Données personnelles

RGPD agences immobilières 2026 : dossiers locataires, durées + sanctions

RGPD pour agences immobilières : pièces autorisées vs interdites au dossier locataire, durées de conservation, bases légales et la sanction SERGIC 400 000 €.

Aussi disponible en :Polski·Svenska·Italiano·Português·Nederlands

Une agence immobilière conforme au RGPD ne collecte au dossier d’un candidat locataire que les pièces limitativement autorisées par la loi n°89-462 (art. 22-2) et le décret n°2015-1437, restreint l’accès à ces pièces justificatives, supprime les dossiers des candidats non retenus dès la fin de la procédure d’attribution, et applique des durées de conservation précises à chaque traitement — mandats, gestion locative, comptabilité, vidéosurveillance et prospection. Concrètement : jamais de photo, de carte Vitale, de casier judiciaire, de dossier médical, de RIB ou de relevé de compte dans un dossier locataire, un registre des traitements à jour, des DPA signés avec vos logiciels métier et vos hébergeurs, et une purge effective des candidatures écartées.

Le secteur est directement dans le viseur de la CNIL : la sanction SERGIC de 400 000 € (28 mai 2019) porte précisément sur ces deux points — sécurité des pièces justificatives et conservation excessive des candidats non retenus. Voici le guide opérationnel de mise en conformité pour une agence de transaction, de location ou de gestion.

Obligations RGPD spécifiques à l’immobilier

Mandats de vente et de location

Le mandat est un contrat : les données du mandant (vendeur, bailleur) et des acquéreurs/candidats sont traitées sur la base de l’exécution du contrat et des mesures précontractuelles (art. 6-1-b). Recensez ce traitement dans votre registre des traitements avec sa finalité, ses destinataires et sa durée. La carte T impose déjà des obligations documentaires (loi Hoguet) : le RGPD s’y ajoute, il ne s’y substitue pas.

Dossiers de candidats locataires : la liste limitative des pièces

C’est le point le plus sensible et le plus sanctionné. La loi n°89-462 du 6 juillet 1989 (art. 22-2) et le décret n°2015-1437 du 5 novembre 2015 fixent une liste limitative des pièces exigibles d’un candidat locataire et de sa caution. Tout ce qui n’y figure pas est interdit de collecte, y compris avec le consentement du candidat, car l’interdiction est d’ordre public.

Sont notamment interdits : la photographie d’identité, la carte Vitale ou la copie de l’attestation de sécurité sociale, l’extrait de casier judiciaire, le dossier médical, la carte d’assuré social, le RIB, le relevé de compte bancaire et l’attestation de bonne tenue de compte bancaire. Sont autorisés : une pièce d’identité, un justificatif de domicile, des justificatifs d’activité professionnelle et de ressources (dans la limite de la liste du décret). Cette exigence recoupe directement le principe de minimisation des données de l’article 5-1-c : vous ne collectez que ce qui est adéquat, pertinent et strictement nécessaire.

Sécurité et restriction d’accès aux pièces

Les pièces justificatives contiennent des données personnelles sensibles au sens économique (revenus, situation familiale). Leur stockage — serveur, cloud, extranet candidat — doit être protégé par des accès individuels et une gestion des habilitations (art. 32). L’affaire SERGIC illustre le risque : 290 870 documents étaient accessibles en modifiant simplement l’URL, sans authentification. Un contrôle en ligne de la CNIL détecte ce type de faille en quelques minutes.

Gestion locative

Pour un locataire en place, vous traitez quittances, incidents de paiement, régularisations de charges, coordonnées : base contractuelle (art. 6-1-b) et obligation légale comptable (art. 6-1-c). Les données de solvabilité et d’impayés doivent être maniées avec prudence et ne jamais alimenter un fichier informel de « mauvais payeurs ».

Syndic et copropriété

L’activité de syndic génère des traitements massifs : coordonnées des copropriétaires, décomptes, procès-verbaux d’assemblée, contentieux. Les données ne peuvent être communiquées qu’aux personnes légitimes (conseil syndical, copropriétaires pour ce qui les concerne). La diffusion d’un annuaire complet ou d’informations sur les impayés d’un copropriétaire à toute la copropriété est un manquement classique.

Vidéosurveillance des parties communes

Les caméras des halls, parkings et parties communes reposent sur l’intérêt légitime (art. 6-1-f) avec une mise en balance écrite. Les images ne doivent pas filmer la voie publique ni les portes palières, une signalétique doit informer les personnes (art. 13), et la durée de conservation type est d’un mois maximum. Au-delà, la conservation est jugée excessive.

Prospection commerciale

Estimation offerte, newsletters, alertes biens : la prospection B2C par email/SMS suppose le consentement préalable (art. L34-5 CPCE), la prospection B2B et le suivi des vendeurs peuvent reposer sur l’intérêt légitime avec droit d’opposition et lien de désinscription systématique.

Durées de conservation

Donnée / traitement Durée en base active Archivage / justification
Dossier candidat locataire non retenu Le temps de la procédure d’attribution Suppression ou anonymisation à l’issue (max ~3 mois sauf accord de la personne)
Dossier locataire en cours Durée du bail + prescriptions applicables après départ
Mandat (vente / location) Durée du mandat Archivage intermédiaire au titre des prescriptions (5 ans)
Pièces comptables et factures Exercice en cours 10 ans (Code de commerce)
Images de vidéosurveillance 1 mois maximum Au-delà uniquement si extraction sur incident/procédure
Prospection / contacts commerciaux 3 ans après le dernier contact Consentement à recueillir de nouveau ensuite

Ces durées doivent être appliquées, pas seulement déclarées : une purge automatique des candidatures écartées est la première preuve attendue en contrôle. Pour le cadre général, voir notre guide des durées de conservation.

Bases légales par traitement

Traitement Base légale (art. 6 / art. 9) Commentaire
Dossier candidat locataire, mandat Mesures précontractuelles / exécution du contrat (art. 6-1-b) Uniquement les pièces autorisées par le décret n°2015-1437
Comptabilité, facturation Obligation légale (art. 6-1-c) Code de commerce, obligations fiscales
Vidéosurveillance parties communes Intérêt légitime (art. 6-1-f) Mise en balance écrite, signalétique, 1 mois
Prospection B2B Intérêt légitime (art. 6-1-f) Droit d’opposition + désinscription
Prospection B2C (email/SMS) Consentement (art. 6-1-a) Opt-in préalable (art. L34-5 CPCE)

Chaque base doit être documentée : le choix de la base conditionne les droits des personnes. Notre guide de la base juridique RGPD détaille la mise en balance de l’intérêt légitime.

Sanctions CNIL réelles du secteur immobilier

SERGIC — 400 000 € — délibération du 28 mai 2019 (SAN-2019-005). Cette société de gestion immobilière a été sanctionnée pour deux manquements cumulés :

  1. Défaut de sécurité (art. 32) : les pièces justificatives transmises par les candidats locataires — pièces d’identité, avis d’imposition, justificatifs — étaient accessibles depuis le site sans aucune authentification, en modifiant simplement un numéro dans l’URL. Au total, 290 870 documents de candidats étaient exposés. La CNIL a relevé que la société avait tardé à corriger la vulnérabilité après en avoir eu connaissance.

  2. Conservation excessive (art. 5-1-e) : les dossiers des candidats non retenus étaient conservés bien au-delà de la durée nécessaire à l’attribution du logement, sans procédure d’archivage ni de purge.

La leçon est directement transposable à toute agence : restreignez l’accès aux pièces justificatives et purgez les candidatures écartées. Détails sur la page officielle CNIL de la sanction SERGIC. Pour le panorama complet, voir notre bilan des sanctions CNIL 2026.

Erreurs courantes

  • Exiger des pièces interdites au dossier locataire (RIB, avis médical, photo, casier) : le manquement est constitué même si le candidat les fournit « spontanément ».
  • Laisser les pièces justificatives accessibles sur un extranet ou un cloud mal configuré, sans authentification ni gestion des accès — l’erreur exacte de SERGIC.
  • Conserver indéfiniment les candidatures non retenues au lieu de les supprimer à la fin de la procédure d’attribution.
  • Ne pas signer de DPA avec les logiciels de transaction/gestion, les portails d’annonces et l’hébergeur, qui sont vos sous-traitants (art. 28).
  • Filmer la voie publique ou les portes palières avec les caméras des parties communes, et dépasser le mois de conservation des images.
  • Prospecter en B2C sans consentement à partir de fichiers d’estimation ou de contacts collectés pour une autre finalité.

FAQ

Peut-on demander un RIB ou un avis médical à un candidat locataire ?

Non. Le RIB, le relevé de compte, l’attestation de bonne tenue de compte, le dossier médical, la photo et le casier judiciaire figurent parmi les pièces interdites par l’article 22-2 de la loi de 1989 et le décret n°2015-1437. L’interdiction est d’ordre public : le consentement du candidat ne la lève pas. Vous vous exposez en outre à une amende civile spécifique au-delà du RGPD.

Combien de temps garder le dossier d’un candidat qui n’a pas obtenu le logement ?

Le temps strictement nécessaire à la procédure d’attribution, puis suppression ou anonymisation. En pratique, ne conservez pas au-delà de trois mois sauf accord explicite du candidat pour garder son dossier en vue d’autres biens. C’est précisément la conservation excessive des non-retenus qui a coûté à SERGIC une partie de son amende. Pensez à mettre en place une purge automatique et à documenter votre procédure de contrôle CNIL.

Faut-il un DPA avec mon logiciel immobilier et les portails d’annonces ?

Oui. Votre logiciel de transaction/gestion, votre hébergeur et les portails qui traitent des données pour votre compte sont des sous-traitants au sens de l’article 28 : un accord de sous-traitance (DPA) est obligatoire. Il encadre la sécurité, la confidentialité, la localisation des données et les sous-traitants ultérieurs.

Une petite agence est-elle vraiment contrôlée par la CNIL ?

Oui. L’immobilier fait partie des secteurs prioritaires de la CNIL, et les contrôles en ligne ne nécessitent aucun déplacement : l’accessibilité des pièces justificatives et la conformité du site se vérifient à distance. La procédure simplifiée permet en outre des amendes jusqu’à 20 000 € sur des dossiers TPE-PME.

Conclusion

Pour une agence, la conformité RGPD tient en trois réflexes : ne collecter que les pièces autorisées au dossier locataire, verrouiller l’accès à ces pièces, et purger les candidatures non retenues. Ajoutez un registre à jour, des DPA avec vos logiciels et votre hébergeur, une vidéosurveillance limitée à un mois et une prospection propre, et vous couvrez l’essentiel du risque. Un outil comme Legiscope, qui automatise le registre des traitements et la production des AIPD et de la documentation, permet de tenir ce socle à jour sans y consacrer un juriste à plein temps. Le reste est une question de discipline : la faille SERGIC était évitable, la vôtre l’est aussi. Voir aussi le texte intégral du RGPD et la loi Informatique et Libertés.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →