400 000 euros. C’est l’amende que la CNIL a infligée à la société immobilière SERGIC, en partie pour avoir conservé trop longtemps les dossiers de candidats locataires (délibération du 28 mai 2019). Pas une banque, pas un géant du web : une agence, sanctionnée sur des pièces qu’elle manipulait tous les jours. Aujourd’hui, un négociateur qui copie un dossier d’acquéreurs, avis d’imposition, bulletins de salaire et RIB compris, dans la fenêtre d’un assistant généraliste gratuit pour lui faire pondre une synthèse de solvabilité fait exactement la même erreur de fond : il envoie hors de l’agence, dans un outil dont personne n’a lu les conditions, le revenu fiscal de référence, l’employeur et le numéro de compte de deux personnes qui n’ont jamais donné leur accord pour ça. La CNIL considère que saisir un nom, un contrat ou une pièce dans un outil d’IA est un traitement de données personnelles au sens du RGPD, et que c’est l’agence, pas le salarié qui a tapé, qui en est responsable (délibération n° 2025-047 du 5 juin 2025). La question n’est donc pas de savoir si vous traitez des données en utilisant l’IA. Vous en traitez. La seule question, c’est de savoir si vous le faites proprement.

Cet article fait partie de notre guide complet de l’IA pour les agents immobiliers.

Cet article donne une méthode opérationnelle. Il ne remplace ni les recommandations de la CNIL, ni l’avis d’un conseil spécialisé en protection des données. Pour un cas précis, référez-vous aux sources officielles.

Le secteur le plus surveillé que vous croyez anodin

On imagine le RGPD comme une affaire de banques et de géants du web. Pour une agence, c’est une erreur de perspective. Une transaction, c’est une avalanche de données : pièces d’identité, avis d’imposition, bulletins de salaire, justificatifs de domicile, RIB, coordonnées des garants, diagnostics, et même les photos d’intérieur d’un logement habité. La CNIL surveille ce secteur de près, et elle ne se contente pas de rappels à l’ordre.

L’affaire qui sert de rappel s’appelle SERGIC. Le 28 mai 2019, la CNIL a infligé à cette société immobilière une amende de 400 000 euros (délibération du 28 mai 2019). Le motif est instructif sur deux plans : une faille de sécurité (il suffisait de modifier un chiffre dans une URL pour accéder aux dossiers de candidats locataires), mais aussi le non-respect des durées de conservation, l’entreprise gardant des pièces bien après l’expiration du délai utile. Sécurité ET conservation : exactement les deux points sur lesquels une mauvaise utilisation de l’IA fait déraper une agence.

Ajouter l’IA dans ce paysage ne change pas les règles. Cela multiplie simplement les occasions de les enfreindre, parce qu’une fenêtre de chat est plus rapide à remplir qu’un dossier papier à classer.

Les données qui ne doivent jamais quitter l’agence sans précaution

Soyons précis sur ce que vous manipulez, parce que tout ne se vaut pas. Trois familles cohabitent dans un dossier immobilier.

D’abord les données d’identité et de contact : nom, adresse, téléphone, e-mail des prospects, vendeurs, acquéreurs, locataires. Banales en apparence, mais ce sont elles qui relient tout le reste à une personne identifiable.

Ensuite les données financières et fiscales : avis d’imposition, bulletins de salaire, RIB, montant du prêt, revenu fiscal de référence, situation de la caution. C’est le cœur sensible. Un avis d’imposition collé dans un outil non maîtrisé, c’est le revenu et la composition du foyer d’une famille qui partent dans la nature.

Enfin les documents contractuels et techniques : mandats, compromis, diagnostics, et notamment le DPE, qui est nominatif puisqu’il est rattaché à un bien et souvent à un propriétaire identifiable. Le mandat, lui, contient les coordonnées du vendeur et les conditions de la vente.

La frontière utile n’est pas « confidentiel ou pas ». Elle est : identifiant présent ou identifiant retiré. Un raisonnement sur un montage financier type, sans nom ni chiffre réel, n’apprend rien à personne. Le même raisonnement avec le nom du vendeur, l’adresse du bien et le prix net négocié, lui, vend la mèche.

Le réflexe à graver Avant chaque saisie, posez-vous une seule question : « si cette fenêtre fuitait demain, est-ce qu'on pourrait remonter à mon client ? » Si la réponse est oui, vous retirez les éléments identifiants d'abord, ou vous ne saisissez pas.

Cinq règles RGPD qui ne se négocient pas

Le RGPD vous désigne responsable de traitement dès lors que vous déterminez pourquoi et comment vous traitez les données de vos clients. Ce statut s’accompagne d’obligations concrètes, et l’IA les met toutes à l’épreuve d’un coup.

La minimisation. Vous ne collectez et ne traitez que ce qui est strictement nécessaire à la finalité. Pour la location, le législateur a même fixé une liste limitative : le décret n° 2015-1437 du 5 novembre 2015 énumère les seules pièces exigibles d’un candidat locataire et de sa caution. Réclamer une pièce hors liste est illicite. Appliqué à l’IA, le principe est simple : ne donnez à l’outil que ce dont il a besoin pour la tâche, jamais le dossier entier « au cas où ».

La base légale. Chaque traitement repose sur un fondement de l’article 6 du RGPD. Le mandat de vente ou de location relève de l’exécution du contrat, la prospection téléphonique de l’intérêt légitime, la prospection par e-mail ou SMS auprès d’un particulier exige en principe le consentement préalable, et la lutte anti-blanchiment relève de l’obligation légale (analyse RGPD immobilier). Utiliser une IA pour traiter ces données ne crée pas une finalité magique : il faut une base légale pour le traitement initial.

Pas de données nominatives dans un LLM grand public. C’est la règle la plus directe. Une version grand public d’un assistant généraliste fonctionne sur des conditions qui ne garantissent pas, par défaut, la non-réutilisation de vos saisies. La CNIL est explicite sur les données à ne jamais y mettre : données client identifiables, données de salariés, données de santé, données sensibles (position CNIL sur l’IA générative en entreprise). Un dossier de location coche plusieurs de ces cases à lui seul.

La sous-traitance et le DPA. Le fournisseur d’IA qui traite des données pour votre compte est un sous-traitant au sens du RGPD. Cela suppose un contrat de sous-traitance encadrant ce qu’il peut faire, où les données sont hébergées et combien de temps elles sont conservées. La CNIL recommande de privilégier les versions « entreprise », qui offrent ces garanties contractuelles qu’un compte personnel n’a pas.

Les durées de conservation. Vous ne gardez pas les données indéfiniment. Les durées usuelles sont connues : 3 mois pour le dossier d’un candidat locataire non retenu, 3 ans pour un prospect à compter du dernier contact actif, le temps du mandat puis la durée légale applicable pour les pièces comptables et contractuelles (durées de conservation, analyse RGPD immobilier). C’est précisément l’un des deux motifs de la sanction SERGIC. Un fichier prospects nourri d’exports vers une IA et jamais purgé, c’est le même risque transposé.

Là où ça coince vraiment Les droits des personnes (accès, rectification, effacement, opposition) sont difficiles à honorer une fois la donnée partie dans un modèle génératif, du fait de l'opacité et de l'immuabilité de l'outil. C'est une raison de plus de ne jamais y verser de donnée nominative : ce que vous ne pouvez pas reprendre, vous ne le confiez pas.

La checklist avant de coller quoi que ce soit

Cette liste tient sur une fiche, à afficher à côté du poste de chaque négociateur.

  • Je retire les identifiants. Nom, adresse exacte, montants réels, numéros (dossier, RIB, SIREN), dates précises : je les remplace par des repères neutres avant toute saisie dans un outil non cadré.
  • Je vérifie l’outil. Données identifiantes : compte professionnel à non-réutilisation garantie, ou rien. Données strictement non identifiantes : compte professionnel possible. Jamais de pièce de dossier dans une version grand public.
  • Je ne donne que le nécessaire. Une tâche, les données de cette tâche, pas le dossier complet.
  • Je vérifie la sortie. L’IA peut inventer un montant, une date, une mention légale. Aucune synthèse ne part au client sans relecture humaine.
  • Je trace. Quel outil, pour quel usage, avec quelles données : une charte d’usage écrite rend votre pratique opposable le jour où la question se pose.
  • Je purge. Les exports et historiques liés à un dossier suivent les durées de conservation, comme le reste.

Bon usage contre mauvais usage : le même besoin, deux issues

Prenez un cas réel et fréquent : rédiger une annonce de vente à partir des éléments d’un mandat.

Le mauvais usage. Le négociateur copie le mandat entier dans un assistant gratuit : nom du vendeur, adresse précise, prix net vendeur, conditions de la commission, et demande « rédige-moi l’annonce ». Tout y passe, y compris des informations qui n’ont rien à faire dans une annonce publique et que le vendeur n’a jamais consenti à voir circuler dans un outil tiers. Si cet historique fuitait, on remonterait au vendeur, au bien et au prix réel en une lecture.

Le bon usage. Le négociateur extrait lui-même les seuls éléments destinés à la publication (type de bien, surface, nombre de pièces, atouts, quartier au sens large), sans nom, sans adresse exacte, sans prix net vendeur, et demande une rédaction d’annonce sur cette base. L’outil produit le texte, l’agent réinjecte le prix d’affichage et le contact au moment de publier. Même gain de temps, aucune donnée nominative sortie de l’agence.

La différence ne tient pas à l’outil. Elle tient au geste : donner la tâche sans donner la personne.

Le RGPD vous désigne responsable du traitement. Aucun compte gratuit, aucune case cochée dans une interface ne porte cette responsabilité à votre place le jour d’un contrôle ou d’une fuite.

Ce qui reste, en dernier ressort, votre responsabilité

Aucun outil ne décide à votre place de ce qui identifie une personne. Une adresse de quartier semble anodine ; recoupée avec une surface et un prix, elle pointe parfois un seul bien et donc un seul vendeur. La machine exécute une consigne, elle ne sait pas qu’un détail apparemment neutre suffit à identifier votre client. Vous, si. Cette qualification reste du jugement professionnel, et elle ne se sous-traite pas.

La responsabilité non plus. Le jour où une donnée fuite, ce n’est pas le fournisseur d’IA qui répond devant la CNIL et devant votre client : c’est l’agence, responsable de traitement. C’est pour cela que la méthode prime sur l’outil. Un bon outil mal utilisé fuit ; un outil ordinaire utilisé avec retrait systématique des identifiants et une charte écrite protège. Le réflexe vaut mieux que le logiciel.

À retenir, sans détour

Vous n’avez pas à choisir entre l’IA et la confidentialité de vos clients. Vous avez à les faire cohabiter par une discipline simple : retirer les identifiants avant de saisir, choisir l’outil selon la sensibilité des données, ne jamais verser une pièce de dossier dans une version grand public, encadrer la sous-traitance par contrat, et respecter les durées de conservation comme pour tout le reste. C’est plus de rigueur, pas plus de friction une fois le pli pris. Et c’est exactement ce que la CNIL attend d’un secteur qu’elle surveille de près.

À lire ensuite

Cadrer vos usages une fois pour toutes

La conformité ne s’improvise pas dossier après dossier. Pour poser vos règles d’usage de l’IA, vos outils par niveau de sensibilité et votre process de minimisation, un point de départ utile est le diagnostic IA gratuit : il identifie où l’IA vous fait gagner du temps sans vous exposer.

Sources

Rédigé par IA, validé par humain. Aucun éditeur cité ne nous rémunère. Cet article ne remplace pas les recommandations officielles de la CNIL.

Questions fréquentes

Puis-je résumer un dossier de location dans ChatGPT pour gagner du temps ?
Pas dans une version grand public, et pas tel quel. Un dossier de location contient avis d'imposition, bulletins de salaire, pièce d'identité, parfois RIB : ce sont des données personnelles, et l'agence en est responsable de traitement. La CNIL rappelle qu'utiliser une IA générative avec des données personnelles n'est ni interdit ni libre, c'est un traitement RGPD qui se prépare. La parade : retirer les éléments identifiants avant toute saisie, ou n'utiliser qu'un outil professionnel cadré par contrat.
Qui est responsable si un négociateur colle un avis d'imposition dans une IA grand public ?
L'agence, en tant qu'employeur et responsable de traitement, pas le négociateur. La CNIL l'a confirmé dans sa délibération n° 2025-047 du 5 juin 2025 : dès lors qu'un salarié saisit un nom, un contrat ou une pièce dans un outil d'IA, c'est l'organisation qui est responsable au sens du RGPD. D'où l'intérêt d'une charte d'usage écrite et opposable.
Combien de temps puis-je garder le dossier d'un candidat locataire que je n'ai pas retenu ?
La CNIL recommande de ne pas conserver au-delà de 3 mois les pièces collectées pour apprécier la solvabilité d'un candidat à la location non retenu. Pour un prospect, la durée usuelle est de 3 ans à compter du dernier contact. Ces durées doivent figurer dans votre registre des traitements, et c'est précisément un point sur lequel la CNIL a déjà sanctionné le secteur.
Un compte ChatGPT Team ou Enterprise suffit-il pour traiter des dossiers clients ?
Il lève le risque principal des versions grand public, la réutilisation des données pour l'entraînement, et offre des garanties contractuelles qu'un compte personnel n'a pas. Mais il ne dispense ni de minimiser les données que vous saisissez, ni de vérifier au contrat le lieu d'hébergement et la non-réutilisation, ni d'encadrer la sous-traitance. Pour les pièces les plus sensibles, le réflexe reste de retirer ce qui identifie la personne avant toute saisie.