou chez un fournisseur soumis au Cloud Act américain (comme AWS, Google Cloud ou Microsoft Azure), elles peuvent être accessibles par des autorités étrangères, sans que vous en soyez informé.

Depuis l’arrêt Schrems II (CJUE, 16 juillet 2020), le Privacy Shield entre l’Union européenne et les États-Unis a été invalidé. Résultat : les transferts de données vers les États-Unis sont strictement encadrés et souvent non conformes si aucune garantie supplémentaire n’est mise en place.

BON À SAVOIR

Si vous utilisez un logiciel métier pour gérer vos états des lieux, vos candidatures locatives ou vos quittances, vérifiez toujours où sont hébergées les données traitées. Exigez une preuve écrite ou une attestation contractuelle de la part de l’éditeur.

Des attentes de plus en plus importantes des donneurs d’ordre

Vous travaillez avec des bailleurs sociaux, des collectivités ou dans un cadre public ? Ces partenaires exigent désormais un hébergement souverain. Les exigences peuvent aller de :

• L’hébergement des données en France ou dans l’UE,
• La certification HDS (Hébergement de Données de Santé) pour certaines données sensibles,
• La conformité au référentiel SecNumCloud, délivré par l’ANSSI.

Ces critères sont de plus en plus fréquents dans les appels d’offres. Les respecter est un avantage concurrentiel.

Sécurité, conformité, image : tout est lié

Un hébergement non conforme vous faire courir plusieurs risques : 

• Un risque juridique (amendes CNIL pouvant atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial, selon l’article 83 du RGPD), 
• Un risque de suspension de votre activité en cas de manquement grave, 
• Mais aussi un risque de réputation auprès de vos clients.

En cas de fuite de données ou de contrôle par la CNIL, vous devrez prouver que vous avez fait les bons choix techniques. Cela passe notamment par :

• Le chiffrement des données, à la fois lorsqu’elles sont stockées (au repos) et lorsqu’elles circulent (en transit), afin d’éviter tout accès non autorisé,
• La journalisation des accès : enregistrement de qui accède à quelles données, quand et depuis quel terminal,
• Des accès limités selon les responsabilités : chaque utilisateur ne doit voir et manipuler que les données nécessaires à ses fonctions (ex. : un chargé de visite ne devrait pas avoir accès aux justificatifs de ressources ou aux avis d’imposition des locataires),
• Des audits réguliers de vos prestataires, c’est-à-dire des vérifications planifiées pour s’assurer qu’ils respectent bien leurs engagements en matière de sécurité, de confidentialité et de conformité réglementaire.

BON À SAVOIR

Pour chaque prestataire (logiciel de gestion locative, signature électronique, hébergeur…), tenez une fiche de conformité. Résumez-y l’essentiel : où sont stockées les données, quelles protections sont en place, quelles certifications le prestataire possède, combien de temps les données sont conservées. En cas de contrôle, vous aurez tous les éléments essentiels sous la main.

Quelles solutions françaises ou européennes choisir ?

Stocker des données sensibles en toute conformité implique de choisir des prestataires soumis au RGPD et hors de portée du Cloud Act américain. Voici plusieurs exemples de solutions conformes pour les bailleurs :

• Scaleway : acteur français aux datacenters localisés en France, certifiés ISO 27001 et HDS. Solution choisie par Check & Visit.
• OVHcloud : hébergeur français certifié ISO 27001 et SecNumCloud, adapté aux PME comme aux grands comptes.
• 3DS Outscale : filiale de Dassault Systèmes, certifiée SecNumCloud. Recommandée pour les marchés publics et les collectivités.
• Docaposte : filiale numérique du Groupe La Poste, spécialisée dans l’hébergement souverain des données sensibles, notamment pour les acteurs publics, les professionnels de santé et les services financiers. Certifiée HDS, ISO 27001 et ISO 27701.

Ne vous fiez pas uniquement à la notoriété. Posez les bonnes questions pour protéger vos locataires… et votre responsabilité. Voici les 3 bons réflexes pour choisir un outil adapté :

• Privilégiez les prestataires européens ou français soumis au RGPD, stockant les données dans l’UE,
• Vérifiez les certifications du prestataire,
• Demandez un engagement contractuel sur la localisation des données.

BON À SAVOIR

Pour des données très sensibles (justificatifs de ressources, documents d’identité…), optez pour des solutions SecNumCloud ou HDS.

Comment Check & Visit a sécurisé l’hébergement de ses données en 2025

Chez Check & Visit, protéger les données sensibles de nos clients est une priorité. Comme tout acteur du secteur immobilier, nous devons garantir un hébergement conforme aux exigences européennes.

Pourquoi avons-nous changé d’hébergeur ?

Tout est parti d’une exigence formulée en 2023 par Nové Construction, notre client spécialisé dans le logement de fonction pour les militaires. Leur priorité : un hébergement localisé en France, sécurisé et conforme. Cette demande a également été portée par notre board d’investisseurs, qui ont fait de la conformité un enjeu stratégique.

Quel hébergeur avons-nous choisi ?

Nous avons remplacé AWS, hébergeur américain, par Scaleway, acteur français reconnu, dont les datacenters sont certifiés HDS. Cette certification garantit un haut niveau de protection des données sensibles.

Nous avons mené cette transition avec un solution architect, afin d’optimiser la sécurité, les performances et les coûts de nos outils internes.

Quels bénéfices pour nos clients et partenaires ?

Pour nos clients et partenaires, ce changement d’hébergement se traduit concrètement par :

• Une conformité RGPD renforcée : hébergement localisé en France,
• Une sécurité des données accrue : filigrane sur les pièces d’identité, conservation des données limitée et contrôlée,
• Une confiance renforcée : une réponse claire aux attentes croissantes de nos partenaires publics ou privés.

Conclusion

En tant que bailleur, vous êtes le garant de la sécurité des données que vous collectez. Cela passe notamment par des choix d’hébergement rigoureux. Tournez-vous vers des prestataires européens reconnus, exigez des garanties documentées et ne laissez aucun doute planer sur la conformité de vos pratiques. C’est à ce prix que vous protégerez à la fois vos locataires… et votre activité.

Article rédigé avec Héloïse Fougeray

Source : https://www.cnil.fr