Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

RGPD syndic copropriété : guide pratique 2026

RGPD pour syndic de copropriété : données copropriétaires, impayés, vidéosurveillance parties communes, registres. Obligations, DPA et contrôles CNIL.

L’essentiel. Le syndic de copropriété est sous-traitant du syndicat des copropriétaires, qui est responsable de traitement. Cette qualification impose un contrat de sous-traitance conforme à l’Art. 28, souvent absent dans les mandats existants. Les traitements les plus sensibles du secteur sont la gestion des impayés (qui touche à la situation financière des copropriétaires) et la vidéosurveillance des parties communes, strictement encadrée par la CNIL. La confusion sur la répartition des rôles entre syndic et syndicat est la première source de non-conformité.

Un syndic gère au quotidien les données personnelles de dizaines, parfois de centaines de copropriétaires : identité, coordonnées, quote-parts, appels de fonds, impayés, procédures de recouvrement, correspondances, éventuellement images de vidéosurveillance. Ces données touchent à la vie privée et à la situation financière des occupants d’un immeuble. Pourtant, la répartition des responsabilités RGPD entre le syndic et le syndicat des copropriétaires reste largement méconnue de la profession, ce qui fragilise l’ensemble de la chaîne. Voici le cadre applicable et les chantiers prioritaires.

Qui est responsable : le syndicat, pas le syndic

C’est le point de départ, et il est contre-intuitif. Le syndicat des copropriétaires — la collectivité des copropriétaires dotée de la personnalité morale — est responsable de traitement au sens de l’Art. 4(7) : c’est lui qui, en tant que personne morale, détermine les finalités de la gestion de la copropriété.

Le syndic, professionnel mandaté pour administrer l’immeuble, est sous-traitant au sens RGPD (Art. 4(8)) : il traite les données pour le compte du syndicat, dans le cadre de son mandat. Cette qualification a des conséquences directes. Elle contraste avec celle de l’agent immobilier, qui est le plus souvent responsable de traitement pour son activité de transaction et de gestion locative : voir notre guide sur le RGPD en immobilier.

L’Art. 28 du RGPD impose un contrat de sous-traitance entre le syndicat (représenté par le conseil syndical) et le syndic. En pratique, ce contrat prend généralement la forme d’un avenant ou d’une annexe RGPD au contrat de syndic. Il doit comporter les mentions de l’Art. 28(3) : instructions, confidentialité, sécurité, assistance, sort des données en fin de mandat, sous-traitants ultérieurs. Dans mon expérience, cet avenant est absent de la grande majorité des mandats en cours — c’est le premier point relevé lors d’un audit RGPD dans le secteur.

Le syndic assume par ailleurs des obligations propres : il tient son registre des activités de sous-traitance (Art. 30(2)), sécurise les données (Art. 32) et assiste le syndicat dans la gestion des demandes de droits et des violations.

Les traitements typiques du syndic

Traitement Base légale Durée de conservation
Gestion des copropriétaires (identité, quote-parts) Obligation légale / mandat (Art. 6(1)©/(b)) Durée de détention du lot + archivage
Appels de fonds et comptabilité de la copropriété Obligation légale (Art. 6(1)©) 10 ans (comptabilité)
Gestion des impayés et recouvrement Intérêt légitime / obligation légale Durée de la procédure + prescription
Assemblées générales (convocations, PV, votes) Obligation légale (Art. 6(1)©) Selon obligations légales copropriété
Vidéosurveillance des parties communes Intérêt légitime (Art. 6(1)(f)) 1 mois maximum
Gestion des prestataires et fournisseurs Exécution du contrat (Art. 6(1)(b)) Durée relation + prescription
Correspondances avec les copropriétaires Intérêt légitime (Art. 6(1)(f)) Durée du mandat + archivage

La plupart des traitements du syndic reposent sur une obligation légale (loi du 10 juillet 1965 sur la copropriété et son décret d’application) ou sur l’exécution du mandat. Ces bases sont solides et n’appellent pas de consentement des copropriétaires pour la gestion courante.

Les impayés : un traitement à haut risque

La gestion des impayés est le traitement le plus sensible du secteur, non pas au sens de l’Art. 9 — il ne s’agit pas de données sensibles au sens strict — mais parce qu’il révèle la situation financière des personnes, information à fort potentiel de préjudice.

Trois exigences structurent la conformité :

Confidentialité vis-à-vis des autres copropriétaires. L’identité des copropriétaires débiteurs ne doit pas être diffusée sans nécessité. L’affichage nominatif des impayés dans le hall de l’immeuble, ou leur communication publique en assemblée générale au-delà de ce qui est légalement prévu, expose le syndic. La loi encadre l’information des copropriétaires sur les impayés ; elle ne l’ouvre pas sans limite.

Minimisation. Le principe de minimisation impose de ne traiter que les données nécessaires au recouvrement. Constituer des dossiers surchargés d’informations sur la situation personnelle du débiteur est disproportionné.

Durée et purge. Les données de recouvrement doivent être purgées à l’issue de la procédure et des délais de prescription. Un impayé apuré ne justifie pas une conservation indéfinie.

En pratique, l’information des copropriétaires sur l’état des impayés est prévue par la loi dans un cadre précis : le syndic présente en assemblée générale l’état des sommes dues et les procédures engagées, ce qui suppose de nommer les débiteurs dans un contexte légalement défini. Ce cadre ne vaut pas autorisation de diffuser librement l’identité des débiteurs par affichage dans les parties communes, sur l’extranet accessible à tous ou dans des communications non prévues par les textes. La ligne de partage est la suivante : ce que la loi impose ou permet de communiquer est licite ; tout ce qui va au-delà expose le syndic à un grief de manquement à la confidentialité et à la minimisation.

La vidéosurveillance des parties communes

La vidéosurveillance des parties communes (hall, local à vélos, parking, accès) est un dispositif fréquent et strictement encadré. Les règles CNIL applicables :

  • Finalité limitée à la sécurité des personnes et des biens ; pas de surveillance des allées et venues à d’autres fins.
  • Champ de vision proportionné : les caméras ne doivent pas filmer l’intérieur des logements, ni la voie publique, ni les entrées d’appartements de manière ciblée.
  • Durée de conservation d’un mois maximum pour les images.
  • Information des personnes par une signalétique visible à chaque entrée du champ de la caméra.
  • Décision en assemblée générale : l’installation d’un système de vidéosurveillance doit être votée par l’assemblée générale des copropriétaires.
  • Habilitations restreintes : seules les personnes désignées peuvent visionner les images.

La vidéosurveillance des parties communes ne relève pas d’une autorisation préfectorale (contrairement à la vidéoprotection de la voie publique), mais son inscription au registre et le respect des règles CNIL sont impératifs. Une analyse d’impact (AIPD) peut être requise pour les dispositifs les plus intrusifs.

Faut-il désigner un DPO ?

L’Art. 37 impose un DPO en cas de suivi régulier et systématique à grande échelle ou de traitement à grande échelle de données sensibles. Un syndic gérant un portefeuille important de copropriétés, avec vidéosurveillance et suivi des impayés sur des milliers de lots, peut s’approcher du critère de suivi systématique à grande échelle.

Pour un cabinet de syndic de taille significative, la désignation d’un DPO est fortement recommandée, voire obligatoire selon le volume. Le DPO externalisé est une solution courante dans une profession où les compétences RGPD sont rarement internalisées. Le syndicat des copropriétaires, en tant que responsable de traitement, n’a en principe pas à désigner de DPO pour une copropriété isolée.

Les sous-traitants ultérieurs du syndic

Le syndic, lui-même sous-traitant du syndicat, fait appel à ses propres prestataires — sous-traitants ultérieurs au sens de l’Art. 28(2). Chacun doit être encadré par un contrat :

  • Éditeur du logiciel de gestion de copropriété (Powimo, ICS, Even, etc.)
  • Prestataire d’extranet copropriétaires
  • Société de recouvrement des impayés
  • Prestataire de vidéosurveillance et de télésurveillance
  • Hébergeur cloud, prestataire de sauvegarde
  • Prestataire d’envoi des convocations et courriers

L’extranet de copropriété, obligatoire depuis la loi ELAN, mérite une attention particulière : il donne à chaque copropriétaire accès à des documents contenant des données personnelles. La sécurisation des accès et le cloisonnement des données par copropriété sont essentiels : un défaut de cloisonnement qui exposerait les documents d’une copropriété aux copropriétaires d’une autre constituerait une violation de données à part entière.

Deux difficultés reviennent systématiquement lors des audits. D’une part, la société de recouvrement à laquelle le syndic transmet les dossiers d’impayés est rarement liée par un contrat Art. 28 en bonne et due forme, alors qu’elle traite des données financières sensibles pour le compte du syndicat. D’autre part, la liste des sous-traitants ultérieurs de l’éditeur du logiciel de gestion (hébergeur, prestataires techniques) n’est presque jamais communiquée ni documentée, ce qui empêche toute maîtrise réelle de la chaîne. Pour centraliser ces contrats de sous-traitance, suivre l’état des DPA sur l’ensemble du portefeuille de copropriétés et cartographier les flux de données, Legiscope permet de tenir ce référentiel à jour et de tracer les obligations d’assistance vis-à-vis des syndicats.

Sécurité et contrôles CNIL

L’Art. 32 impose des mesures adaptées. Pour un syndic : gestion des habilitations par gestionnaire et par immeuble, chiffrement des sauvegardes, authentification forte sur le logiciel de gestion et l’extranet, traçabilité des accès aux dossiers de recouvrement, purge des images de vidéosurveillance à un mois.

Les points susceptibles d’être examinés par la CNIL dans le secteur sont généralement :

  1. L’existence d’un avenant RGPD (contrat Art. 28) entre syndic et syndicat
  2. Le respect des règles de vidéosurveillance (durée, champ, information, vote en AG)
  3. La confidentialité des impayés vis-à-vis des tiers
  4. Les durées de conservation et la purge effective
  5. La sécurisation de l’extranet copropriétaires
  6. Les contrats avec les sous-traitants ultérieurs (recouvrement, logiciel)

Pour le cadre général des contrôles, voir notre dossier CNIL.

Checklist de conformité pour syndic

  • [ ] Avenant RGPD (contrat Art. 28) signé entre chaque syndicat et le syndic
  • [ ] Registre des activités de sous-traitance (Art. 30(2)) tenu à jour
  • [ ] Vidéosurveillance : vote en AG, champ proportionné, durée d’un mois, signalétique
  • [ ] Confidentialité des impayés préservée vis-à-vis des autres copropriétaires
  • [ ] Durées de conservation documentées — voir le tableau des durées
  • [ ] Purge des données de recouvrement en fin de procédure
  • [ ] Extranet copropriétaires sécurisé et cloisonné par immeuble
  • [ ] Contrats avec le prestataire de recouvrement et l’éditeur du logiciel
  • [ ] Habilitations restreintes pour le visionnage des images
  • [ ] Information des copropriétaires (Art. 13) sur les traitements
  • [ ] Procédure de notification des violations opérationnelle

FAQ

Le syndic est-il responsable de traitement ou sous-traitant ?

Le syndic est sous-traitant. Le responsable de traitement est le syndicat des copropriétaires, personne morale qui détermine les finalités de la gestion. Cette qualification impose un contrat de sous-traitance conforme à l’Art. 28, généralement matérialisé par un avenant RGPD au contrat de syndic — trop souvent absent des mandats en cours.

Peut-on afficher les noms des copropriétaires débiteurs dans le hall ?

Non. L’affichage nominatif des impayés dans les parties communes porte atteinte à la vie privée et à la confidentialité de la situation financière des copropriétaires. La loi encadre l’information des copropriétaires sur l’état des impayés, mais ne permet pas leur diffusion publique nominative. C’est un manquement caractéristique.

Combien de temps conserver les images de vidéosurveillance des parties communes ?

Un mois maximum, conformément aux recommandations de la CNIL. Au-delà, sauf procédure en cours justifiant une conservation ponctuelle, les images doivent être supprimées automatiquement. L’installation du dispositif doit par ailleurs avoir été votée en assemblée générale.

Faut-il un vote de l’assemblée générale pour installer des caméras ?

Oui. L’installation d’un système de vidéosurveillance dans les parties communes doit être décidée par l’assemblée générale des copropriétaires. Le dispositif doit ensuite respecter les règles CNIL : champ de vision proportionné, durée d’un mois, signalétique d’information, habilitations restreintes.

Un syndic doit-il désigner un DPO ?

Pas systématiquement. L’obligation dépend du volume : un syndic gérant un portefeuille important, avec suivi des impayés et vidéosurveillance sur de nombreux lots, peut relever du critère de suivi systématique à grande échelle. La désignation est alors recommandée, voire obligatoire. Le DPO externalisé est fréquent dans la profession.

Quelle base légale pour la gestion de la copropriété ?

Principalement l’obligation légale (Art. 6(1)©), la loi du 10 juillet 1965 imposant de nombreuses obligations de gestion, et l’exécution du mandat. Le consentement des copropriétaires n’est pas requis pour la gestion courante. Pour approfondir les fondements, voir notre guide sur la base légale RGPD.