En tant que propriétaire bailleur, vous collectez des données personnelles sensibles : revenus, situation professionnelle, pièce d'identité, parfois situation familiale. Le Règlement Général sur la Protection des Données (RGPD) s'applique à toute personne qui traite des données personnelles, y compris les particuliers.
Pourquoi le RGPD vous concerne
Contrairement à une idée reçue, le RGPD ne s'applique pas uniquement aux entreprises. L'article 2 du RGPD précise que le règlement s'applique dès lors que le traitement de données n'est pas effectué dans un cadre strictement personnel ou domestique.
La location d'un bien immobilier constitue une activité économique. En collectant des dossiers de candidature, vous devenez responsable de traitement au sens du RGPD. Vous êtes donc tenu de respecter les obligations du règlement.
Vos 6 obligations légales
1. Principe de minimisation : collecter uniquement le nécessaire
Le décret n°2015-1437 du 5 novembre 2015 établit la liste exhaustive des documents que vous pouvez demander à un candidat locataire. Tout document supplémentaire constitue une collecte excessive, contraire au principe de minimisation du RGPD.
- Pièce d'identité (CNI, passeport, titre de séjour)
- Justificatif de domicile actuel
- Justificatif de situation professionnelle
- Justificatif de ressources (3 derniers bulletins, avis d'imposition)
2. Obligation d'information : transparence envers les candidats
L'article 13 du RGPD impose d'informer les personnes dont vous collectez les données. Cette information doit être fournie au moment de la collecte, de manière claire et accessible.
3. Finalité déterminée : un usage précis
Les données collectées ne peuvent servir qu'à l'évaluation de la candidature locative. Vous ne pouvez pas les utiliser à d'autres fins (prospection commerciale, transmission à des partenaires, etc.) sans le consentement explicite de la personne.
4. Sécurité des données : protection contre les accès non autorisés
Vous devez mettre en place des mesures de sécurité adaptées pour protéger les données contre la perte, le vol ou l'accès non autorisé.
- Stockage dans un espace protégé par mot de passe
- Chiffrement des fichiers sensibles (ZIP avec mot de passe minimum)
- Pas de stockage sur des services cloud hors UE (attention aux paramètres par défaut)
- Pas de transmission par messagerie non sécurisée
- Accès limité aux seules personnes habilitées
5. Limitation de conservation : suppression dans les délais
La CNIL recommande une suppression des dossiers des candidats non retenus dans un délai maximum d'un mois après la décision de location. Conserver des données au-delà de ce délai sans justification expose à des sanctions.
6. Respect des droits des personnes
Les candidats disposent de droits sur leurs données : accès, rectification, suppression, portabilité. Vous devez être en mesure de répondre à leurs demandes dans un délai d'un mois.
Durées de conservation obligatoires
La durée de conservation varie selon le type de données et leur finalité. Ces durées sont issues des recommandations de la CNIL et des obligations légales de conservation (prescription civile, fiscale).
| Type de données | Durée de conservation | Base légale |
|---|---|---|
| Dossiers candidats non retenus | 1 mois après décision | Recommandation CNIL |
| Dossier du locataire retenu | Durée du bail + 3 ans | Prescription civile |
| Quittances de loyer | 5 ans | Prescription fiscale |
| Correspondances (litiges) | 5 ans | Prescription civile |
| Contrat de bail signé | 5 ans après fin du bail | Prescription civile |
| États des lieux | 5 ans après fin du bail | Prescription civile |
Envie de trouver le bon locataire, sans les risques ?
Docapass vous accompagne de A à Z : annonce, sélection des candidats, vérification des dossiers. Vous gardez la décision finale.
Découvrir le service*Service à 150€. Rien à payer avant d'avoir reçu les dossiers triés et vérifiés de vos candidats. Sans commission.
Inclut : mise en ligne des annonces, réponse aux candidats, sélection des dossiers, vérification des documents.
Procédure complète de mise en conformité RGPD
Voici la procédure en 7 étapes pour vous mettre en conformité avec le RGPD dans le cadre de vos locations.
Étape 1 : Rédiger votre mention d'information
Créez un texte standard à inclure dans vos annonces ou vos premiers échanges avec les candidats. Ce texte doit mentionner :
- Votre identité (nom du propriétaire)
- La finalité de la collecte (étude de candidature locative)
- Les destinataires des données (vous-même, éventuellement votre agence)
- La durée de conservation
- Les droits des personnes et comment les exercer
Étape 2 : Organiser le stockage sécurisé
- Créez un dossier dédié sur votre ordinateur (ex: "Candidatures_Location_2025")
- Protégez ce dossier par un mot de passe (ou utilisez un espace chiffré)
- Organisez les sous-dossiers par bien et par date
- Évitez de stocker les dossiers dans votre boîte email (peu sécurisé)
Étape 3 : Mettre en place un suivi des candidatures
Tenez un registre simple des candidatures reçues avec :
- Date de réception du dossier
- Nom du candidat
- Décision prise (retenu/non retenu)
- Date de la décision
- Date prévue de suppression
Étape 4 : Informer les candidats au moment de la collecte
- Intégrez la mention d'information dans votre annonce
- Ou envoyez-la dans votre premier email de réponse
- Conservez une trace de cette information (email envoyé)
Étape 5 : Sélectionner votre locataire de manière conforme
- Ne demandez que les documents de la liste légale
- Refusez poliment tout document non sollicité (photo de famille, etc.)
- Documentez vos critères de sélection (en cas de contestation)
Étape 6 : Informer les candidats non retenus
Envoyez un email de refus mentionnant :
- Le motif général du refus (dossier non sélectionné)
- Le rappel que leurs données seront supprimées sous 1 mois
- La possibilité de demander la suppression immédiate
Étape 7 : Supprimer les données dans les délais
Un mois après la décision, procédez à la suppression sécurisée de tous les dossiers des candidats non retenus (méthode détaillée ci-dessous).
Méthode de suppression sécurisée
Pour les dossiers papier
- Utilisez un destructeur de documents (coupe croisée recommandée)
- Ne jetez jamais les documents entiers à la poubelle
- Pour les gros volumes : faites appel à un service de destruction certifié
Pour les dossiers numériques
- Supprimez les fichiers du dossier de stockage
- Videz la corbeille de votre ordinateur
- Supprimez les emails contenant les pièces jointes
- Videz le dossier "Éléments supprimés" de votre messagerie
- Vérifiez vos téléchargements (dossier Downloads)
- Vérifiez vos services cloud (Drive, Dropbox, OneDrive)
- Supprimez les éventuelles copies sur votre téléphone
Sanctions en cas de non-conformité
Le non-respect du RGPD expose à des sanctions administratives et civiles.
| Type de sanction | Montant / Conséquence | Exemple de manquement |
|---|---|---|
| Amende administrative CNIL | Jusqu'à 20M EUR ou 4% du CA | Fuite de données massive |
| Avertissement CNIL | Mise en demeure publique | Défaut d'information |
| Dommages et intérêts | Variable selon préjudice | Utilisation abusive des données |
| Sanction pénale | Jusqu'à 5 ans + 300 000 EUR | Collecte frauduleuse |
Modèle de mention d'information RGPD
Voici un modèle prêt à l'emploi à intégrer dans votre annonce ou votre premier email :
"Protection de vos données : Les informations personnelles collectées dans le cadre de votre candidature locative sont traitées par [Votre Nom], propriétaire du bien, aux fins d'évaluation de votre dossier. Ces données seront conservées 1 mois si votre candidature n'est pas retenue, ou pendant la durée du bail et 3 ans après son terme si vous êtes sélectionné(e). Conformément au RGPD, vous disposez d'un droit d'accès, de rectification et de suppression de vos données. Pour exercer ces droits, contactez-moi à [votre email]."
Modèle d'email de refus conforme RGPD
"Objet : Candidature pour le logement [adresse] - Suite donnée
Bonjour [Prénom],
Je reviens vers vous concernant votre candidature pour le logement situé [adresse]. Après examen des différents dossiers reçus, j'ai retenu une autre candidature qui correspondait davantage à mes critères de sélection.
Conformément à la réglementation sur la protection des données personnelles (RGPD), votre dossier sera supprimé de mes fichiers dans un délai d'un mois. Si vous souhaitez une suppression immédiate, vous pouvez m'en faire la demande en réponse à ce message.
Je vous souhaite bonne chance dans vos recherches.
Cordialement,
[Votre nom]"
Checklist de conformité RGPD
- Je ne demande que les documents autorisés par le décret 2015-1437
- J'informe les candidats de la collecte et de l'utilisation de leurs données
- Je stocke les dossiers dans un espace sécurisé (mot de passe)
- Je tiens un registre des candidatures reçues
- Je supprime les dossiers des non-retenus sous 1 mois
- Je suis en mesure de répondre aux demandes d'accès/suppression
- Je conserve le dossier du locataire retenu pendant la durée légale
- Je ne transmets aucune donnée à des tiers sans consentement