Gestion locative et RGPD : la CNIL publie son référentiel

Par Gérard Haas, Anne Charlotte Andrieux et Théo Renaudie

La CNIL vient de publier le nouveau référentiel destiné à la mise en œuvre du Règlement général pour la protection des données concernant la gestion locative. Les agents immobiliers mais également les bailleurs professionnels et les plateformes en ligne sont concernés. En voici un résumé.

La CNIL a publié son référentiel adopté le 6 mai 2021 relatif aux « Traitements de données à caractère personnel mis en œuvre dans le cadre de la gestion locative ».

La Commission en précise le champ, il s’agit ici de s’adresser aux bailleurs professionnels, aux agences de gestion locative ainsi qu’aux agents immobiliers assurant les opérations d’entrée et de sortie des locations pour le compte du bailleur. Précision bienvenue, ce référentiel s’adresse également aux plateformes en ligne proposant des services relatifs à la gestion locative.

Autrement précisé, ce référentiel ne s’adresse pas aux bailleurs sociaux ni aux locations saisonnières qui répondent à des particularités non détaillées ici.

Bien que ce référentiel n’ait pas de valeur contraignante, dans la mesure où il vient de la CNIL qui est également l’institution qui contrôle le respect du RGPD, on ne saurait que trop conseiller aux acteurs concernés de s’y conformer au maximum. La CNIL précise d’ailleurs que ce référentiel est une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD).

Qui sont les acteurs du traitement ?

Selon l’organisation retenue pour la gestion locative, il est parfois difficile pour les acteurs de déterminer s’ils sont responsables de traitement ou sous-traitants.

La CNIL apporte des précisions selon le type de gestion :

• En cas de gestion déléguée ou totale, c’est-à-dire quand le bailleur confie la gestion intégrale de son bien au gestionnaire (une agence de gestion locative ou une plateforme en ligne): en tant qu’il détermine les finalités et les moyens des traitements mis en œuvre, c’est le gestionnaire qui sera considéré comme responsable de traitement.
• En cas de gestion directe, c’est-à-dire que le bailleur loue directement sans faire appel à aucun intermédiaire, à ce moment-là il est le responsable de traitement.
• En cas de gestion semi-déléguée, c’est-à-dire que le bailleur n’a confié qu’une partie de la gestion au gestionnaire : par exemple lorsque le gestionnaire se contente de réaliser la recherche du locataire, son entrée et sa sortie des lieux mais qu’il ne s’occupe pas de l’appel des loyers, de gérer la relation avec le locataire pendant le reste du bail, dans ce cas-là la qualité de responsable de traitement est distribuée conformément au partage des missions réalisé au mandat de gestion:
  • Le bailleur reste responsable de traitement pour les tâches qu’il n’a pas déléguées,
  • Le gestionnaire est responsable de traitement pour toutes les tâches déléguées.

Dans le cas où le gestionnaire fait appel à un prestataire pour réaliser certaines tâches tel l’appel des loyers, le quittancement ou la rédaction du bail : ce prestataire sera un sous-traitant aux termes du RGPD avec toutes les obligations qui en découlent (contractualisation de la sous-traitance, sécurité, confidentialité, etc.).

Les finalités de la gestion locative à l'ère du RGPD

Le RGPD impose au responsable de traitement qu’il formalise et justifie les objectifs poursuivis par ses traitements. Il ne s’agit pas de collecter des informations « au cas où », mais d’être à même d’expliciter en amont et d’informer les personnes concernées des finalités du traitement.

A ce titre, la CNIL entrevoit quatre finalités de la gestion locative :

1. Proposer des biens à louer, notamment pour l’analyse des critères du logement recherché par les locataires et leur proposer des offres similaires à celles qui les ont intéressées, ce qui nécessite au moins la collecte de coordonnées
2. Gérer la pré-contractualisation et la conclusion du contrat de bail notamment par l’organisation de visite mais surtout, et c’est le gros des traitements, pour l’analyse de la solvabilité des locataires qui nécessite la collecte de nombreux documents riches de données personnelles,
3. Gérer la vie du contrat, c’est-à-dire le suivi du paiement des loyers, les charges et dépôts de garantie, ou encore la gestion du logement,
4. Résilier le contrat de bail notamment la fin de la solidarité entre bailleurs ou en cas de réduction du préavis qui nécessite la collecte de documents justificatifs.

La CNIL en profite pour rappeler le principe : il n’est possible de collecter des données que dans le cadre d’une finalité précise exposée, et les données collectées pour une finalité ne peuvent être réutilisées pour une autre finalité incompatible sans l’accomplissement des formalités imposées par le RGPD (information, consentement, etc.).

Les bases légales correspondant à chacun de ces finalités ont été précisées sous forme de tableau par la CNIL.

Quelles données peuvent être collectées et pour quelle durée ?

La CNIL rappelle que le principe de minimisation des données impose que seules soient collectées et traitées les données nécessaires à la poursuite des finalités.

Dans son référentiel, la CNIL expose ainsi les données considérées comme pertinentes pour les finalités de la gestion locative.

Attention : dans le cas où une personne fournirait trop d’informations ou des documents supplémentaires non pertinents : le responsable de traitement doit en assurer la suppression et/ou rendre les documents à la personne concernée afin de rester en conformité à la réglementation.

Au stade de la « proposition de biens à louer »

À ce stade, les données sont traitées à des fins de prospection, la CNIL considère que la durée de conservation adéquate est de trois (3) ans à compter du dernier contact des personnes avec le gestionnaire.

Au stade de la « pré-contractualisation », pour l’appréciation de la solvabilité des candidats à la location

À ce stade, les données sont traitées le temps d’apprécier la solvabilité du candidat, la CNIL considère que la durée de conservation adéquate est de trois (3) mois pour les candidats non retenus.

Concernant le candidat retenu, les données peuvent être conservées pendant :

• Toute la durée contractuelle plus (+) trois (3) ans d’archivage en cas de gestion directe (cela correspond au délai de prescription en matière de baux dans le cadre de la relation entre le bailleur, gestionnaire direct, et son locataire)
• Ou durée contractuelle plus (+) cinq (5) ans d’archivage en cas de gestion déléguée ou semi-déléguée (délai de prescription en matière civile relative à la relation entre le gestionnaire et le bailleur).

Les annexes au décret n° 2015-1437 du 5 novembre 2015 listent précisément les pièces justificatives qui peuvent être demandées aux candidats à la location et à leurs éventuels garants.

Pendant la durée de la location, au stade de la « vie du contrat »

Une fois le locataire choisi, des données complémentaires liées à la relation financière avec le locataire deviennent pertinentes.

Elles sont soumises aux mêmes durées de conservation :

• toute la durée contractuelle plus (+) trois (3) ans d’archivage en cas de gestion directe (cela correspond au délai de prescription en matière de baux dans le cadre de la relation entre le bailleur, gestionnaire direct, et son locataire)
• ou durée contractuelle plus (+) cinq (5) ans d’archivage en cas de gestion déléguée ou semi-déléguée (délai de prescription en matière civile relative à la relation entre le gestionnaire et le bailleur).

Au stade de la « fin du contrat » : résiliation ou fin de la solidarité

Les données n’étant ici nécessaires et recueillies que pour permettre de libérer le locataire, il n’y a normalement aucune conservation nécessaire sauf le temps nécessaire à la validation par le propriétaire/bailleur en cas de gestion déléguée ou semi-déléguée.

* * *

Le Cabinet HAAS Avocats est fort d’une expertise de plus de 20 ans en droit des nouvelles technologies.

Nous accompagnons tous les professionnels dans leur démarche de conformité au RGPD.

Que ce soit en appui du DPO ou en qualité de DPO externalisé le Cabinet Haas réalise tout type de mission en lien avec la protection des données personnelles au sein de deux départements spécialisés sur ces questions : le département Protection des données et le département cyber sécurité. Contactez-nous ici.