Le Règlement Général sur la Protection des Données (RGPD) s'applique pleinement à la gestion immobilière. Les propriétaires et gestionnaires collectent, traitent et conservent des données personnelles sensibles : identité des locataires, coordonnées bancaires, pièces d'identité, bulletins de salaire.
Les bases légales du traitement
Le traitement des données locataires repose principalement sur deux bases légales : l'exécution du contrat (bail) et l'obligation légale (conservation comptable). Le consentement n'est nécessaire que pour les traitements non contractuels, comme l'envoi de communications commerciales.
Durées de conservation obligatoires
Les durées de conservation varient selon la nature des données :
- Locataire actif : conservation pendant toute la durée du bail
- Locataire archivé : 5 ans après la fin du bail (prescription civile)
- Documents d'identité : 3 ans après la fin de la relation contractuelle
- Données bancaires : 10 ans (obligation comptable)
- Logs d'audit : 1 an
- Consentements : 3 ans après révocation
Chiffrement des données sensibles
Les coordonnées bancaires (IBAN, BIC) doivent être chiffrées au repos. Le standard recommandé est l'AES-256-GCM, qui assure à la fois la confidentialité et l'intégrité des données. Le déchiffrement ne doit intervenir qu'au moment de l'utilisation (génération SEPA, affichage autorisé).
Droits des locataires
Les locataires disposent de droits d'accès, de rectification, de suppression et de portabilité. Le gestionnaire doit être en mesure de répondre à ces demandes dans un délai d'un mois. Un registre des traitements et un processus de traitement des demandes sont indispensables.
Registre des traitements
L'article 30 du RGPD impose la tenue d'un registre documentant chaque traitement : finalité, catégories de données, destinataires, durées de conservation et mesures de sécurité. Ce registre doit être tenu à jour et disponible pour la CNIL en cas de contrôle.