RGPD et agence immobilière : guide pratique du mandataire

Une agence immobilière manipule, pour chaque dossier, une quantité impressionnante de données personnelles : avis d’imposition, fiches de paie, pièces d’identité, justificatifs de domicile, RIB, garants, diagnostics, photos d’intérieur. La CNIL contrôle régulièrement le secteur depuis 2020 et a prononcé plusieurs avertissements et sanctions, notamment sur les pièces collectées au stade de la location. Dans les audits que je mène auprès d’agences et de réseaux, un constat revient : le RGPD est vu comme une formalité ajoutée au dossier, alors qu’il structure toute la relation commerciale — du mandat à la signature chez le notaire.

La position RGPD de l’agence : un responsable de traitement à part entière

L’agent immobilier, titulaire d’une carte professionnelle au titre de la loi n° 70-9 du 2 janvier 1970 (loi Hoguet), est en principe responsable de traitement autonome au sens de l’Art. 4(7) du RGPD pour la quasi-totalité de ses traitements.

Il l’est pour les données collectées dans le cadre :

• De la constitution d’un fichier de prospects acquéreurs ou locataires.
• De la négociation et de la signature d’un mandat de vente ou de gestion locative.
• De la constitution des dossiers locataires.
• De la prospection commerciale (pige immobilière, relances, newsletter).
• De la gestion administrative interne (salariés, négociateurs indépendants, sous-traitants).

Cette qualification a une conséquence majeure : l’agence doit définir elle-même la base légale de chaque traitement, documenter son registre des activités de traitement, informer les personnes, gérer les droits, et répondre directement à une éventuelle demande de la CNIL. Elle ne peut pas se réfugier derrière le vendeur, l’acquéreur ou le bailleur.

Cas particulier de la gestion locative en mandat : certains auteurs défendent une qualification de sous-traitant de l’agence pour le compte du propriétaire-bailleur (qui choisirait les finalités). La CNIL retient plutôt, dans ses contrôles, une logique de responsabilité autonome tant que l’agence conserve une marge d’appréciation (choix des logiciels, des prestataires, des pièces demandées). Dans le doute, on documente une responsabilité conjointe au sens de l’Art. 26 RGPD avec le bailleur quand un contrat-cadre le prévoit.

Le dossier locataire : le point de friction numéro un

La loi du 6 juillet 1989 a été modifiée par la loi ALUR puis encadrée par le décret n° 2015-1437 du 5 novembre 2015, qui liste limitativement les pièces que le bailleur — ou l’agence qui le représente — peut exiger du candidat locataire et de sa caution. Toute pièce demandée hors de cette liste est illicite, au double titre du droit du logement et du principe de minimisation de l’Art. 5(1)© du RGPD.

En résumé, le bailleur peut demander :

• Une pièce justificative d’identité en cours de validité avec photographie et signature du titulaire (CNI, passeport, titre de séjour).
• Une seule pièce justifiant du domicile actuel (trois dernières quittances, attestation d’hébergement, etc.).
• Un ou plusieurs documents attestant des activités professionnelles (contrat de travail, carte professionnelle, extrait K-bis de moins de trois mois, certificat de la MDPH, carte d’étudiant).
• Un ou plusieurs documents attestant des ressources (trois derniers bulletins de salaire, justificatif de versement des indemnités, avis d’imposition, etc.).

Ce qui est interdit — et fait régulièrement l’objet de rappels de la CNIL — inclut notamment :

• La photocopie de la carte Vitale ou des informations de santé.
• Le relevé de compte bancaire personnel.
• L’acte de naissance ou de mariage avec filiation.
• Un extrait de casier judiciaire.
• L’attestation de bonne tenue du compte bancaire émanant de la banque du candidat.
• Une autorisation de prélèvement automatique ou un chèque de caution remis avant signature du bail.
• Le numéro de sécurité sociale (NIR) — dont la collecte est strictement encadrée par le décret n° 2019-341.

La CNIL a prononcé plusieurs avertissements publics pour collecte excessive, notamment quand les négociateurs demandent systématiquement des pièces hors liste “au cas où”. La règle opérationnelle à fixer en interne : un négociateur n’a pas autorité pour réclamer une pièce qui n’est pas dans le décret 2015-1437.

Autre point sensible : l’usage des plateformes de scoring locataire (Garantme, SmartGarant, DossierFacile, etc.). Le recours à un tiers pour vérifier la solvabilité est licite si le candidat est informé, si les données transmises restent proportionnées et si le prestataire est contractuellement un sous-traitant au sens de l’Art. 28 RGPD. DossierFacile, service public opéré par le ministère du Logement, présente l’avantage d’une labellisation RGPD formalisée.

Le mandat de vente et les données du vendeur

Un mandat de vente implique la collecte de données sur le vendeur (identité, coordonnées, situation familiale, éventuellement situation patrimoniale), mais aussi sur le bien : adresse, surface, photos, diagnostics (DPE, amiante, plomb, termites), état des installations.

La base légale de ces traitements est généralement l’Art. 6(1)(b) (exécution du contrat — le mandat). Attention toutefois à deux points pratiques récurrents :

Les photos d’intérieur. Elles peuvent faire apparaître des objets personnels, des photos de famille, parfois un bureau avec des documents identifiables. Il est recommandé d’insérer dans le mandat une clause d’information et une consigne opérationnelle aux négociateurs : retirer les éléments identifiants avant la prise de vue, recadrer, et supprimer les métadonnées EXIF avant mise en ligne. Une photo d’appartement n’est pas neutre : elle devient une donnée personnelle dès qu’elle permet d’identifier l’occupant.

Les diagnostics et l’adresse précise. Le DPE et le diagnostic amiante comportent l’adresse du bien, parfois le nom du propriétaire. Lors d’une diffusion sur un portail, les informations du vendeur ne doivent pas être exposées : seules les informations utiles à l’acquéreur doivent l’être. Les agences qui utilisent des extranets partagés avec les confrères (AMEPI, fichiers communs) doivent s’assurer que les clauses de confidentialité et le périmètre de partage sont documentés.

La durée de conservation des données d’un bien vendu suit les règles comptables et prudentielles : 10 ans au titre de l’Art. L. 123-22 du Code de commerce pour la pièce comptable (facture d’honoraires), 5 ans pour le dossier de négociation, et conservation spécifique pour la traçabilité LCB-FT.

La prospection commerciale : pige, relances, newsletters

La prospection immobilière s’appuie sur trois flux principaux : la pige (consultation des annonces entre particuliers pour appeler les vendeurs), la prospection terrain (boîtage, passages), et les campagnes digitales (newsletter, publicité ciblée).

Pour la pige téléphonique, le cadre est celui de l’intérêt légitime sur le fondement de l’Art. 6(1)(f), avec trois obligations :

• Bloctel : l’agence doit consulter mensuellement la liste d’opposition au démarchage téléphonique et purger les numéros inscrits. Le non-respect est pénalement sanctionné (article L. 223-1 et suivants du Code de la consommation), et la CNIL retient le manquement au titre d’un traitement illicite.
• Information préalable : dès le premier contact utile, le prospect doit être informé du nom de l’agence, de la finalité, de son droit d’opposition (Art. 13 RGPD).
• Enregistrement des conversations : si l’agence enregistre les appels pour la formation ou la qualité, elle doit informer l’appelant et disposer d’une base légale distincte.

Pour la prospection B2C par email ou SMS, la règle est le consentement préalable (Art. 6(1)(a) RGPD combiné à l’article L. 34-5 du Code des postes et communications électroniques). Pour la prospection B2B, l’intérêt légitime est généralement admis vers une adresse fonctionnelle ou nominative liée à la fonction démarchée, avec opt-out facile.

Le fichier prospects lui-même doit être documenté dans le registre : origine des données (formulaire du site, appel entrant, pige, portail), finalité (recherche d’un bien, estimation, alerte email), durée de conservation (3 ans à compter du dernier contact sortant, selon la recommandation CNIL sur la prospection commerciale).

Les portails immobiliers : une chaîne de responsabilité à clarifier

La diffusion des annonces sur SeLoger, Leboncoin, Bien’ici, PAP, Logic-Immo et les réseaux sociaux soulève la question de la répartition des responsabilités. Trois situations doivent être distinguées :

1. Données du bien (adresse, prix, photos) — l’agence reste responsable de traitement ; le portail est sous-traitant de la diffusion.
2. Contacts générés (acquéreurs ou locataires qui cliquent “contacter l’annonceur”) — la collecte se fait côté portail, puis les coordonnées sont transmises à l’agence. Le portail et l’agence sont alors chacun responsables de traitement pour leur propre finalité, avec une responsabilité conjointe possible sur la phase de collecte si le portail pré-remplit des champs depuis un compte utilisateur.
3. Retargeting publicitaire — lorsque l’agence utilise le pixel publicitaire du portail ou un cookie tiers pour recibler les visiteurs, la CNIL retient une co-responsabilité au sens de l’Art. 26, comme elle l’a fait pour Facebook Ads.

En pratique, l’agence doit :

• Obtenir du portail le contrat de sous-traitance (Art. 28) ou l’accord de co-responsabilité (Art. 26) selon le cas.
• Faire figurer dans sa politique de confidentialité les portails destinataires et les transferts éventuels.
• Documenter l’usage de pixels et de cookies sur son propre site, en respectant la règle du consentement préalable (article 82 de la loi Informatique et Libertés).

Les obligations LCB-FT : un traitement à part

Depuis la transposition de la 4e directive anti-blanchiment, les agents immobiliers sont des professions assujetties au dispositif de lutte contre le blanchiment et le financement du terrorisme (article L. 561-2 du Code monétaire et financier). Concrètement, l’agence doit, pour les transactions supérieures au seuil applicable :

• Identifier et vérifier l’identité du client, du bénéficiaire effectif et, pour les personnes morales, de la chaîne de détention.
• Recueillir des informations sur la nature et l’objet de la relation d’affaires.
• Conserver ces éléments 5 ans après la fin de la relation.
• Déclarer les opérations suspectes à TRACFIN.

Ce traitement repose sur Art. 6(1)© (obligation légale) et, pour les catégories particulières (par exemple données relatives à une condamnation ou à une personne politiquement exposée), sur un régime spécial. Il doit figurer distinctement dans le registre avec une mention de confidentialité renforcée : le personnel qui y accède est limité, le client ne peut pas être informé d’une déclaration, et les données ne sont pas accessibles au titre du droit d’accès standard (l’Art. 23 RGPD et la loi nationale prévoient une restriction).

Durées de conservation : tableau de référence

Les durées de conservation en agence immobilière doivent être documentées traitement par traitement. Voici la grille que j’utilise en audit.

Catégorie	Durée de conservation	Fondement
Dossier locataire d’un candidat non retenu	3 mois maximum après décision	Recommandation CNIL secteur immobilier
Dossier locataire accepté (durée du bail)	Durée du bail + 3 ans pour les impayés	Prescription civile contractuelle
Mandat de vente et pièces liées	5 ans après exécution ou expiration	Art. 2224 Code civil (prescription)
Facture d’honoraires et pièces comptables	10 ans	Art. L. 123-22 Code de commerce
Déclarations fiscales liées	6 ans	Art. L. 102 B LPF
Fichier prospects acquéreurs/vendeurs	3 ans à compter du dernier contact	Recommandation CNIL prospection
Dossier LCB-FT	5 ans après la fin de la relation	Art. L. 561-12 Code monétaire et financier
Enregistrements vidéosurveillance agence	30 jours maximum (sauf incident)	Doctrine CNIL vidéoprotection
Données de connexion au logiciel métier	6 mois (traçabilité courante)	Délibération CNIL 2019-160 et suivantes

La règle pratique : chaque durée doit être inscrite dans le registre, paramétrée dans le logiciel métier, et s’accompagner d’un processus de purge automatique ou semi-automatique. La CNIL contrôle rigoureusement ce point : un logiciel qui conserve indéfiniment les pièces d’identité des candidats non retenus constitue un manquement significatif.

Sécurité : les mesures minimales attendues

L’Art. 32 du RGPD exige des mesures techniques et organisationnelles adaptées au risque. Pour une agence, les risques concrets les plus fréquents sont la perte d’un ordinateur ou téléphone professionnel, le phishing sur la messagerie (avec usurpation de RIB pour détourner un virement d’honoraires), et l’accès partagé au logiciel métier par plusieurs négociateurs avec un compte commun.

Les mesures minimales attendues :

• Comptes individuels sur le logiciel métier (Jestimo, Netty, Hektor, Apimo, Periclès…) et sur la messagerie — pas de compte partagé entre collaborateurs.
• Authentification forte (MFA) sur les outils contenant des dossiers clients ou les espaces cloud de partage.
• Chiffrement des terminaux mobiles (BitLocker, FileVault) configuré sur tous les postes des négociateurs itinérants.
• Gestion des départs : révocation immédiate des accès lors du départ d’un négociateur indépendant ou salarié ; reprise du téléphone professionnel et du matériel.
• Sauvegardes chiffrées conservées sur un support distinct avec un test de restauration annuel.
• Politique de mots de passe alignée sur la délibération CNIL n° 2022-100 (longueur minimale, renouvellement raisonné, interdiction des mots de passe partagés).
• Formation des équipes au phishing, avec un exercice de simulation annuel. Les tentatives d’usurpation de mails de notaire ou de banque pour modifier des RIB sont fréquentes dans le secteur.
• Procédure incident : notification à la CNIL dans les 72 heures en cas de violation, information des personnes concernées si risque élevé.

Sanctions et jurisprudence CNIL dans l’immobilier

Le secteur immobilier apparaît régulièrement dans les bilans d’activité de la CNIL. Parmi les décisions marquantes :

• Délibération SAN-2019-005 : sanction de 400 000 € contre SERGIC pour défaut de sécurité d’un espace candidat locataire (pièces d’identité et justificatifs de revenus accessibles sans authentification) et conservation excessive.
• Délibération SAN-2019-006 : sanction pour durées de conservation non respectées dans un réseau de gestion locative.
• Plusieurs mises en demeure publiques entre 2020 et 2024 contre des agences ou des réseaux, essentiellement sur trois thèmes : pièces excessives demandées au locataire, défaut d’information, durées de conservation non définies.
• La CNIL a publié, à destination des professionnels, une fiche pratique sur le dossier locataire qui constitue aujourd’hui le standard de référence.

La tendance de fond est claire : le secteur n’est plus toléré dans l’approximation. Un dossier complet conservé six ans après un refus de location, des pièces non prévues par le décret, un registre inexistant, sont autant de manquements qui, cumulés, peuvent conduire à une sanction pécuniaire publique.

Mise en conformité : un plan en 60 jours pour une agence ou un petit réseau

Voici le plan de mise en conformité que je propose en audit, adapté à une structure de 1 à 30 collaborateurs.

Semaines 1-2 — Cartographie Inventaire des logiciels, des flux, des sous-traitants (portails, logiciel métier, signature électronique, scoring locataire, plateforme de visite virtuelle, outils marketing). Identification des responsables de traitement et sous-traitants par flux.

Semaines 3-4 — Documents contractuels Rédaction ou mise à jour du mandat (clauses RGPD et LCB-FT), du dossier locataire type (liste conforme au décret 2015-1437), de la lettre de mission gestion locative, de la charte informatique. Signature d’un DPA avec les sous-traitants principaux.

Semaines 5-6 — Registre et paramétrage Finalisation du registre des activités de traitement. Paramétrage des durées de conservation dans le logiciel métier. Création des espaces personnels individuels pour chaque négociateur.

Semaines 7-8 — Information et formation Mise à jour de la politique de confidentialité sur le site, ajout d’une mention sur les mandats, formation d’une demi-journée à l’ensemble de l’équipe, procédure de gestion des droits des personnes, procédure de notification d’incident à 72 heures.

Ce chantier représente un effort concentré mais reste à la portée d’une agence indépendante. Un réseau multi-agences gagne à mutualiser la documentation de référence et à laisser chaque agence responsable de son déploiement local. C’est ce type de travail de mise en conformité et de maintien que Legiscope automatise à l’échelle d’un réseau.

Ce qu’il faut retenir

• L’agence immobilière est responsable de traitement autonome pour la grande majorité de ses traitements : elle porte la responsabilité complète du registre, de l’information, des durées, de la sécurité.
• Le dossier locataire est le risque numéro un : la liste limitative du décret n° 2015-1437 doit être respectée à la lettre, et les pièces des candidats non retenus purgées sous trois mois.
• Le mandat de vente doit encadrer explicitement le traitement des photos, des diagnostics et de la diffusion sur les portails.
• La prospection suppose Bloctel à jour, consentement préalable pour l’email B2C, et un fichier prospects dont la durée est plafonnée à 3 ans sans contact.
• Les portails immobiliers sont soit sous-traitants, soit co-responsables : la chaîne doit être documentée contractuellement.
• La LCB-FT impose un traitement distinct, avec 5 ans de conservation et confidentialité renforcée.
• La CNIL sanctionne le secteur depuis 2019 : la sanction SERGIC à 400 000 € fixe le standard d’attention attendu.

FAQ

Peut-on demander la carte Vitale d’un candidat locataire ?

Non. La carte Vitale comporte un numéro de sécurité sociale (NIR) dont la collecte est strictement encadrée par le décret n° 2019-341 et ne couvre pas la location immobilière. Elle n’est pas dans la liste du décret n° 2015-1437 et sa demande constitue un double manquement : droit du logement et RGPD.

Combien de temps peut-on conserver un dossier de candidat non retenu ?

Trois mois maximum après la décision, selon la recommandation de la CNIL dans sa fiche pratique sur le dossier locataire. Au-delà, l’agence doit supprimer ou anonymiser le dossier, à moins d’un consentement explicite du candidat pour conservation en vue d’autres biens.

Une agence a-t-elle besoin d’un DPO ?

La désignation d’un DPO n’est pas obligatoire de droit pour la plupart des agences (pas de suivi à grande échelle au sens de l’Art. 37 RGPD). Elle devient fortement recommandée au-delà d’une dizaine de collaborateurs ou pour un réseau. Un DPO externe mutualisé entre plusieurs agences est une solution fréquente et efficace.

Le scoring via DossierFacile est-il conforme ?

Oui. DossierFacile est un service public opéré par le ministère du Logement, avec une base légale claire (mission d’intérêt public) et une documentation RGPD solide. Son usage est même encouragé comme alternative à des plateformes privées moins transparentes.

Que risque-t-on en cas de contrôle CNIL ?

Les contrôles CNIL dans l’immobilier portent habituellement sur : la liste des pièces demandées, les durées de conservation, la sécurité des espaces candidats en ligne, et le registre. Les suites peuvent aller de la mise en demeure publique à la sanction pécuniaire (jusqu’à 4 % du chiffre d’affaires ou 20 M€). La décision SERGIC (400 000 €) illustre le haut du spectre pour une non-conformité systémique.