L'activité d'une agence immobilière génère, de manière continue, un volume important de données personnelles : données des propriétaires qui confient la vente ou la location d'un bien par le biais d'un mandat ou d'un contrat de médiation, données des acquéreurs ou locataires qui visitent des biens ou s'inscrivent dans le portefeuille de l'agence, documentation attestant de la solvabilité — bulletins de salaire, déclarations de revenus, relevés bancaires — et informations de contact obtenues via des portails immobiliers, des formulaires en ligne ou des démarches de prospection directe. Cette multiplicité de sources et de types de données rend le secteur particulièrement sensible du point de vue du RGPD : le responsable du traitement — l'agence — ne sait pas toujours avec certitude quelle base juridique couvre chaque finalité, combien de temps conserver les données des personnes n'ayant signé aucun contrat, ni ce qu'il advient des informations lorsqu'elles sont partagées avec des portails, d'autres agences ou des établissements financiers et assureurs partenaires.
La première question juridique à résoudre dans tout projet de mise en conformité immobilière est la base de licéité applicable à chaque traitement, conformément à l'article 6 du RGPD. Les données du propriétaire qui signe le mandat sont, en règle générale, traitées en exécution de ce contrat de médiation (art. 6.1.b RGPD) ; les données de l'acquéreur ou du locataire lors des démarches préalables à la signature reposent sur la même base dès lors que les deux parties prennent des mesures en vue de conclure le contrat. En revanche, l'utilisation de ces données à des fins supplémentaires — envoi d'offres de nouveaux biens, cession à des assureurs, inclusion dans des bulletins d'information sectoriels — nécessite une base distincte, généralement le consentement explicite de la personne concernée (art. 6.1.a RGPD). Dans la pratique, de nombreuses agences considèrent que l'acceptation des conditions générales équivaut à un consentement pour le marketing, alors que le RGPD exige un consentement libre, spécifique, éclairé et sans ambiguïté, exprimé par un acte positif clair.
Le mandat ou le contrat d'exclusivité constitue également le moment idéal pour satisfaire à l'obligation d'information active imposée par les articles 13 et 14 du RGPD. L'article 13 s'applique lorsque les données sont collectées directement auprès de la personne concernée — situation habituelle avec le propriétaire qui signe le mandat et l'acquéreur qui remplit un formulaire ; l'article 14 entre en jeu lorsque l'agence obtient des données auprès de tiers, par exemple en recevant le dossier d'un acquéreur par l'intermédiaire d'une autre agence ou d'un portail. Dans les deux cas, l'information doit mentionner l'identité du responsable du traitement, les finalités et bases juridiques de chaque traitement, les destinataires éventuels — portails, plateformes de gestion et autres agences du réseau —, la durée de conservation et les droits de la personne concernée. Une clause générique dans la politique de confidentialité du site ne remplit pas cette obligation lorsque les données sont collectées en face à face ou par téléphone sans communication d'une information spécifique à ce moment-là.
Le partage d'informations entre l'agence, le propriétaire et l'acquéreur, ou vers des portails immobiliers et des plateformes de prospection, soulève une question technique à résoudre avant tout litige : le portail agit-il en tant que sous-traitant — art. 28 RGPD — ou en tant que responsable de traitement indépendant ? La réponse conditionne le type d'accord à conclure et les informations à fournir aux personnes concernées. Dans la plupart des cas, lorsque l'agence publie des annonces sur des portails tiers, ces portails agissent en tant que responsables indépendants du traitement qu'ils effectuent avec les données des utilisateurs les contactant via leur plateforme. En revanche, lorsque l'agence souscrit à un CRM externe pour gérer son propre portefeuille, ce prestataire agit en qualité de sous-traitant et un contrat de sous-traitance comportant le contenu minimal exigé par l'article 28.3 du RGPD doit être conclu. Ne pas distinguer ces deux situations est l'une des erreurs les plus fréquentes que nous détectons avant d'entamer un projet de mise en conformité.
Les communications commerciales par voie électronique — courriels, SMS, messages WhatsApp Business — que l'agence adresse à sa base de contacts et de clients sont soumises à l'article 21 de la Loi 34/2002 sur les services de la société de l'information et du commerce électronique (LSSI). Cette loi interdit l'envoi de communications publicitaires non sollicitées ou non préalablement autorisées par le destinataire (art. 21.1 LSSI). Il existe une exception applicable au secteur : lorsqu'une relation contractuelle préexistante existe avec le client, l'agence peut lui adresser des communications portant sur des biens ou services similaires à ceux ayant fait l'objet de cette relation, à condition que les coordonnées aient été obtenues licitement dans le cadre de cette relation et que chaque communication comporte un mécanisme simple et gratuit permettant au destinataire de s'opposer à tout envoi futur, avec indication d'une adresse électronique valide dans chaque message (art. 21.2 LSSI). En dehors de ce cas, l'envoi de publicités pour des assurances habitation, des déménagements ou des produits financiers à la même liste sans consentement explicite constitue une infraction passible des sanctions propres à la LSSI, cumulables avec celles du RGPD.
Chez Summum Consultoría, nous accompagnons les agences immobilières de Valladolid, Burgos, Palencia, Aranda de Duero et Las Palmas tout au long du processus de mise en conformité avec le RGPD : nous établissons la cartographie des traitements existants, rédigeons le registre des activités de traitement exigé par l'article 30 du RGPD, élaborons les clauses d'information pour le mandat et les formulaires de prospection, examinons les contrats avec les prestataires de CRM et les accords avec les portails, et mettons en place les procédures de traitement des demandes d'exercice de droits. Nous formons l'équipe de l'agence aux obligations essentielles et aux procédures internes, afin que la culture de la protection des données s'intègre dans la pratique quotidienne. Nous ne nous substituons pas à l'AEPD et ne garantissons pas l'absence de sanctions, mais nous apportons le cadre documentaire, les processus et la formation qui permettent de démontrer une diligence réelle auprès du régulateur.