Délibération n° 2021-057 du 6 mai 2021 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de la gestion locative

La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), notamment son article 58 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 8-I.2°, b ;
Après avoir entendu le rapport de M. Philippe GOSSELIN, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Adopte un référentiel relatif aux traitements de données à caractère personnel mis en œuvre dans le cadre de la gestion locative et joint à la présente délibération.

La Présidente

Marie-Laure DENIS

RÉFÉRENTIEL
RELATIF AUX TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL MIS EN OEUVRE DANS LE CADRE DE LA GESTION LOCATIVE
Adopté le 6 mai 2021

[Vous pouvez consulter l'intégralité du texte avec ses images à partir de l'extrait du Journal officiel électronique authentifié.]

1. À qui s’adresse ce référentiel ?

1/ Ce référentiel s’adresse aux personnes physiques ou morales qui, à titre professionnel, mettent en location un local à usage d’habitation ou à usage mixte professionnel et d’habitation, et qui constitue la résidence principale du preneur au sens de la loi n° 89-462 du 6 juillet 1989 tendant à améliorer les rapports locatifs et portant modification de la loi n° 86-1290 du 23 décembre 1986.

2/ Il s’adresse notamment aux organismes louant pour leur compte des locaux d’habitation ainsi qu’aux professionnels de l’immobilier en tant que représentants du bailleur ou lorsqu’ils se livrent, ou prêtent leur concours, aux opérations portant sur les biens d'autrui.

3/ Il s’adresse également aux plateformes en ligne proposant des services relatifs à la gestion locative.

4/ Dans un contexte de mise en location d’un bien à usage d’habitation, les bailleurs personnes physiques et personnes morales, ci-après les organismes , sont amenés à mettre en œuvre des traitements automatisés en tout ou en partie ainsi que des traitements non automatisés de données à caractère personnel (fichiers papier ) en tant que responsable de traitement, ce qui les soumet au respect des règles relatives à la protection des données.

5/ Les organismes mettant en œuvre des traitements dans le cadre de la gestion locative doivent s’assurer de leur conformité :

• aux dispositions du Règlement général sur la protection des données (RGPD) ainsi qu’à celles de la loi du 6 janvier 1978 modifiée (loi Informatique et Libertés , ou LIL) ;
• à l’ensemble des autres règles éventuellement applicables, notamment le code de la construction de l’habitation ainsi que la loi n° 89-462 du 6 juillet 1989 tendant à améliorer les rapports locatifs et portant modification de la loi n° 86-1290 du 23 décembre 1986 qui a vocation à encadrer les relations locatives.

6/ Bien que le présent référentiel s’adresse uniquement aux personnes louant un ou des biens à titre professionnel, les particuliers, qui sont soumis à la réglementation relative à la protection des données à caractère personnel, peuvent en prendre connaissance ou se référer aux outils d’aide à la mise en conformité leur étant spécifiquement destinés.

7/ En raison de leurs particularités, le présent référentiel n’a pas vocation à s’appliquer aux traitements mis en œuvre par des organismes de droit public ou privé dans le cadre de la gestion d’un patrimoine immobilier à caractère social ainsi qu’aux traitements mis en œuvre dans le cadre de locations saisonnières.

2. Portée du référentiel

7/ Ce référentiel a pour objectif de fournir aux personnes mettant en œuvre des traitements relatifs à la gestion locative, un outil d’aide à la mise en conformité à la réglementation relative à la protection des données à caractère personnel.

8/ Ce référentiel n’a pas de valeur contraignante. Il permet en principe d’assurer la conformité des traitements de données mis en œuvre par les organismes aux principes relatifs à la protection des données, dans un contexte d’évolution des pratiques à l’ère numérique.

9/ De même, il peut être précisé que les organismes peuvent s’écarter d’un référentiel au regard des conditions particulières tenant à leur situation et qu’il peut alors leur être demandé de justifier de l’existence d’un tel besoin et des mesures mises en œuvre afin de garantir la conformité des traitements à la réglementation en matière de protection des données à caractère personnel.

10/ Si tout organisme doit se conformer aux principes relatifs à la protection des données, les mesures doivent être adaptées aux particularités du traitement. Par exemple, les traitements mis en œuvre par les organismes louant un bien en gestion directe peuvent être moins susceptibles d’engendrer un risque pour les droits et libertés des personnes concernées. Des mesures moins strictes que celles présentées dans le présent référentiel peuvent donc être parfois suffisantes.

11/ Le référentiel n’a pas pour objet d’interpréter les règles de droit autres que celles relatives à la protection des données à caractère personnel. Il appartient aux acteurs concernés de s’assurer qu’ils respectent les autres réglementations qui peuvent trouver à s’appliquer par ailleurs.

12/ Ce référentiel constitue également une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD), dans le cas où celle-ci est nécessaire.

13/ Pour réaliser une AIPD et se mettre en conformité, le responsable de traitement pourra enfin se reporter aux outils méthodologiques proposés par la CNIL sur son site web. Les organismes pourront ainsi définir les mesures permettant d’assurer la proportionnalité et la nécessité de leur traitements (points 3 à 7), de garantir les droits des personnes (points 8 et 9) et la maîtrise de leurs risques (point 10). L’organisme pourra également s’appuyer sur les lignes directrices de la CNIL sur les AIPD. Si l’organisme en a désigné un, le délégué à la protection des données (DPD/DPO) devra être consulté.

3. Précisions terminologiques

14/ Différents types de gestion ayant une influence sur la qualité de responsable de traitement doivent être distingués :

• la gestion dite déléguée ou totale : une personne physique ou morale mandate un professionnel pour gérer intégralement la location de son bien immobilier. Dans cette situation, le professionnel mandataire détermine les finalités et les moyens des traitements mis en œuvre dans le cadre de la location du bien et est considéré comme responsable de ces traitements.
• la gestion directe : une personne physique ou morale loue directement un local d’habitation sans intermédiaire. Elle est alors considérée comme responsable des traitements mis en œuvre dans ce cadre.
• la gestion dite semi-déléguée : une personne physique ou morale confie une partie de l’administration de son bien à un professionnel et conserve la maîtrise des autres tâches. En cas de gestion semi-déléguée, est considéré comme responsable de traitement :
  • le professionnel de l’immobilier pour l’ensemble des traitements mis en œuvre dans le cadre des missions que le propriétaire lui a déléguées ;
  • la personne physique ou morale, pour les traitements mis en œuvre dans le cadre des tâches qu’il a souhaité conserver.

15/ Divers acteurs sont par ailleurs susceptibles de prendre part aux traitements visés par le présent référentiel :

• le bailleur : une personne physique ou morale qui met un bien en location ;

• le candidat à la location : une personne faisant parvenir les pièces justificatives relatives à sa solvabilité après visite du bien ;

• le mandataire : une personne physique ou morale mandatée pour louer un bien pour le compte du bailleur;

• le sous-traitant : une personne physique ou morale qui traite des données à caractère personnel pour le compte et sous l’instruction et l’autorité d’une autre personne, responsable de traitement (par exemple, en cas d’externalisation de l’aspect financier de la gestion locative : appel des loyers, quittancement ou en cas d’externalisation de la rédaction du bail, etc.).

4. Objectif(s) poursuivi(s) par les traitements (finalités)

16/ Le traitement mis en œuvre doit répondre à un objectif précis et être justifié au regard des missions et des activités de l’organisme.

17/ Les traitements relatifs à la gestion locative permettent notamment :

• de proposer des biens à louer (notamment pour l’analyse des critères des bien recherchés par d’éventuels locataires et l’envoi d’offres analogues de location) ;
• de gérer la pré-contractualisation et la conclusion du contrat de bail (organisation des visites du logement ; appréciation de la solvabilité des candidats à la location, etc.) ;
• de gérer la vie du contrat (notamment le suivi du paiement des loyers, charges et dépôts de garantie ou encore la gestion de l’occupation du logement) ;
• de résilier le contrat de bail (notamment la fin de solidarité en cas de violences sur conjoint ou sur un enfant qui réside habituellement avec lui et en cas de réduction du préavis).

.

5. Base(s) légale(s) du traitement

19/Chaque finalité du traitement doit reposer sur l’une des bases légales fixées par la réglementation (article 6 du RGPD) (pour une explication de la règle, consulter la fiche du site Internet de la CNIL intitulée La licéité du traitement : l’essentiel sur les bases légales prévues par le RGPD ).

20/ Il appartient au responsable de traitement de déterminer ces bases légales avant toute opération de traitement, après avoir mené une réflexion, qu’il pourra documenter, au regard de sa situation spécifique et du contexte. Ayant un impact sur l’exercice de certains droits, ces bases légales font partie des informations devant être portées à la connaissance des personnes concernées.

21/ Afin d’aider les organismes dans cette analyse, le présent référentiel propose dans le tableau ci-dessous, à titre indicatif, un choix de base légale pour chaque finalité.

6. Données à caractère personnel concernées

6.1 Principes de pertinence et de minimisation des données

22/ En vertu du principe de minimisation des données, le responsable de traitement doit veiller à ce que seules les données nécessaires à la poursuite des finalités du traitement soient effectivement collectées et traitées. Sont en principe considérées comme pertinentes, pour des finalités rappelées ci-dessus, les données suivantes :

6.1.1 Au cours de la recherche d’un logement

23/ Au cours d’une recherche d’un logement, les personnes peuvent être amenées à fournir différentes données aux organismes, et plus particulièrement aux professionnels de l’immobilier. Les données traitées dans ce cadre sont relatives à :

• leur identification (nom, prénom);
• leurs coordonnées de contact (selon la préférence des personnes concernées : adresse électronique et/ou numéro de téléphone) ;
• leurs critères de recherche (localisation, loyer, surface, etc.).

24/ A ce stade, toujours dans un souci de minimisation des données, il n’apparaît pas pertinent de collecter des données relatives à la situation personnelle des personnes concernées (situation professionnelle ou financière de la personne concernée, par exemple).

6.1.2 Au stade de l’appréciation de la solvabilité des candidats à la location

25/ En matière d’appréciation de la solvabilité des candidats à la location, les données pouvant être collectées sont précisées dans le décret n° 2015-1437 du 5 novembre 2015 fixant la liste des pièces justificatives pouvant être demandées au candidat à la location et à sa caution. Il s’agit des données des candidats à la location et de leurs éventuels garants, relatives à :

• leur identification ;
• leurs coordonnées postales ;
• leur situation professionnelle et leurs ressources.

26/ En application de ce décret et conformément au principe de pertinence, aucune information supplémentaire telle que des documents bancaires (copie de relevé de compte bancaire ou postal, justificatifs de situation financière), une carte d’assuré social, un extrait de casier judiciaire, un dossier médical, un document attestant du versement ou du non-versement de pensions alimentaires, un contrat de mariage ou encore un certificat de concubinage n’est en principe considérée comme étant pertinente.

27/ Des documents supplémentaires peuvent cependant être demandés, notamment lorsque la location s’inscrit dans un dispositif visant à réserver des logements aux ménages modestes (par exemple : l’avis d’imposition ou de non-imposition établi au titre de l’avant-dernière année précédant celle de la signature du contrat de location dans le cadre du dispositif Pinel) sous réserve que les données permettent au bailleur de s’assurer que le locataire remplit les conditions du dispositif et que ces conditions soient précisées dans un texte législatif ou réglementaire d’un niveau au moins égal à un décret (par exemple, pour les dispositifs Pinel et Duflot, l’article 199 novovicies du code général des impôts prévoit que les plafonds annuels de ressources du locataire fixés par décret doivent être appréciées à la date de conclusion du bail ).

28/ Dans le cas où les candidats à la location transmettraient des pièces justificatives allant au-delà de ce que prévoit la réglementation, l’organisme devrait procéder à la suppression ou au renvoi des pièces superflues au candidat, afin d’être en conformité avec la réglementation.

29/ Le tableau reproduit ci-dessous recense les pièces justificatives qui peuvent être considérées comme pertinentes.

6.1.3 Pendant la durée de la location

30/ Une fois le locataire choisi, des données complémentaires sont en principe considérées comme pertinentes :

• ses coordonnées bancaires ;
• son adresse électronique sous réserve d’avoir obtenu son consentement ;
• son numéro d’allocataire à la Caisse d’allocations familiales (CAF) ou à la Mutualité sociale agricole (MSA) en cas de perception de l’allocation logement en tiers payant ;
• l’attestation d’assurance ;
• l’identité de l’époux, de l’épouse ou de la personne pacsée avec le locataire en titre en cas de demande la cotitularité, conformément à l’article 1751 du code civil.

6.1.4 A la demande d’une fin de solidarité

31/ Lorsque le conjoint du locataire, son partenaire lié par un pacte civil de solidarité ou son concubin notoire quitte le logement en raison de violences exercées au sein du couple ou sur un enfant qui réside habituellement avec lui, la victime des violences peut demander la fin de solidarité, conformément àl’article 8-2 de la loi n° 89-462 du 6 juillet 1989. Les données suivantes sont dès lors considérées comment pertinentes :

• la copie de l'ordonnance de protection délivrée par le juge aux affaires familiales dont il bénéficie et préalablement notifiée à l'autre membre du couple ;
• la copie d'une décision de condamnation pénale pour des faits de violences commis à son encontre ou sur un enfant qui réside habituellement avec lui et rendue depuis moins de six mois.

6.1.5 A la résiliation et à l’expiration du bail

32/ Lorsque le locataire résilie le contrat, l’organisme traite les informations relatives au préavis et à l’état des lieux de sortie du logement.

33/ Si le locataire souhaite bénéficier d’un délai réduit de préavis, l’organisme peut consulter, conformément à l’article 15 de la loi n° 89-462 du 6 juillet 1989 tendant à améliorer les rapports locatifs, des données justifiant :

• d’un éventuel changement professionnel ;
• de l’attribution d’un logement défini à l’article L. 831-1 du code de la construction et de l’habitat ;
• de l’état de santé nécessitant un changement de domicile ;
• de la perception du revenu de solidarité active ou de l'allocation adulte handicapé.

Pour un logement situé en zone tendue, aucune donnée supplémentaire ne peut être traitée dans le cadre de la réduction du préavis.

6.2 Le traitement de données sensibles et de données relatives aux condamnations pénales et aux infractions

34/ Deux catégories de données appellent une vigilance renforcée en raison de leur caractère particulièrement sensible. Bénéficiant d’une protection particulière, elles ne peuvent être collectées et traitées que dans des conditions strictement définies par les textes. Il s’agit :

• des données sensibles, c’est-à-dire celles qui révèlent l'origine ethnique ou prétendument raciale, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d’une personne, les données génétiques, les données biométriques, les données concernant la santé ou celles concernant la vie sexuelle ou l'orientation sexuelle d'une personne. Ces données ne peuvent être collectées, sauf exceptions prévues par les textes ;
• des données relatives aux infractions, condamnations pénales et mesures de sûreté connexes qui ne peuvent être traitées que dans certains cas, dans le respect des dispositions légales relatives aux données d’infraction.

35/ Dans le cadre du traitement relatif à la réduction du préavis, des données relatives à la santé (certificats médicaux) peuvent être traitées. Malgré un principe général d’interdiction, peut être considéré comme conforme le traitement de ces données conformément à :

• l’article 9-2-a) du RGPD lorsque le locataire demande une réduction du préavis au titre de la perception de l’allocation aux adultes handicapés (AAH) conformément à l’article 15 de la loi n° 89-462 du 6 juillet 1989 ;
• l’article 9-2-g) du RGPD lorsque l’état de santé du locataire nécessite un changement de domicile, le traitement étant nécessaire pour des motifs d’intérêt public important sur la base du droit national (à savoir l’article 15 de la loi n° 89-462 du 6 juillet 1989 tendant à améliorer les rapports locatifs et portant modification de la loi n° 86-1290 du 23 décembre 1986).

36/ De même, les données traitées dans le cadre de la fin de solidarité en raison de violence peuvent également comprendre des données relatives aux infractions, condamnations et mesures de sûreté concernant des personnes physiques (copie de l'ordonnance de protection délivrée par le juge aux affaires familiales ou copie d'une condamnation pénale pour des faits de violences rendue depuis moins de six mois). De telles données ne peuvent être collectées et traitées que dans des cas strictement prévus par les textes, et notamment lorsqu’une loi l’autorise expressément. Dans le cadre d’une demande de fin de solidarité en raison de violences exercées au sein du couple ou sur un enfant, le traitement des données relatives aux condamnations est effectivement autorisé par les dispositions de l’article 8-2 de la loi n°89-462 du 6 juillet 1989 tendant à améliorer les rapports locatifs et portant modification de la loi n°86-1290 du 23 décembre 1986.

7. Destinataires et accès aux informations

37/ Les données à caractère personnel doivent uniquement être rendues accessibles aux personnes habilitées à en connaitre au regard de leurs attributions.

38/ Les habilitations d’accès doivent être documentées par les organismes, et les accès aux différents traitements doivent faire l’objet de mesures de traçabilité. Voir point 9 relatif à la sécurité.

39/ Le responsable de traitement qui souhaite avoir recours à un sous-traitant doit veiller à ne faire appel qu’à des organismes présentant des garanties suffisantes. Un contrat définissant les caractéristiques du traitement ainsi que les différentes obligations des parties en matière de protection des données doit être établi entre elles (article 28 du RGPD). Un guide du sous-traitant, édité par la CNIL, précise ces obligations et les clauses à intégrer dans les contrats.

7.1. Les personnes accédant aux données pour le compte du responsable de traitement

40/ Seules les personnes habilitées au titre de leurs missions ou de leurs fonctions peuvent accéder aux données à caractère personnel traitées, et ce dans la stricte limite de leurs attributions respectives et de l’accomplissement de ces missions et fonctions.

41/ Par exemple, si les personnes en charge de la gestion locative au sein de l’organisme peuvent être habilitées à accéder aux données, tel n’est pas le cas pour les personnes en charge de la prospection commerciale.

7.2. Les destinataires des données

42/ Le RGPD définit les destinataires comme tout organisme qui reçoit la communication des données .

43/ Dans le cadre de ces traitements, les professionnels de l’immobilier, lorsqu’ils se livrent ou prêtent leur concours aux opérations portant sur les biens d’autrui, peuvent être amenés à communiquer certaines données aux propriétaires.

44/ En effet, conformément au code de déontologie des professionnels de l’immobilier et aux dispositions de la loi n° 70-9 du 2 janvier 1970 et du décret n° 72-678 du 20 juillet 1972, le responsable de traitement, lorsqu’il se livre ou prête son concours aux opérations portant sur les biens d'autrui, rend régulièrement compte au propriétaire du logement de l’exécution de ses missions.

45/ Dans le cadre d’une gestion déléguée ou totale, la communication au propriétaire des seules informations nécessaires à la vérification de la bonne gestion du bien (paiement effectif des loyers, entretien du logement, etc.) est en principe considérée comme conforme.

46/ Si le mandat prévoit une gestion semi-déléguée, est en principe considérée comme conforme la communication :

• des informations nécessaires à la réalisation des missions incombant au propriétaire, conformément à la répartition des rôles prévue dans le mandat de gestion ;
• des seules informations permettant au professionnel de rendre compte de la bonne exécution de ses missions au propriétaire.

47/ Par exemple, si le mandat de gestion semi-déléguée prévoit que le choix du locataire revient au professionnel de l’immobilier, le propriétaire ne devrait en principe pas obtenir la communication de l’ensemble des dossiers des candidats à la location. S’il le souhaite, il peut cependant obtenir la communication des dossiers des candidats ayant été présélectionnés par son mandataire afin d’effectuer le choix final.

48/ Des données peuvent également être transmises :

• aux assureurs pour la garantie des loyers impayés ;
• à l’administration fiscale, notamment pour documenter le respect des plafonds de ressources des locataires dans le cadre des investissements locatifs intermédiaires ;
• au nouveau gestionnaire si le propriétaire décide d’en changer ;
• à la cellule TRACFIN, conformément aux dispositions de l’article L. 561-2 du code monétaire et financier (les professionnels de l’immobilier sont assujettis au dispositif de lutte contre le blanchiment d’argent et le financement du terrorisme) ;
• aux représentants des associations de locataires si une disposition légale le prévoit ou si les personnes concernées ont consenti à une telle transmission.

D’autres personnes ou organismes pourraient être susceptibles de recevoir communication des données, sous réserve que cette communication soit conforme au principe de finalité déterminée, explicite et légitime et que la personne concernée soit en mesure de s’y opposer (syndic, entreprise devant effectuer des travaux, etc.).

7.3. Transferts de données en dehors de l’UE

49/ Pour assurer la continuité de la protection des données à caractère personnel, leur transfert en dehors de l’Union européenne est soumis à des règles particulières. Ainsi, conformément aux dispositions des articles 44 et suivants du RGPD, toute transmission de données hors de l’UE doit :

• être fondée sur une décision d'adéquation ;
• ou être encadrée par des règles internes d'entreprise ( BCR ), des clauses types de protection des données, un code de conduite ou un mécanisme de certification approuvé par la CNIL ;
• ou être encadrée par des clauses contractuelles ad hoc préalablement autorisées par la CNIL ;
• ou répondre à une des dérogations prévues à l'article 49 du RGPD.

Pour en savoir plus, consulter la rubrique Transférer des données hors de l’UE sur le site web de la CNIL.

8. Durées de conservation

50/ Une durée de conservation précise des données doit être fixée en fonction de chaque finalité : ces données ne peuvent être conservées pour une durée indéfinie.

51/ La durée de conservation de données ou, lorsqu’elle est variable, les critères utilisés pour déterminer cette durée, font partie des informations qui doivent être communiquées aux personnes concernées.

52/ Dans ces conditions, il incombe au responsable du traitement de déterminer cette durée ou ces critères en amont de la réalisation du traitement.

8.1 Les durées de conservation

53/ Au regard des finalités justifiant la mise en œuvre de traitements relatifs à la gestion locative, et sauf disposition légale ou réglementaire contraire, les exemples suivants de durées de conservation pourront être retenus par les organismes concernés :

• pour les données collectées préalablement à une candidature à la location traitées à des fins de prospection (données d’identification, coordonnées, critères de recherche), est considérée comme adéquate une durée de conservation de trois (3) ans à compter du dernier contact des personnes concernées avec l’organisme ;
• pour les données collectées au stade de l’appréciation de la solvabilité des candidats à la location, la durée de conservations de trois (3) mois en base active est en principe adéquate ;

• pour les données relatives au candidat à la location retenu : la durée contractuelle et jusqu’à la clôture des comptes du locataire en base active est en principe adéquate est en principe adéquate, puis en archivage intermédiaire pendant une durée ne pouvant en principe excéder :

• trois (3) ans en cas de gestion directe (délai de prescription en matière de baux) ;
• cinq (5) ans en cas de gestion déléguée ou semi-déléguée (délai de prescription en matière civile).

• pour les données du locataire collectées depuis la conclusiondu bail jusqu’à sa résiliation :la durée contractuelle jusqu’à la clôture des comptes du locataire est en principe une durée de conservation en base active adéquate. A l’issue de cette période, les données peuvent être archivées, en archivage intermédiaire. Les durées d’archivages intermédiaires considérées comme adéquates sont en principe les suivantes :
  • le temps de la prescription en matière de contrat de bail, à savoir trois (3) ans dans le cadre d’une gestion directe ou semi-déléguée (selon la répartition des tâches entre le mandataire et le mandant) ;
  • le temps de la prescription civile, à savoir cinq (5) ans dans le cadre d’une gestion déléguée ou semi-déléguée (selon la répartition des tâches entre le mandataire et le mandant).

• les données collectéesdans le cadre de la résiliationdu contrat justifiant la fin de solidarité ou la réduction du préavis ne peuvent par principe pas faire l’objet d’une conservation par le propriétaire, sauf à justifier d’un besoin particulier. Elles peuvent en revanche être conservée jusqu’à la validation par le propriétaire de la réduction du préavis ou de la fin de solidarité en cas de gestion indirecte, sous réserve de mettre en œuvre des mesures fortes permettant d’en assurer la sécurité et la confidentialité.

54/ Les données peuvent être conservées plus longtemps que les durées mentionnées ci-dessus, en archivage intermédiaire, si le responsable du traitement en a l’obligation légale (par exemple, pour répondre à des obligations comptables, sociales ou fiscales) ou s’il a besoin de se constituer une preuve en cas de contentieux et dans la limite du délai de prescription/forclusion applicable, en matière de discrimination par exemple. La durée de l’archivage intermédiaire doit cependant répondre à une réelle nécessité, dûment justifiée par le responsable de traitement après une analyse préalable de différents facteurs, notamment le contexte, la nature des données traitées et le niveau de risque d’un éventuel contentieux.

55/ En cas de résiliation du mandat de gestion, le professionnel de l'immobilier, ancien mandataire, remet l'ensemble des informations relatives à la gestion locative au nouveau bailleur ou mandataire. Il peut garder copie de tout document nécessaire pour lui permettre de se prémunir d'un contentieux en archivage intermédiaire pendant une durée de cinq (5) ans. Il est cependant recommandé de les anonymiser lorsque cela est possible ou de les pseudonymiser afin de réduire autant que possible le caractère directement identifiant.

Pour en savoir plus, consulter la rubrique Les durées de conservation des données sur le site web de la CNIL.

8.2 La conservation de données anonymisées

56/ La réglementation relative à la protection des données à caractère personnel ne s’applique pas, notamment en ce qui concerne les durées de conservation, aux données anonymisées. Il s’agit des données qui ne peuvent plus, par quiconque, être mises en relation avec la personne physique identifiées auxquelles elles se rapportent.

57/ Ainsi, le responsable du traitement peut conserver sans limitation de durée les données anonymisées. Dans ce cas, l’organisme concerné doit garantir le caractère anonymisé des données de façon pérenne. Il est rappelé qu’en général, la simple suppression des nom et prénoms des personnes ne constitue qu’une pseudonymisation, inopérante à garantir les données contre le risque de réidentification.

58/ Pour en savoir plus, vous pouvez vous référer aux guides de la CNIL :

• Sécurité : Archiver de manière sécurisée ;
• Limiter la conservation des données .

.

9. Information des personnes

59/ Un traitement de données à caractère personnel doit être mis en œuvre en toute transparence vis-à-vis des personnes concernées.

9.1 Contenu de l’information à délivrer

60/ L’information communiquée aux personnes concernées doit se faire dans les conditions prévues par les articles 12, 13 et 14 du RGPD.

61/ Dès le stade de la collecte des données personnelles, les personnes concernées doivent être informées de l’existence du traitement et de ses caractéristiques essentielles (parmi lesquellesl’identité du responsable du traitement et l’objectif poursuivi) ainsi que des droits dont elles disposent.

62/ Le contrat conclu entre le mandataire et le mandant peut préciser les modalités pratiques d’informations des personnes concernées, notamment si le propriétaire souhaite déléguer cette mission au mandataire. Des exemples de mentions d’information sont disponibles sur le site web de la CNIL et peuvent être consultés dans la rubrique RGPD : exemples de mentions d'information .

9.2 Les modalités de l’information

9.2.1 Information des candidats à la location et locataires

63/ Afin de respecter pleinement les principes de loyauté et de transparence et conformément à l’article 13 du RGPD, les personnes doivent être directement informées au moment où les données sont collectées.

64/ Afin que les informations devant être portées à la connaissance des candidats soient aisément accessibles, il est recommandé qu’une politique de confidentialité reprenant l’ensemble des mentions exigées à l’article 13 du RGPD soit jointe à la liste des pièces justificatives à fournir.

65/ Un lien renvoyant vers la politique de confidentialité peut également être inséré dans l’annonce de location, dans les courriels à destination des candidats ainsi que sur le formulaire de contact sur le site web de l’agence immobilière à l’attention des personnes intéressées par une annonce.

9.2.2 Information des garants

66/ Conformément à l’article 14 du RGPD, le responsable de traitement doit informer par tout moyen les personnes se portant garantes dans un délai raisonnable, ne pouvant pas dépasser un mois, à la suite de la réception du dossier de location.

67/ Le responsable de traitement peut par exemple, dès lors qu’il est en mesure de le démontrer, informer directement les garants par voie postale, ou fournir un document informatif au candidat, à la condition que ce dernier s’engage à le communiquer à ses garants.

10. Droits des personnes

68/ Les personnes concernées disposent des droits suivants, qu’ils exercent dans les conditions prévues par le RGPD (pour aller plus loin, voir la rubrique dédiée aux droitsrespecter les droits des personnes sur le site web de la CNIL) :

• droit d’accès à leur dossier, ainsi qu’à toutes les données les concernant de manière générale ;
• droit de rectification des données les concernant, si elles sont inexactes ;
• droit d’effacement des données qui les concernent sous réserve des conditions d’exercice de ce droit en application des dispositions de l’article 17 du RGPD ;
• droit à la limitation du traitement. Par exemple, lorsque la personne conteste l’exactitude de ses données, elle peut demander à l’organisme le gel temporaire du traitement de ses données, le temps que celui-ci procède aux vérifications nécessaires concernant sa demande ;
• droit à la portabilité dans les conditions prévues à l’article 20 du RGPD ;
• droit de s’opposer au traitement de leurs données, sous réserve des conditions d’exercice de ce droit en application des dispositions de l’article 21 du RGPD. Ainsi, le droit d’opposition ne trouve à s’appliquer que lorsque le traitement repose sur l’intérêt légitime poursuivi par le responsable de traitement ou un tiers (par exemple lorsque le responsable de traitement envoie des propositions de locations analogues au bien pour lequel la personne concernée a présenté un intérêt). Il ne trouvera en revanche pas à s’appliquer lorsque le traitement repose sur une obligation légale ou sur l’exécution du contrat.

69/ Il est à noter que le choix d’une base légale du traitement conditionne l’existence de certains droits (https://www.cnil.fr/fr/la-liceite-du-traitement-lessentiel-sur-les-bases-legales-prevues-par-le-rgpd). Ainsi, la transmission de statistiques aux observatoires locaux des loyers répond à une obligation légale. Le locataire ne peut dès lors s’opposer par principe au traitement de ses données à caractère personnel, conformément aux dispositions de l’article 21 du RGPD.

11. Sécurité

70/ L’organisme doit prendre toutes les précautions utiles au regard des risques présentés par son traitement pour préserver la sécurité des données à caractère personnel et, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.

71/ En particulier, dans le contexte spécifique du présent référentiel, l’organisme est invité à adopter les mesures suivantes ou à pouvoir sinon justifier de la mise en place de mesures équivalentes ou de leur absence de nécessité ou de possibilité tenant à leur situation particulière :

Pour ce faire, le responsable de traitement pourra utilement se référer au Guide de la sécurité des données personnelles.

12. Analyse d’impact relative à la protection des données (AIPD)

72/ En application des dispositions de l’article 35 du RGPD, le responsable de traitement pourrait avoir à réaliser une analyse d’impact dès lors que le traitement qu’il met en œuvre est susceptible de présenter un risque élevé pour les droits et les libertés des personnes concernées.

Il conviendra tout d’abord de se référer:

• à la liste des traitements pour lesquels une analyse d’impact n’est pas requise; puis
• à la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise.

73/ Dans la mesure où le traitement mis en œuvre n’est pas présent sur l’une de ces listes, il est nécessaire de s’interroger sur la nécessité d’effectuer une AIPD.

74/ Pour ce faire, il convient de s’appuyer sur les critères établis par le Comité européen de la protection des données (CEPD) dans les lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD).

Conformément à ce texte, la réalisation d’une AIPD est obligatoire dès lors qu’au moins deux des neuf critères sont remplis :

• évaluation ou notation d’une personne ;
• prise de décision automatisée ;
• surveillance systématique ;
• traitement de données sensibles ou à caractère hautement personnel ;
• traitement à grande échelle ;
• croisement ou combinaison d’ensembles de données ;
• données concernant des personnes vulnérables ;
• utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles ;
• traitements qui empêchent les personnes d’exercer un droit ou de bénéficier d’un service ou d’un contrat.

75/ Dans le cadre de la gestion locative, le responsable de traitement paraît en principe devoir réaliser une analyse d’impact dans la mesure où il remplit les critères relatifs :

• aux données sensibles ou à caractère hautement personnel (notamment les données financières) ;
• à la large échelle du fait d’un volume important de données et du nombre potentiellement élevé de personnes concernées ;
• à l’évaluation des candidats à la location ;
• aux éventuelles données relatives aux infractions, condamnations et mesures de sûreté.

.

76/ Conformément à l’article 36 du RGPD, le responsable de traitement doit consulter la CNIL préalablement à la mise en œuvre du traitement si l’analyse d’impact indique qu’il ne parvient pas à identifier des mesures suffisantes pour réduire les risques à un niveau acceptable.