Nancy · 03 72 61 04 67 WhatsApp
Cybersécurité

RGPD agence immobilière : êtes-vous prêt pour un contrôle CNIL ?

·Par Sébastien Rattanatay
Agence immobilière auditant ses pratiques RGPD pour se préparer à un contrôle CNIL

Lundi matin, 9h. Vous arrivez à l’agence. Sur votre messagerie, un courrier officiel : la CNIL annonce un contrôle dans 15 jours. Elle veut voir votre registre, vos durées de conservation, et un échantillon de dossiers locataires.

Vous savez ce que ça déclenche. Tout le monde court vérifier où sont rangés les avis d’imposition, qui a accès au CRM, depuis quand on stocke les anciens dossiers refusés.

Ce scénario n’est pas hypothétique. Depuis 2018, la CNIL a inscrit l’immobilier dans son programme de contrôles prioritaires, et la liste des sanctions s’allonge chaque année. Une agence de taille moyenne manipule plus de données sensibles qu’un cabinet d’avocats : pièces d’identité, RIB, bulletins de salaire, avis d’imposition, parfois des informations bancaires. Le tout dans un CRM, des mails, des dossiers partagés, parfois sur les téléphones perso des négociateurs.

Cet article fait le tri. Ce qui relève du juridique. Ce qui relève du technique. Et ce qu’on peut auditer dans votre agence avant qu’un agent de la CNIL ne le fasse à votre place. Si vous voulez voir comment on accompagne les agences immobilières du Grand Est sur la partie technique, notre approche pour les agences immobilières résume tout en une page.

Pourquoi la CNIL cible les agences immobilières en priorité

Un secteur dans le viseur depuis 2018

L’immobilier n’est pas un secteur secondaire pour la CNIL. Et c’est documenté. Dès 2018, l’autorité a inscrit dans son programme annuel les pièces justificatives demandées par les agences. En 2021, elle a publié un référentiel dédié à la gestion locative qui pose noir sur blanc ce qu’une agence peut faire et ce qu’elle doit interdire à ses équipes.

La logique est simple. Une agence brasse exactement les données dont rêvent les fraudeurs : pièces d’identité complètes, RIB, justificatifs de revenus, parfois compositions familiales. Une fuite, et c’est un kit d’usurpation d’identité prêt à l’emploi qui circule sur le dark web. Le même outillage technique sert à neutraliser les fraudes au faux RIB qui ciblent l’immobilier.

Sergic, l’affaire qui a coûté 400 000 € pour un dossier locataire mal protégé

L’exemple à connaître, c’est Sergic. En 2019, la société a été condamnée à 400 000 € d’amende. Le motif : un défaut de sécurité du site qui permettait à n’importe qui de télécharger les pièces justificatives transmises par les candidats locataires. Pas un piratage sophistiqué, juste une URL devinable.

400 000 €, c’est environ 10 ans de marge brute pour une agence de 10 personnes. Mais le coût visible n’est qu’une partie du problème. La presse en a parlé pendant des semaines, et les bailleurs ont commencé à se poser des questions sur le sérieux de l’enseigne.

Quelles données sensibles votre agence manipule sans toujours s’en rendre compte

Pièces d’identité, RIB, avis d’imposition : la face visible

Liste type d’un dossier locataire en 2026 :

  • Carte d’identité ou passeport (recto-verso)
  • 3 derniers bulletins de salaire ou avis d’imposition
  • Justificatif de domicile
  • Contrat de travail
  • Attestation employeur
  • RIB

Multipliez par le nombre de candidatures reçues sur un seul bien : 10, 20, parfois 50 dossiers complets pour une location prisée. Sur l’année, votre agence stocke quelques milliers de dossiers complets. Et personne n’a mesuré combien circulent encore par mail, dans des dossiers partagés ou sur des téléphones d’agents.

L’angle mort : les dossiers locataires refusés

C’est la zone que tout le monde oublie. Quand un candidat est refusé, ses pièces ne disparaissent pas. Elles restent dans le CRM, dans les mails, parfois imprimées dans un dossier physique au-dessus de l’imprimante.

Le référentiel CNIL est clair : un dossier de candidature non retenu doit être supprimé sous 3 mois maximum, sauf consentement explicite du candidat pour conservation. Concrètement, combien d’agences le font vraiment ? Très peu. Et c’est l’un des premiers angles morts qu’un agent CNIL va contrôler.

Quels documents une agence immobilière n’a-t-elle pas le droit de demander ?

Le décret n° 2015-1437 fixe une liste limitative. Tout ce qui n’y figure pas est interdit. Sont notamment proscrits : la carte Vitale, les relevés de compte bancaire, le contrat de mariage, l’extrait de casier judiciaire, le dossier médical. Demander une pièce non autorisée expose l’agence à une amende jusqu’à 15 000 € en tant que personne morale, en plus d’une éventuelle sanction RGPD.

Qui fait quoi en RGPD entre le juridique et le technique de votre agence

C’est ici que la majorité des dirigeants se perdent. Le RGPD recouvre deux familles d’obligations très différentes, et croire qu’un seul prestataire peut tout couvrir est un piège.

Le volet juridique (votre rôle, ou celui d’un avocat / DPO)

Ce que personne d’autre que vous ne peut faire :

  • Tenir le registre des traitements
  • Définir les durées de conservation propres à votre activité
  • Rédiger les mentions d’information sur les formulaires et le site
  • Recueillir le consentement quand il est requis (newsletter, prospection)
  • Gérer les demandes d’exercice des droits des candidats et clients
  • Désigner un DPO si nécessaire et signer les contrats de sous-traitance (DPA)

Cette partie ne s’externalise pas à un MSP. Elle s’externalise à un avocat spécialisé ou à un DPO mutualisé via la FNAIM ou un cabinet de conseil RGPD.

Le volet technique (le rôle d’un partenaire IT)

Ce que vous ne savez pas faire seul, et ce que la CNIL va contrôler dans le détail :

  • Chiffrement des postes, des serveurs et des sauvegardes
  • Authentification forte (MFA) sur les accès au CRM, à la messagerie, aux outils de signature
  • Cloisonnement des accès : qui voit quoi, basé sur le rôle de chacun
  • Journalisation des accès aux dossiers sensibles (traçabilité)
  • Politique de mots de passe déployée et imposée techniquement
  • Sauvegardes testées (et cloisonnées du réseau de production pour résister à un ransomware)
  • Gestion des départs : révocation immédiate des accès quand un négociateur quitte l’agence
  • Sécurité des terminaux mobiles : MFA, chiffrement, capacité à effacer un téléphone perdu

Voilà ce que notre offre cybersécurité couvre dans le cadre du forfait par utilisateur, complétée par la sauvegarde testée qui démontre qu’une restauration est possible.

La zone grise qui coûte le plus cher en contrôle CNIL

Quand la CNIL contrôle une agence, elle ne se contente pas de demander le registre. Elle demande à voir comment, techniquement, vous appliquez ce qui est écrit dedans. Vous écrivez “accès limité aux dossiers locataires” ? Très bien, montrez-moi qui peut y accéder dans le système. Vous écrivez “données chiffrées” ? Bien, montrez-moi le poste et l’algorithme.

C’est là que la plupart des agences se font surprendre. Elles ont fait l’effort juridique. Elles n’ont jamais fait l’effort technique pour rendre leurs déclarations vérifiables.

Checklist RGPD : 8 points à auditer dans votre agence avant un contrôle

Si vous répondez “non” ou “je ne sais pas” à plus de deux questions, vous êtes dans la même situation que Sergic avant le contrôle. Vérifiez ces 8 points dans votre agence avec un diagnostic gratuit : 1 h 30 sur place ou en visio, et un rapport clair.

Comment YSY ONE sécurise le volet technique des agences du Grand Est

Ce que couvre le diagnostic gratuit (volet technique RGPD)

On démarre toujours par un diagnostic offert, valeur 500 €. Sur les agences immobilières, on regarde ces 8 points de la checklist, plus une cartographie de qui accède à quoi dans votre CRM, vos mails et vos dossiers partagés. Vous repartez avec un rapport, pas avec une proposition commerciale forcée.

Ce que prend en charge la formule Standard

La formule Standard à 59 €/utilisateur/mois couvre l’ensemble du volet technique attendu en contrôle CNIL : MFA déployé, EDR sur tous les postes, chiffrement, sauvegarde testée, supervision proactive, journalisation des incidents. Vous ajoutez le forfait à votre comptabilité chaque mois, et vous arrêtez de payer des dépannages au coup par coup. Le détail des formules est ici.

Questions fréquentes des directeurs d’agence

Que risque concrètement mon agence en cas de fuite de données ?

Le plafond légal est de 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Sur une agence de 5 à 25 personnes, les sanctions observées vont de 10 000 € à plusieurs centaines de milliers (cas Sergic). À cela s’ajoutent l’obligation de notifier les personnes concernées et la couverture presse locale, qui pèse souvent plus lourd que l’amende elle-même sur le portefeuille de mandats.

Combien de temps faut-il garder un dossier locataire refusé ?

3 mois maximum après la décision de refus, sauf consentement écrit du candidat pour une conservation prolongée. Au-delà, la suppression doit être définitive : pas seulement la corbeille du CRM, mais aussi les mails, les dossiers partagés et toute copie locale. Un point de contrôle quasi systématique.

Faut-il obligatoirement un DPO dans une agence de 10 personnes ?

Non, sauf si vous traitez des données à grande échelle ou des données particulièrement sensibles (le référentiel CNIL ne l’impose pas pour la majorité des agences). Mais quelqu’un doit être identifié comme référent RGPD dans l’équipe, avec mission de tenir le registre et de répondre aux demandes des personnes. Beaucoup d’agences passent par un DPO mutualisé via la FNAIM ou un cabinet externe.

Mon CRM (Hektor, Netty) gère-t-il le RGPD pour moi ?

Non. Votre CRM gère ses propres traitements et son hébergement. Mais il ne gère pas vos postes, vos mails, votre Wi-Fi, les téléphones de vos agents ni les copies de dossiers stockées hors du CRM. La CNIL contrôle l’ensemble, pas seulement le CRM. Cette différence entre “périmètre éditeur” et “périmètre infrastructure agence” piège la plupart des dirigeants.