Immobilier

Statuts d’Agence immobilière 2021/2022 à télécharger | 2 juin 2021

Le nouveau modèle de Statuts d’Agence immobilière est disponible en téléchargement.


Données personnelles traitées par les Agences immobilières


Si vous exploitez une Agence immobilière, la CNIL a publié son nouveau référentiel pour vous aider à traiter vos données personnelles en conformité.

1/ Ce référentiel s’adresse aux personnes physiques ou morales qui, à titre professionnel, mettent en location un local à usage d’habitation ou à usage mixte professionnel et d’habitation, et qui constitue la résidence principale du preneur au sens de la loi n° 89-462 du 6 juillet 1989 tendant à améliorer les rapports locatifs et portant modification de la loi n° 86-1290 du 23 décembre 1986.
2/ Il s’adresse notamment aux organismes louant pour leur compte des locaux d’habitation ainsi qu’aux professionnels de l’immobilier en tant que représentants du bailleur ou lorsqu’ils se livrent, ou prêtent leur concours, aux opérations portant sur les biens d’autrui.
3/ Il s’adresse également aux plateformes en ligne proposant des services relatifs à la gestion locative.
4/ Dans un contexte de mise en location d’un bien à usage d’habitation, les bailleurs personnes physiques et personnes morales, ci-après « les organismes », sont amenés à mettre en œuvre des traitements automatisés en tout ou en partie ainsi que des traitements non automatisés de données à caractère personnel (fichiers « papier ») en tant que responsable de traitement, ce qui les soumet au respect des règles relatives à la protection des données.
5/ Les organismes mettant en œuvre des traitements dans le cadre de la gestion locative doivent s’assurer de leur conformité :


– aux dispositions du Règlement général sur la protection des données (RGPD) ainsi qu’à celles de la loi du 6 janvier 1978 modifiée (loi « Informatique et Libertés », ou LIL) ;
– à l’ensemble des autres règles éventuellement applicables, notamment le code de la construction de l’habitation ainsi que la loi n° 89-462 du 6 juillet 1989 tendant à améliorer les rapports locatifs et portant modification de la loi n° 86-1290 du 23 décembre 1986 qui a vocation à encadrer les relations locatives.


6/ Bien que le présent référentiel s’adresse uniquement aux personnes louant un ou des biens à titre professionnel, les particuliers, qui sont soumis à la réglementation relative à la protection des données à caractère personnel, peuvent en prendre connaissance ou se référer aux outils d’aide à la mise en conformité leur étant spécifiquement destinés.
7/ En raison de leurs particularités, le présent référentiel n’a pas vocation à s’appliquer aux traitements mis en œuvre par des organismes de droit public ou privé dans le cadre de la gestion d’un patrimoine immobilier à caractère social ainsi qu’aux traitements mis en œuvre dans le cadre de locations saisonnières.


Portée du référentiel pour les professionnels de l’immobilier


7/ Ce référentiel a pour objectif de fournir aux personnes mettant en œuvre des traitements relatifs à la gestion locative, un outil d’aide à la mise en conformité à la réglementation relative à la protection des données à caractère personnel.
8/ Ce référentiel n’a pas de valeur contraignante. Il permet en principe d’assurer la conformité des traitements de données mis en œuvre par les organismes aux principes relatifs à la protection des données, dans un contexte d’évolution des pratiques à l’ère numérique.
9/ De même, il peut être précisé que les organismes peuvent s’écarter d’un référentiel au regard des conditions particulières tenant à leur situation et qu’il peut alors leur être demandé de justifier de l’existence d’un tel besoin et des mesures mises en œuvre afin de garantir la conformité des traitements à la réglementation en matière de protection des données à caractère personnel.
10/ Si tout organisme doit se conformer aux principes relatifs à la protection des données, les mesures doivent être adaptées aux particularités du traitement. Par exemple, les traitements mis en œuvre par les organismes louant un bien en gestion directe peuvent être moins susceptibles d’engendrer un risque pour les droits et libertés des personnes concernées. Des mesures moins strictes que celles présentées dans le présent référentiel peuvent donc être parfois suffisantes.
11/ Le référentiel n’a pas pour objet d’interpréter les règles de droit autres que celles relatives à la protection des données à caractère personnel. Il appartient aux acteurs concernés de s’assurer qu’ils respectent les autres réglementations qui peuvent trouver à s’appliquer par ailleurs.
12/ Ce référentiel constitue également une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD), dans le cas où celle-ci est nécessaire.
13/ Pour réaliser une AIPD et se mettre en conformité, le responsable de traitement pourra enfin se reporter aux outils méthodologiques proposés par la CNIL sur son site web. Les organismes pourront ainsi définir les mesures permettant d’assurer la proportionnalité et la nécessité de leur traitements (points 3 à 7), de garantir les droits des personnes (points 8 et 9) et la maîtrise de leurs risques (point 10). L’organisme pourra également s’appuyer sur les lignes directrices de la CNIL sur les AIPD. Si l’organisme en a désigné un, le délégué à la protection des données (DPD/DPO) devra être consulté.


Formes de gestion immobilière locative


14/ Différents types de gestion ayant une influence sur la qualité de responsable de traitement doivent être distingués :


– la gestion dite déléguée ou totale : une personne physique ou morale mandate un professionnel pour gérer intégralement la location de son bien immobilier.


Dans cette situation, le professionnel mandataire détermine les finalités et les moyens des traitements mis en œuvre dans le cadre de la location du bien et est considéré comme responsable de ces traitements.


– la gestion directe : une personne physique ou morale loue directement un local d’habitation sans intermédiaire. Elle est alors considérée comme responsable des traitements mis en œuvre dans ce cadre.
– la gestion dite semi-déléguée : une personne physique ou morale confie une partie de l’administration de son bien à un professionnel et conserve la maîtrise des autres tâches.


En cas de gestion semi-déléguée, est considéré comme responsable de traitement :


– le professionnel de l’immobilier pour l’ensemble des traitements mis en œuvre dans le cadre des missions que le propriétaire lui a déléguées ;
– la personne physique ou morale, pour les traitements mis en œuvre dans le cadre des tâches qu’il a souhaité conserver.


15/ Divers acteurs sont par ailleurs susceptibles de prendre part aux traitements visés par le présent référentiel :


– le bailleur : une personne physique ou morale qui met un bien en location ;
– le candidat à la location : une personne faisant parvenir les pièces justificatives relatives à sa solvabilité après visite du bien ;
– le mandataire : une personne physique ou morale mandatée pour louer un bien pour le compte du bailleur ;
– le sous-traitant : une personne physique ou morale qui traite des données à caractère personnel pour le compte et sous l’instruction et l’autorité d’une autre personne, responsable de traitement (par exemple, en cas d’externalisation de l’aspect financier de la gestion locative : appel des loyers, quittancement ou en cas d’externalisation de la rédaction du bail, etc.).


Objectif(s) poursuivi(s) par les traitements (finalités) de l’immobilier


16/ Le traitement mis en œuvre doit répondre à un objectif précis et être justifié au regard des missions et des activités de l’organisme.
17/ Les traitements relatifs à la gestion locative permettent notamment :


– de proposer des biens à louer (notamment pour l’analyse des critères des bien recherchés par d’éventuels locataires et l’envoi d’offres analogues de location) ;
– de gérer la pré-contractualisation et la conclusion du contrat de bail (organisation des visites du logement ; appréciation de la solvabilité des candidats à la location, etc.) ;
– de gérer la vie du contrat (notamment le suivi du paiement des loyers, charges et dépôts de garantie ou encore la gestion de l’occupation du logement) ;
– de résilier le contrat de bail (notamment la fin de solidarité en cas de violences sur conjoint ou sur un enfant qui réside habituellement avec lui et en cas de réduction du préavis).

statuts eurl agence immobilière

18/ Les informations recueillies pour l’une de ces finalités ne peuvent pas être réutilisées pour poursuivre un autre objectif qui serait incompatible avec la finalité initiale. Tout nouvel usage des données doit en effet respecter les principes de protection des données à caractère personnel, en particulier le principe de finalité de traitement.


Base(s) légale(s) du traitement


19/ Chaque finalité du traitement doit reposer sur l’une des bases légales fixées par la réglementation (article 6 du RGPD) (pour une explication de la règle, consulter la fiche du site Internet de la CNIL intitulée « La licéité du traitement : l’essentiel sur les bases légales prévues par le RGPD »).
20/ Il appartient au responsable de traitement de déterminer ces bases légales avant toute opération de traitement, après avoir mené une réflexion, qu’il pourra documenter, au regard de sa situation spécifique et du contexte. Ayant un impact sur l’exercice de certains droits, ces bases légales font partie des informations devant être portées à la connaissance des personnes concernées.
21/ Afin d’aider les organismes dans cette analyse, le présent référentiel propose dans le tableau ci-dessous, à titre indicatif, un choix de base légale pour chaque finalité.


Activités de traitement

Finalités

Bases légales envisageables
(sous réserve de choix différents
justifiés par un contexte spécifique)

Proposition de biens à louer

Analyse des critères des biens recherchés par d’éventuels locataires pour l’envoi de propositions de location

Mesures précontractuelles

Envoi de propositions de locations analogues au bien pour lequel la personne concernée a présenté un intérêt

Intérêt légitime (sous réserve que la personne concernée puisse s’opposer à tout moment)

Gestion de la pré-contractualisation et de la conclusion du contrat de bail

Organisation des visites

Mesures précontractuelles

Appréciation de la solvabilité

Mesures précontractuelles

Conclusion du bail et de ses annexes

Mesures précontractuelles

Gestion du déroulement du contrat

Suivi du paiement des loyers, charges et dépôts de garantie

Exécution du contrat

Gestion de l’occupation du logement

Exécution du contrat

Vérification de la souscription de l’assurance

Exécution du contrat

Gestion de l’assurance loyers impayés

Exécution du contrat

Agrégation des données pour la transmission de statistiques aux observatoires locaux des loyers

Obligation légale

Gestion de la fin du contrat

Résiliation du bail

Exécution du contrat

Gestion de la fin de solidarité

Exécution du contrat


6. Données à caractère personnel concernées
6.1. Principes de pertinence et de minimisation des données


22/ En vertu du principe de minimisation des données, le responsable de traitement doit veiller à ce que seules les données nécessaires à la poursuite des finalités du traitement soient effectivement collectées et traitées. Sont en principe considérées comme pertinentes, pour des finalités rappelées ci-dessus, les données suivantes :


6.1.1. Au cours de la recherche d’un logement


23/ Au cours d’une recherche d’un logement, les personnes peuvent être amenées à fournir différentes données aux organismes, et plus particulièrement aux professionnels de l’immobilier. Les données traitées dans ce cadre sont relatives à :


– leur identification (nom, prénom) ;
– leurs coordonnées de contact (selon la préférence des personnes concernées : adresse électronique et/ou numéro de téléphone) ;
– leurs critères de recherche (localisation, loyer, surface, etc.).


24/ A ce stade, toujours dans un souci de minimisation des données, il n’apparaît pas pertinent de collecter des données relatives à la situation personnelle des personnes concernées (situation professionnelle ou financière de la personne concernée, par exemple).


6.1.2. Au stade de l’appréciation de la solvabilité des candidats à la location


25/ En matière d’appréciation de la solvabilité des candidats à la location, les données pouvant être collectées sont précisées dans le décret n° 2015-1437 du 5 novembre 2015 fixant la liste des pièces justificatives pouvant être demandées au candidat à la location et à sa caution. Il s’agit des données des candidats à la location et de leurs éventuels garants, relatives à :


– leur identification ;
– leurs coordonnées postales ;
– leur situation professionnelle et leurs ressources.


26/ En application de ce décret et conformément au principe de pertinence, aucune information supplémentaire telle que des documents bancaires (copie de relevé de compte bancaire ou postal, justificatifs de situation financière), une carte d’assuré social, un extrait de casier judiciaire, un dossier médical, un document attestant du versement ou du non-versement de pensions alimentaires, un contrat de mariage ou encore un certificat de concubinage n’est en principe considérée comme étant pertinente.
27/ Des documents supplémentaires peuvent cependant être demandés, notamment lorsque la location s’inscrit dans un dispositif visant à réserver des logements aux ménages modestes (par exemple : l’avis d’imposition ou de non-imposition établi au titre de l’avant-dernière année précédant celle de la signature du contrat de location dans le cadre du dispositif Pinel) sous réserve que les données permettent au bailleur de s’assurer que le locataire remplit les conditions du dispositif et que ces conditions soient précisées dans un texte législatif ou réglementaire d’un niveau au moins égal à un décret (par exemple, pour les dispositifs Pinel et Duflot, l’article 199 novovicies du code général des impôts prévoit que les plafonds annuels de ressources du locataire fixés par décret doivent être « appréciées à la date de conclusion du bail »).
28/ Dans le cas où les candidats à la location transmettraient des pièces justificatives allant au-delà de ce que prévoit la réglementation, l’organisme devrait procéder à la suppression ou au renvoi des pièces superflues au candidat, afin d’être en conformité avec la réglementation.
29/ Le tableau reproduit ci-dessous recense les pièces justificatives qui peuvent être considérées comme pertinentes.


Catégories de documents

Documents pouvant être collectées
(candidats et garants)

Pièce justificative d’identité en cours de validité, comportant la photographie et la signature du titulaire

Une pièce parmi les documents suivants :
– Carte nationale d’identité française ou étrangère ;
– Passeport français ou étranger ;
– Permis de conduire français ou étranger ;
– Document justifiant du droit au séjour du candidat à la location étranger.

Un justificatif de domicile

Pour le candidat (une pièce parmi les documents suivants) :
– Trois dernières quittances de loyer ou, à défaut, attestation du précédent bailleur, ou de son mandataire, indiquant que le locataire est à jour de ses loyers et charges ;
– Attestation d’élection de domicile établissant le lien avec un organisme agréé au titre de l’article L. 264-2 du code de l’action sociale et des familles ;
– Attestation sur l’honneur de l’hébergeant indiquant que le candidat à la location réside à son domicile ;
– Dernier avis de taxe foncière ou, à défaut, titre de propriété de la résidence principale.
Pour le garant (une pièce parmi les documents suivants) :
– Dernière quittance de loyer ;
– Facture d’eau, de gaz ou d’électricité de moins de trois mois ;
– Attestation d’assurance logement de moins de trois mois ;
– Dernier avis de taxe foncière ou, à défaut, titre de propriété de la résidence principale.

Une attestation des activités professionnelles

Contrat de travail ou de stage ou, à défaut, attestation de l’employeur précisant l’emploi et la rémunération proposée, la date d’entrée en fonctions envisagée et, le cas échéant, la durée de la période d’essai ;
– Extrait K ou K bis du registre du commerce et des sociétés de moins de trois mois pour une entreprise commerciale ;
– Extrait D1 original du registre des métiers de moins de trois mois pour un artisan ;
– Copie du certificat d’identification de l’INSEE, comportant les numéros d’identification, pour un travailleur indépendant ;
– Copie de la carte professionnelle pour une profession libérale ;
– Toute pièce récente attestant de l’activité pour les autres professionnels ;
– Carte d’étudiant ou certificat de scolarité pour l’année en cours.

Une attestation des ressources

– Dernier ou avant-dernier avis d’imposition ou de non-imposition ;
– Trois derniers bulletins de salaire ;
– Justificatif de versement des indemnités de stage ;
– Deux derniers bilans ou, à défaut, attestation de ressources pour l’exercice en cours délivré par un comptable pour les professions non salariées ;
– Justificatif de versement des indemnités, retraites, pensions, prestations sociales et familiales et allocations perçues lors des trois derniers mois ou justificatif de l’ouverture des droits, établis par l’organisme payeur ;
– Attestation de simulation établie par l’organisme payeur ou simulation établie par le locataire relative aux aides au logement ;
– Avis d’attribution de bourse pour les étudiants boursiers ;
– Titre de propriété d’un bien immobilier ou dernier avis de taxe foncière ;
– Justificatif de revenus fonciers, de rentes viagères ou de revenus de valeurs et capitaux mobiliers.


6.1.3. Pendant la durée de la location


30/ Une fois le locataire choisi, des données complémentaires sont en principe considérées comme pertinentes :


– ses coordonnées bancaires ;
– son adresse électronique sous réserve d’avoir obtenu son consentement ;
– son numéro d’allocataire à la Caisse d’allocations familiales (CAF) ou à la Mutualité sociale agricole (MSA) en cas de perception de l’allocation logement en tiers payant ;
– l’attestation d’assurance ;
– l’identité de l’époux, de l’épouse ou de la personne pacsée avec le locataire en titre en cas de demande la cotitularité, conformément à l’article 1751 du code civil.


6.1.4. A la demande d’une fin de solidarité


31/ Lorsque le conjoint du locataire, son partenaire lié par un pacte civil de solidarité ou son concubin notoire quitte le logement en raison de violences exercées au sein du couple ou sur un enfant qui réside habituellement avec lui, la victime des violences peut demander la fin de solidarité, conformément à l’article 8-2 de la loi n° 89-462 du 6 juillet 1989. Les données suivantes sont dès lors considérées comment pertinentes :


– la copie de l’ordonnance de protection délivrée par le juge aux affaires familiales dont il bénéficie et préalablement notifiée à l’autre membre du couple ;
– la copie d’une décision de condamnation pénale pour des faits de violences commis à son encontre ou sur un enfant qui réside habituellement avec lui et rendue depuis moins de six mois.


6.1.5. A la résiliation et à l’expiration du bail


32/ Lorsque le locataire résilie le contrat, l’organisme traite les informations relatives au préavis et à l’état des lieux de sortie du logement.
33/ Si le locataire souhaite bénéficier d’un délai réduit de préavis, l’organisme peut consulter, conformément à l’article 15 de la loi n° 89-462 du 6 juillet 1989 tendant à améliorer les rapports locatifs, des données justifiant :


– d’un éventuel changement professionnel ;
– de l’attribution d’un logement défini à l’article L. 831-1 du code de la construction et de l’habitat ;
– de l’état de santé nécessitant un changement de domicile ;
– de la perception du revenu de solidarité active ou de l’allocation adulte handicapé.


Pour un logement situé en zone tendue, aucune donnée supplémentaire ne peut être traitée dans le cadre de la réduction du préavis.


6.2. Le traitement de données sensibles et de données relatives aux condamnations pénales et aux infractions


34/ Deux catégories de données appellent une vigilance renforcée en raison de leur caractère particulièrement sensible. Bénéficiant d’une protection particulière, elles ne peuvent être collectées et traitées que dans des conditions strictement définies par les textes. Il s’agit :


– des données sensibles, c’est-à-dire celles qui révèlent l’origine ethnique ou prétendument raciale, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne, les données génétiques, les données biométriques, les données concernant la santé ou celles concernant la vie sexuelle ou l’orientation sexuelle d’une personne. Ces données ne peuvent être collectées, sauf exceptions prévues par les textes ;
– des données relatives aux infractions, condamnations pénales et mesures de sûreté connexes qui ne peuvent être traitées que dans certains cas, dans le respect des dispositions légales relatives aux données d’infraction.


35/ Dans le cadre du traitement relatif à la réduction du préavis, des données relatives à la santé (certificats médicaux) peuvent être traitées. Malgré un principe général d’interdiction, peut être considéré comme conforme le traitement de ces données conformément à :


– l’article 9-2-a) du RGPD lorsque le locataire demande une réduction du préavis au titre de la perception de l’allocation aux adultes handicapés (AAH) conformément à l’article 15 de la loi n° 89-462 du 6 juillet 1989 ;
– l’article 9-2-g) du RGPD lorsque l’état de santé du locataire nécessite un changement de domicile, le traitement étant nécessaire pour des motifs d’intérêt public important sur la base du droit national (à savoir l’article 15 de la loi n° 89-462 du 6 juillet 1989 tendant à améliorer les rapports locatifs et portant modification de la loi n° 86-1290 du 23 décembre 1986).


36/ De même, les données traitées dans le cadre de la fin de solidarité en raison de violence peuvent également comprendre des données relatives aux infractions, condamnations et mesures de sûreté concernant des personnes physiques (copie de l’ordonnance de protection délivrée par le juge aux affaires familiales ou copie d’une condamnation pénale pour des faits de violences rendue depuis moins de six mois). De telles données ne peuvent être collectées et traitées que dans des cas strictement prévus par les textes, et notamment lorsqu’une loi l’autorise expressément. Dans le cadre d’une demande de fin de solidarité en raison de violences exercées au sein du couple ou sur un enfant, le traitement des données relatives aux condamnations est effectivement autorisé par les dispositions de l’article 8-2 de la loi n° 89-462 du 6 juillet 1989 tendant à améliorer les rapports locatifs et portant modification de la loi n° 86-1290 du 23 décembre 1986.


7. Destinataires et accès aux informations


37/ Les données à caractère personnel doivent uniquement être rendues accessibles aux personnes habilitées à en connaitre au regard de leurs attributions.
38/ Les habilitations d’accès doivent être documentées par les organismes, et les accès aux différents traitements doivent faire l’objet de mesures de traçabilité. Voir point 9 relatif à la sécurité.
39/ Le responsable de traitement qui souhaite avoir recours à un sous-traitant doit veiller à ne faire appel qu’à des organismes présentant des garanties suffisantes. Un contrat définissant les caractéristiques du traitement ainsi que les différentes obligations des parties en matière de protection des données doit être établi entre elles (article 28 du RGPD). Un guide du sous-traitant, édité par la CNIL, précise ces obligations et les clauses à intégrer dans les contrats.


7.1. Les personnes accédant aux données pour le compte du responsable de traitement


40/ Seules les personnes habilitées au titre de leurs missions ou de leurs fonctions peuvent accéder aux données à caractère personnel traitées, et ce dans la stricte limite de leurs attributions respectives et de l’accomplissement de ces missions et fonctions.
41/ Par exemple, si les personnes en charge de la gestion locative au sein de l’organisme peuvent être habilitées à accéder aux données, tel n’est pas le cas pour les personnes en charge de la prospection commerciale.


7.2. Les destinataires des données


42/ Le RGPD définit les destinataires comme « tout organisme qui reçoit la communication des données ».
43/ Dans le cadre de ces traitements, les professionnels de l’immobilier, lorsqu’ils se livrent ou prêtent leur concours aux opérations portant sur les biens d’autrui, peuvent être amenés à communiquer certaines données aux propriétaires.
44/ En effet, conformément au code de déontologie des professionnels de l’immobilier et aux dispositions de la loi n° 70-9 du 2 janvier 1970 et du décret n° 72-678 du 20 juillet 1972, le responsable de traitement, lorsqu’il se livre ou prête son concours aux opérations portant sur les biens d’autrui, rend régulièrement compte au propriétaire du logement de l’exécution de ses missions.
45/ Dans le cadre d’une gestion déléguée ou totale, la communication au propriétaire des seules informations nécessaires à la vérification de la bonne gestion du bien (paiement effectif des loyers, entretien du logement, etc.) est en principe considérée comme conforme.
46/ Si le mandat prévoit une gestion semi-déléguée, est en principe considérée comme conforme la communication :


– des informations nécessaires à la réalisation des missions incombant au propriétaire, conformément à la répartition des rôles prévue dans le mandat de gestion ;
– des seules informations permettant au professionnel de rendre compte de la bonne exécution de ses missions au propriétaire.


47/ Par exemple, si le mandat de gestion semi-déléguée prévoit que le choix du locataire revient au professionnel de l’immobilier, le propriétaire ne devrait en principe pas obtenir la communication de l’ensemble des dossiers des candidats à la location. S’il le souhaite, il peut cependant obtenir la communication des dossiers des candidats ayant été présélectionnés par son mandataire afin d’effectuer le choix final.
48/ Des données peuvent également être transmises :


– aux assureurs pour la garantie des loyers impayés ;
– à l’administration fiscale, notamment pour documenter le respect des plafonds de ressources des locataires dans le cadre des investissements locatifs intermédiaires ;
– au nouveau gestionnaire si le propriétaire décide d’en changer ;
– à la cellule TRACFIN, conformément aux dispositions de l’article L. 561-2 du code monétaire et financier (les professionnels de l’immobilier sont assujettis au dispositif de lutte contre le blanchiment d’argent et le financement du terrorisme) ;
– aux représentants des associations de locataires si une disposition légale le prévoit ou si les personnes concernées ont consenti à une telle transmission.


D’autres personnes ou organismes pourraient être susceptibles de recevoir communication des données, sous réserve que cette communication soit conforme au principe de finalité déterminée, explicite et légitime et que la personne concernée soit en mesure de s’y opposer (syndic, entreprise devant effectuer des travaux, etc.).


7.3. Transferts de données en dehors de l’UE


49/ Pour assurer la continuité de la protection des données à caractère personnel, leur transfert en dehors de l’Union européenne est soumis à des règles particulières. Ainsi, conformément aux dispositions des articles 44 et suivants du RGPD, toute transmission de données hors de l’UE doit :


– être fondée sur une décision d’adéquation ;
– ou être encadrée par des règles internes d’entreprise (« BCR »), des clauses types de protection des données, un code de conduite ou un mécanisme de certification approuvé par la CNIL ;
– ou être encadrée par des clauses contractuelles ad hoc préalablement autorisées par la CNIL ;
– ou répondre à une des dérogations prévues à l’article 49 du RGPD.


Pour en savoir plus, consulter la rubrique « Transférer des données hors de l’UE » sur le site web de la CNIL.


8. Durées de conservation


50/ Une durée de conservation précise des données doit être fixée en fonction de chaque finalité : ces données ne peuvent être conservées pour une durée indéfinie.
51/ La durée de conservation de données ou, lorsqu’elle est variable, les critères utilisés pour déterminer cette durée, font partie des informations qui doivent être communiquées aux personnes concernées.
52/ Dans ces conditions, il incombe au responsable du traitement de déterminer cette durée ou ces critères en amont de la réalisation du traitement.


8.1. Les durées de conservation


53/ Au regard des finalités justifiant la mise en œuvre de traitements relatifs à la gestion locative, et sauf disposition légale ou réglementaire contraire, les exemples suivants de durées de conservation pourront être retenus par les organismes concernés :


– pour les données collectées préalablement à une candidature à la location traitées à des fins de prospection (données d’identification, coordonnées, critères de recherche), est considérée comme adéquate une durée de conservation de trois (3) ans à compter du dernier contact des personnes concernées avec l’organisme ;
– pour les données collectées au stade de l’appréciation de la solvabilité des candidats à la location, la durée de conservations de trois (3) mois en base active est en principe adéquate ;
– pour les données relatives au candidat à la location retenu : la durée contractuelle et jusqu’à la clôture des comptes du locataire en base active est en principe adéquate est en principe adéquate, puis en archivage intermédiaire pendant une durée ne pouvant en principe excéder :
– trois (3) ans en cas de gestion directe (délai de prescription en matière de baux) ;
– cinq (5) ans en cas de gestion déléguée ou semi-déléguée (délai de prescription en matière civile).
– pour les données du locataire collectées depuis la conclusion du bail jusqu’à sa résiliation : la durée contractuelle jusqu’à la clôture des comptes du locataire est en principe une durée de conservation en base active adéquate. A l’issue de cette période, les données peuvent être archivées, en archivage intermédiaire. Les durées d’archivages intermédiaires considérées comme adéquates sont en principe les suivantes :
– le temps de la prescription en matière de contrat de bail, à savoir trois (3) ans dans le cadre d’une gestion directe ou semi-déléguée (selon la répartition des tâches entre le mandataire et le mandant) ;
– le temps de la prescription civile, à savoir cinq (5) ans dans le cadre d’une gestion déléguée ou semi-déléguée (selon la répartition des tâches entre le mandataire et le mandant).
– les données collectées dans le cadre de la résiliation du contrat justifiant la fin de solidarité ou la réduction du préavis ne peuvent par principe pas faire l’objet d’une conservation par le propriétaire, sauf à justifier d’un besoin particulier. Elles peuvent en revanche être conservée jusqu’à la validation par le propriétaire de la réduction du préavis ou de la fin de solidarité en cas de gestion indirecte, sous réserve de mettre en œuvre des mesures fortes permettant d’en assurer la sécurité et la confidentialité.


54/ Les données peuvent être conservées plus longtemps que les durées mentionnées ci-dessus, en archivage intermédiaire, si le responsable du traitement en a l’obligation légale (par exemple, pour répondre à des obligations comptables, sociales ou fiscales) ou s’il a besoin de se constituer une preuve en cas de contentieux et dans la limite du délai de prescription/forclusion applicable, en matière de discrimination par exemple. La durée de l’archivage intermédiaire doit cependant répondre à une réelle nécessité, dûment justifiée par le responsable de traitement après une analyse préalable de différents facteurs, notamment le contexte, la nature des données traitées et le niveau de risque d’un éventuel contentieux.
55/ En cas de résiliation du mandat de gestion, le professionnel de l’immobilier, ancien mandataire, remet l’ensemble des informations relatives à la gestion locative au nouveau bailleur ou mandataire. Il peut garder copie de tout document nécessaire pour lui permettre de se prémunir d’un contentieux en archivage intermédiaire pendant une durée de cinq (5) ans. Il est cependant recommandé de les anonymiser lorsque cela est possible ou de les pseudonymiser afin de réduire autant que possible le caractère directement identifiant.
Pour en savoir plus, consulter la rubrique « Les durées de conservation des données » sur le site web de la CNIL.


8.2. La conservation de données anonymisées


56/ La réglementation relative à la protection des données à caractère personnel ne s’applique pas, notamment en ce qui concerne les durées de conservation, aux données anonymisées. Il s’agit des données qui ne peuvent plus, par quiconque, être mises en relation avec la personne physique identifiées auxquelles elles se rapportent.
57/ Ainsi, le responsable du traitement peut conserver sans limitation de durée les données anonymisées. Dans ce cas, l’organisme concerné doit garantir le caractère anonymisé des données de façon pérenne. Il est rappelé qu’en général, la simple suppression des nom et prénoms des personnes ne constitue qu’une pseudonymisation, inopérante à garantir les données contre le risque de réidentification.
58/ Pour en savoir plus, vous pouvez vous référer aux guides de la CNIL :


– « Sécurité : Archiver de manière sécurisée » ;
– « Limiter la conservation des données ».


Les données utilisées à des fins statistiques ne sont plus qualifiées de données à caractère personnel dès lors qu’elles auront ont été dûment anonymisées (pour en savoir plus, vous pouvez vous référer aux lignes directrices du CEPD sur l’anonymisation).


9. Information des personnes


59/ Un traitement de données à caractère personnel doit être mis en œuvre en toute transparence vis-à-vis des personnes concernées.


9.1. Contenu de l’information à délivrer


60/ L’information communiquée aux personnes concernées doit se faire dans les conditions prévues par les articles 12, 13 et 14 du RGPD.
61/ Dès le stade de la collecte des données personnelles, les personnes concernées doivent être informées de l’existence du traitement et de ses caractéristiques essentielles (parmi lesquelles l’identité du responsable du traitement et l’objectif poursuivi) ainsi que des droits dont elles disposent.
62/ Le contrat conclu entre le mandataire et le mandant peut préciser les modalités pratiques d’informations des personnes concernées, notamment si le propriétaire souhaite déléguer cette mission au mandataire. Des exemples de mentions d’information sont disponibles sur le site web de la CNIL et peuvent être consultés dans la rubrique « RGPD : exemples de mentions d’information ».


9.2. Les modalités de l’information
9.2.1. Information des candidats à la location et locataires


63/ Afin de respecter pleinement les principes de loyauté et de transparence et conformément à l’article 13 du RGPD, les personnes doivent être directement informées au moment où les données sont collectées.
64/ Afin que les informations devant être portées à la connaissance des candidats soient aisément accessibles, il est recommandé qu’une politique de confidentialité reprenant l’ensemble des mentions exigées à l’article 13 du RGPD soit jointe à la liste des pièces justificatives à fournir.
65/ Un lien renvoyant vers la politique de confidentialité peut également être inséré dans l’annonce de location, dans les courriels à destination des candidats ainsi que sur le formulaire de contact sur le site web de l’agence immobilière à l’attention des personnes intéressées par une annonce.


9.2.2. Information des garants


66/ Conformément à l’article 14 du RGPD, le responsable de traitement doit informer par tout moyen les personnes se portant garantes dans un délai raisonnable, ne pouvant pas dépasser un mois, à la suite de la réception du dossier de location.
67/ Le responsable de traitement peut par exemple, dès lors qu’il est en mesure de le démontrer, informer directement les garants par voie postale, ou fournir un document informatif au candidat, à la condition que ce dernier s’engage à le communiquer à ses garants.


10. Droits des personnes


68/ Les personnes concernées disposent des droits suivants, qu’ils exercent dans les conditions prévues par le RGPD (pour aller plus loin, voir la rubrique dédiée aux droits « respecter les droits des personnes » sur le site web de la CNIL) :


– droit d’accès à leur dossier, ainsi qu’à toutes les données les concernant de manière générale ;
– droit de rectification des données les concernant, si elles sont inexactes ;
– droit d’effacement des données qui les concernent sous réserve des conditions d’exercice de ce droit en application des dispositions de l’article 17 du RGPD ;
– droit à la limitation du traitement. Par exemple, lorsque la personne conteste l’exactitude de ses données, elle peut demander à l’organisme le gel temporaire du traitement de ses données, le temps que celui-ci procède aux vérifications nécessaires concernant sa demande ;
– droit à la portabilité dans les conditions prévues à l’article 20 du RGPD ;
– droit de s’opposer au traitement de leurs données, sous réserve des conditions d’exercice de ce droit en application des dispositions de l’article 21 du RGPD. Ainsi, le droit d’opposition ne trouve à s’appliquer que lorsque le traitement repose sur l’intérêt légitime poursuivi par le responsable de traitement ou un tiers (par exemple lorsque le responsable de traitement envoie des propositions de locations analogues au bien pour lequel la personne concernée a présenté un intérêt). Il ne trouvera en revanche pas à s’appliquer lorsque le traitement repose sur une obligation légale ou sur l’exécution du contrat.


69/ Il est à noter que le choix d’une base légale du traitement conditionne l’existence de certains droits (https://www.cnil.fr/fr/la-liceite-du-traitement-lessentiel-sur-les-bases-legales-prevues-par-le-rgpd).
Ainsi, la transmission de statistiques aux observatoires locaux des loyers répond à une obligation légale. Le locataire ne peut dès lors s’opposer par principe au traitement de ses données à caractère personnel, conformément aux dispositions de l’article 21 du RGPD.


11. Sécurité


70/ L’organisme doit prendre toutes les précautions utiles au regard des risques présentés par son traitement pour préserver la sécurité des données à caractère personnel et, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.
71/ En particulier, dans le contexte spécifique du présent référentiel, l’organisme est invité à adopter les mesures suivantes ou à pouvoir sinon justifier de la mise en place de mesures équivalentes ou de leur absence de nécessité ou de possibilité tenant à leur situation particulière :


Catégories

Mesures

Sensibiliser les utilisateurs

Informer et sensibiliser les personnes manipulant les données

Rédiger une charte informatique et lui donner une force contraignante

Authentifier les utilisateurs

Définir un identifiant (login) unique à chaque utilisateur

Adopter une politique de mots de passe utilisateur conforme aux recommandations de la CNIL

Obliger l’utilisateur à changer son mot de passe après réinitialisation

Limiter le nombre de tentatives d’accès à un compte

Assurer la confidentialité des données

Envoyer des courriels groupés à des destinataires en copie cachée

Ne pas faire apparaître des identifiants et des mots de passe en clair sur les courriers d’appels de charges

Détruire les documents « papier » de manière sécurisée, notamment en les déchiquetant avant de les jeter ou en ayant recours à des poubelles sécurisées

Gérer les habilitations

Définir des profils d’habilitation

Supprimer les permissions d’accès obsolètes

Réaliser une revue annuelle des habilitations

Tracer les accès et gérer les incidents

Prévoir un système de journalisation

Informer les utilisateurs de la mise en place du système de journalisation

Protéger les équipements de journalisation et les informations journalisées

Prévoir les procédures pour les notifications de violation de données à caractère personnel

Sécuriser les postes de travail

Prévoir une procédure de verrouillage automatique de session

Utiliser des antivirus régulièrement mis à jour

Installer un « pare-feu » (firewall) logiciel

Recueillir l’accord de l’utilisateur avant toute intervention sur son poste

Sécuriser l’informatique mobile

Prévoir des moyens de chiffrement des équipements mobiles

Faire des sauvegardes ou des synchronisations régulières des données

Exiger un secret pour le déverrouillage des ordiphones (smartphones)

Protéger le réseau informatique interne

Limiter les flux réseau au strict nécessaire

Sécuriser les accès distants des équipements informatiques nomades par VPN

Mettre en œuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi

Sécuriser les serveurs

Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées

Installer sans délai les mises à jour critiques

Assurer une disponibilité des données

Sécuriser les sites web

Utiliser le protocole TLS et vérifier sa mise en œuvre

Vérifier qu’aucun mot de passe ou identifiant n’est transmis dans les URL

Contrôler que les entrées des utilisateurs correspondent à ce qui est attendu

Recueillir le consentement des utilisateurs pour le dépôt des cookies qui ne sont pas strictement nécessaires à la fourniture du service

Sauvegarder et prévoir la continuité d’activité

Effectuer des sauvegardes régulières

Stocker les supports de sauvegarde dans un endroit sûr

Prévoir des moyens de sécurité pour le convoyage des sauvegardes

Prévoir et tester régulièrement la continuité d’activité

Archiver de manière sécurisée

Mettre en œuvre des modalités d’accès spécifiques aux données archivées

Détruire les archives obsolètes de manière sécurisée

Encadrer la maintenance et la destruction des données

Enregistrer les interventions de maintenance dans une main courante

Encadrer par un responsable de l’organisme les interventions par des tiers

Effacer les données de tout matériel avant sa mise au rebut

Gérer la sous-traitance

Prévoir une clause spécifique dans les contrats des sous-traitants

Prévoir les conditions de restitution et de destruction des données

S’assurer de l’effectivité des garanties prévues (audits de sécurité, visites, etc.)

Sécuriser les échanges

Chiffrer les données avant leur envoi

S’assurer qu’il s’agit du bon destinataire

Transmettre le secret lors d’un envoi distinct et via un canal différent

Prévoir un canal sécurisé pour le dépôt des dossiers des candidats à la location (par exemple : formulaire de dépôt via HTTPS sur le site web de l’organisme)

Protéger les locaux

Restreindre les accès aux locaux au moyen de portes verrouillées

Installer des alarmes anti-intrusion et les vérifier périodiquement

Encadrer les développements informatiques

Proposer des paramètres respectueux de la vie privée aux utilisateurs finaux

Tester sur des données fictives ou anonymisées

Utiliser des fonctions cryptographiques

Utiliser des algorithmes, des logiciels et des bibliothèques reconnues

Conserver les secrets et les clés cryptographiques de manière sécurisée


Pour ce faire, le responsable de traitement pourra utilement se référer au Guide de la sécurité des données personnelles.


12. Analyse d’impact relative à la protection des données (AIPD)


72/ En application des dispositions de l’article 35 du RGPD, le responsable de traitement pourrait avoir à réaliser une analyse d’impact dès lors que le traitement qu’il met en œuvre est susceptible de présenter un risque élevé pour les droits et les libertés des personnes concernées.
Il conviendra tout d’abord de se référer :


– à la liste des traitements pour lesquels une analyse d’impact n’est pas requise ; puis
– à la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise.


73/ Dans la mesure où le traitement mis en œuvre n’est pas présent sur l’une de ces listes, il est nécessaire de s’interroger sur la nécessité d’effectuer une AIPD.
74/ Pour ce faire, il convient de s’appuyer sur les critères établis par le Comité européen de la protection des données (CEPD) dans les lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD).
Conformément à ce texte, la réalisation d’une AIPD est obligatoire dès lors qu’au moins deux des neuf critères sont remplis :


– évaluation ou notation d’une personne ;
– prise de décision automatisée ;
surveillance systématique ;
– traitement de données sensibles ou à caractère hautement personnel ;
– traitement à grande échelle ;
– croisement ou combinaison d’ensembles de données ;
– données concernant des personnes vulnérables ;
– utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles ;
– traitements qui empêchent les personnes d’exercer un droit ou de bénéficier d’un service ou d’un contrat.


75/ Dans le cadre de la gestion locative, le responsable de traitement paraît en principe devoir réaliser une analyse d’impact dans la mesure où il remplit les critères relatifs :


– aux données sensibles ou à caractère hautement personnel (notamment les données financières) ;
– à la large échelle du fait d’un volume important de données et du nombre potentiellement élevé de personnes concernées ;
– à l’évaluation des candidats à la location ;
– aux éventuelles données relatives aux infractions, condamnations et mesures de sûreté.


Pour réaliser une étude d’impact, le responsable de traitement pourra :
– se reporter aux principes contenus dans ce référentiel ;
– se référer aux outils méthodologiques proposés par la CNIL sur son site web.
Si l’organisme en a désigné un, le DPD/DPO devra être consulté.


76/ Conformément à l’article 36 du RGPD, le responsable de traitement doit consulter la CNIL préalablement à la mise en œuvre du traitement si l’analyse d’impact indique qu’il ne parvient pas à identifier des mesures suffisantes pour réduire les risques à un niveau acceptable.

Haut
error: Content is protected !!