RGPD et prospection immobilière : guide conformité 2026

Un agent immobilier utilise des données personnelles à chaque étape de son activité : noms et coordonnées de propriétaires prospectés, historique de visites, situations patrimoniales de clients, données financières pour les dossiers de financement. En 2026, gérer ces données sans maîtriser le cadre RGPD, c'est s'exposer à des risques réels — juridiques, financiers et réputationnels.

La CNIL (Commission Nationale de l'Informatique et des Libertés) a prononcé en 2024 plusieurs sanctions dans le secteur immobilier. Les montants vont de quelques milliers d'euros pour les petites structures à plusieurs centaines de milliers pour les réseaux. Mais au-delà de l'amende, c'est la confiance client qui est en jeu.

Le RGPD (Règlement Général sur la Protection des Données) est en vigueur depuis mai 2018. Ce n'est pas une nouveauté. Pourtant, une majorité d'agents immobiliers ne maîtrisent pas les bases : quelle base légale pour prospecter ? Comment tenir un registre de traitement ? Combien de temps conserver les données d'un prospect qui n'a pas signé ? Que faire quand quelqu'un demande l'effacement de ses données ?

Ce guide répond à toutes ces questions — concrètement, sans jargon juridique, avec des actions applicables dès aujourd'hui.

Ce que le RGPD change concrètement pour les agents immobiliers

Qui est concerné ?

Tout agent, mandataire ou dirigeant d'agence qui collecte, traite ou stocke des données personnelles est soumis au RGPD. Cela inclut :

• ✓
  La liste de vos contacts prospects (boîtage, pige, LinkedIn).
• ✓
  Les fichiers de vendeurs et acquéreurs de votre CRM.
• ✓
  Les données des visites (nom, coordonnées, situation financière des visiteurs).
• ✓
  Les emails reçus et envoyés contenant des données personnelles.
• ✓
  Les photos de biens habitées (personnes visibles sur les photos).
• ✓
  Les données des collaborateurs si vous êtes responsable d'équipe.

Il n'existe pas de seuil minimum : même un agent solo avec 200 contacts dans son téléphone est techniquement soumis au RGPD.

Les principes fondamentaux à connaître

Le RGPD repose sur six principes que tout agent doit pouvoir résumer :

1. Licéité : vous devez avoir une base légale pour traiter des données (voir section suivante).

2. Limitation des finalités : les données collectées pour une raison précise ne peuvent pas être utilisées pour autre chose. Un email collecté pour une prise de contact vendeur ne peut pas être réutilisé pour une campagne marketing sans consentement.

3. Minimisation : ne collectez que ce dont vous avez besoin. Pour un prospect, nom + téléphone + adresse du bien suffit. Le numéro de sécurité sociale n'a rien à faire dans votre fichier prospects.

4. Exactitude : les données doivent être à jour. Un prospect qui vous a dit "non merci" il y a 2 ans ne doit plus figurer dans votre liste de relances actives.

5. Limitation de la conservation : les données ne peuvent pas être conservées indéfiniment. Chaque catégorie de données a une durée de vie définie (voir section dédiée).

6. Sécurité : vous devez protéger les données contre les accès non autorisés, pertes, ou violations. Cela concerne votre CRM, vos emails, vos documents partagés.

Les bases légales de la prospection immobilière

Le RGPD définit 6 bases légales

Pour traiter des données personnelles légalement, vous devez vous appuyer sur l'une des 6 bases légales définies par le RGPD :

• ✓
  Le consentement de la personne.
• ✓
  L'exécution d'un contrat (ou mesures précontractuelles).
• ✓
  Le respect d'une obligation légale.
• ✓
  La sauvegarde des intérêts vitaux.
• ✓
  L'exécution d'une mission d'intérêt public.
• ✓
  L'intérêt légitime du responsable de traitement.

Pour la prospection immobilière, les deux bases les plus utilisées sont le consentement et l'intérêt légitime.

L'intérêt légitime : la base la plus utilisée en prospection B2B

L'intérêt légitime vous permet de prospecter des propriétaires sans demander leur consentement préalable, à condition que :

• ✓
  L'intérêt poursuivi soit réel et licite (votre activité commerciale l'est).
• ✓
  Le traitement ne porte pas atteinte de manière disproportionnée aux droits des personnes.
• ✓
  La personne est informée et peut s'opposer facilement.

En pratique, cela signifie que vous pouvez :

• ✓
  Envoyer un courrier postal de prospection à des propriétaires identifiés via des données publiques (cadastre, DVF).
• ✓
  Contacter un propriétaire dont vous avez obtenu les coordonnées via un annuaire public ou professionnel.
• ✓
  Utiliser les données d'une ancienne relation commerciale pour une relance raisonnée.

Ce que vous ne pouvez pas faire sans consentement préalable :

• ✓
  Envoyer des emails de prospection commerciale à des particuliers (interdit par la directive ePrivacy / loi LCEN, peu importe la base légale RGPD).
• ✓
  Appeler des numéros inscrits sur la liste Bloctel.

Le consentement : quand et comment le recueillir

Le consentement RGPD doit être libre, éclairé, spécifique et univoque. Un consentement implicite ou présumé ne suffit pas.

Pour les emails commerciaux, le consentement est indispensable. Il doit être :

• ✓
  Recueilli avant l'envoi du premier email commercial.
• ✓
  Documenté (date, heure, canal, texte exact présenté).
• ✓
  Facilement révocable à tout moment (lien de désabonnement dans chaque email).

Exemple de recueil de consentement conforme : un formulaire sur votre site avec une case à cocher non pré-cochée : "J'accepte de recevoir des informations sur le marché immobilier local et les services de [Agence]."

Cas particulier : la pige immobilière

La pige consiste à contacter des particuliers qui ont publié une annonce de vente en direct. Sont-ils prospectables ?

Oui, sous conditions. En publiant une annonce avec leurs coordonnées, ils ont rendu ces données publiques dans le cadre de leur projet de vente. L'intérêt légitime peut s'appliquer — vous répondez à une démarche initiée par eux.

Cependant :

• ✓
  Leur numéro de téléphone doit être vérifié sur Bloctel avant appel.
• ✓
  Votre premier contact doit être clair sur votre identité et votre activité.
• ✓
  S'ils demandent à ne plus être contactés, vous devez le respecter immédiatement.

Gérer son fichier de prospects en conformité RGPD

Le registre des activités de traitement : obligatoire pour les agences

Toute agence immobilière — même de petite taille — doit tenir un registre des activités de traitement (article 30 du RGPD). Ce document liste tous les traitements de données personnelles effectués, avec pour chacun :

• ✓
  La finalité du traitement (ex : prospection commerciale, gestion des mandats, comptabilité).
• ✓
  Les catégories de données traitées.
• ✓
  Les personnes concernées.
• ✓
  La durée de conservation.
• ✓
  Les mesures de sécurité en place.
• ✓
  Les éventuels sous-traitants (CRM SaaS, outils emailing, etc.).

Ce registre n'est pas envoyé à la CNIL. Il doit être tenu à disposition en cas de contrôle. Un modèle gratuit est disponible sur le site cnil.fr.

Information des personnes : la mention obligatoire

Quand vous collectez des données, vous devez informer les personnes concernées. Cette information doit inclure :

• ✓
  Votre identité et coordonnées.
• ✓
  La finalité du traitement et la base légale.
• ✓
  La durée de conservation.
• ✓
  Les droits de la personne (accès, rectification, effacement, opposition, portabilité).
• ✓
  Le droit de déposer une plainte auprès de la CNIL.

Pour la prospection terrain (courrier postal), cette information peut figurer en bas de votre courrier dans un paragraphe "Informations RGPD" discret mais complet.

Pour la prospection digitale (email, formulaire), cette information doit figurer dans votre politique de confidentialité, accessible depuis tous vos supports.

Durées de conservation : ce que dit la CNIL pour l'immobilier

La CNIL a publié des recommandations sectorielles. Pour l'immobilier, les durées généralement admises sont :

Prospects (personnes jamais clientes) : les données peuvent être conservées 3 ans à compter du dernier contact actif. Au-delà, elles doivent être supprimées ou faire l'objet d'une nouvelle prise de contact pour reconfirmer l'intérêt.

Clients (personnes ayant signé un mandat) : les données liées à la relation commerciale peuvent être conservées 5 ans après la fin de la relation (délai de prescription commerciale).

Données comptables et contractuelles (compromis, actes) : 10 ans minimum (obligation légale comptable).

Données de vidéosurveillance (si caméra dans l'agence) : 30 jours maximum.

Mettez en place une procédure de purge automatique dans votre CRM pour les contacts inactifs depuis 3 ans.

Bloctel et démarchage téléphonique : le cadre légal en 2026

Ce que la loi interdit depuis 2023

La loi du 16 août 2022 relative à la protection des consommateurs a renforcé la réglementation du démarchage téléphonique. Depuis le 1er mars 2023 :

• ✓
  Il est interdit de démarcher par téléphone des personnes inscrites sur la liste Bloctel (liste d'opposition au démarchage).
• ✓
  Il est interdit de démarcher les consommateurs entre 20h et 8h, le dimanche et les jours fériés.
• ✓
  La fréquence maximale est de 4 appels par mois par le même organisme pour un même consommateur.
• ✓
  L'appel doit commencer par une présentation claire de l'appelant, de son entreprise et de l'objet de l'appel.

Comment vérifier Bloctel avant de prospecter

Avant toute campagne de prospection téléphonique, vous devez soumettre vos listes de numéros à la vérification Bloctel via le site officiel bloctel.gouv.fr. Les numéros inscrits doivent être retirés de votre liste.

La vérification est payante (de l'ordre de quelques centimes par numéro pour les volumes professionnels). C'est un coût minime comparé au risque d'amende — qui peut atteindre 75 000 € pour une personne physique et 375 000 € pour une personne morale.

La pige téléphonique : un cas particulier

Les particuliers qui publient une annonce immobilière avec leur numéro de téléphone ont manifesté un intérêt commercial actif. Ils ne peuvent pas invoquer Bloctel pour refuser d'être contactés sur le sujet de leur annonce — c'est leur démarche initiale qui justifie l'appel.

En revanche, si cette personne indique pendant l'appel qu'elle ne souhaite plus être contactée par votre agence, vous devez noter cette opposition et ne plus l'appeler. L'opposition vaut même pour un annonceur actif.

Les droits des personnes et comment y répondre

Les droits que vos prospects et clients peuvent exercer

Toute personne dont vous traitez les données dispose de droits qu'elle peut exercer à tout moment :

Droit d'accès : elle peut demander à consulter toutes les données que vous détenez sur elle. Vous avez 1 mois pour répondre.

Droit de rectification : elle peut demander la correction de données inexactes.

Droit à l'effacement ("droit à l'oubli") : elle peut demander la suppression de ses données, notamment si elle retire son consentement ou s'oppose au traitement.

Droit d'opposition : elle peut s'opposer à un traitement basé sur l'intérêt légitime — notamment la prospection commerciale. Vous devez immédiatement cesser de la contacter.

Droit à la portabilité : elle peut demander à recevoir ses données dans un format structuré et lisible par machine (utile notamment pour les données transmises lors d'un changement de prestataire).

Mettre en place un processus de gestion des demandes

Créez un email dédié (ex : confidentialite@votre-agence.fr) pour recevoir les demandes de droits. Documentez chaque demande reçue et votre réponse. Vous avez 1 mois pour répondre, prolongeable de 2 mois supplémentaires pour les cas complexes.

Dans votre CRM, ajoutez un champ "Opposition reçue" avec la date. Un contact en opposition ne doit plus recevoir aucune communication commerciale.

Sécurité des données : les mesures minimales obligatoires

Ce que la CNIL attend d'une agence immobilière

La sécurité des données n'est pas réservée aux grandes entreprises. La CNIL exige des mesures "appropriées au risque" — ce qui pour une agence immobilière implique au minimum :

• ✓
  Mots de passe robustes sur tous les outils (CRM, email, partage de fichiers) : au moins 12 caractères, avec majuscules, chiffres et symboles.
• ✓
  Authentification à deux facteurs (2FA) sur les outils critiques (email professionnel, CRM, cloud).
• ✓
  Pas de transmission de données sensibles (numéros de pièces d'identité, données financières) par email non chiffré.
• ✓
  Politique de gestion des accès : les anciens collaborateurs ne doivent plus avoir accès aux outils de l'agence après leur départ.
• ✓
  Sauvegardes régulières des données critiques (CRM, documents contractuels).

En cas de violation de données

Si vous découvrez que vos données ont été compromises (piratage, perte d'un ordinateur non chiffré, accès non autorisé), vous avez l'obligation de notifier la CNIL sous 72 heures. Si la violation est susceptible d'engendrer un risque élevé pour les personnes concernées, vous devez également les en informer directement.

Ne pas notifier une violation est une infraction distincte, sanctionnée indépendamment de la violation elle-même.

Tracfin et lutte anti-blanchiment : les obligations complémentaires

Pourquoi les agents immobiliers sont concernés par Tracfin

Les agents immobiliers sont soumis aux obligations de lutte contre le blanchiment d'argent et le financement du terrorisme (LCB-FT) depuis la 3ème directive européenne. Ils font partie des professions assujetties au dispositif Tracfin.

Concrètement, cela implique :

• ✓
  Vérification de l'identité des clients (vendeurs ET acquéreurs) avant tout acte.
• ✓
  Vigilance renforcée sur les transactions avec des fonds d'origine douteuse ou des montants en espèces.
• ✓
  Déclaration de soupçon à Tracfin si vous identifiez une opération suspecte.
• ✓
  Conservation des pièces justificatives d'identité pendant 5 ans après la fin de la relation.

Les indicateurs de soupçon à connaître

Tracfin publie une liste d'indicateurs de soupçon spécifiques à l'immobilier. Les principaux à surveiller :

• ✓
  Paiement de tout ou partie du prix en espèces (au-delà de 1 000 € en France).
• ✓
  Montage avec de multiples intermédiaires sans justification économique.
• ✓
  Acheteur ou vendeur dont l'identité ou la résidence semble incohérente avec la transaction.
• ✓
  Prix manifestement sous-évalué ou sur-évalué sans raison apparente.
• ✓
  Financement avec des fonds provenant de pays à haut risque.

La déclaration de soupçon à Tracfin est confidentielle. Ni le client concerné ni les tiers ne doivent être informés de la déclaration.

Comment utiliser les données data-driven en conformité avec le RGPD

Les données publiques : un usage licite et encadré

Les données DVF, DPE, cadastre, et SIRENE sont des données publiques. Leur utilisation pour identifier des prospects potentiels est parfaitement licite — c'est l'objectif même de leur publication en open data.

Cependant, le fait que la donnée source soit publique ne vous dispense pas des obligations RGPD dès lors que vous la croisez avec des données personnelles (nom, contact) pour créer un fichier de prospection.

La règle pratique : utiliser les données publiques pour cibler des zones ou des profils de biens (ex : "tous les DPE F dans telle rue") est licite. Les associer à des noms de propriétaires identifiés et les utiliser pour un contact direct implique de respecter les bases légales et l'information des personnes.

Realtys et la protection des données

Realtys.pro traite des données publiques (DVF, DPE, cadastre, SIRENE) dans le cadre des bases open data mises à disposition par les administrations françaises. Ces données sont utilisées comme outils d'analyse et de ciblage pour les professionnels — non comme base de contacts directs avec des particuliers.

En tant qu'agent utilisant Realtys, c'est vous qui restez responsable de vos traitements de données personnelles. Realtys vous fournit des données de marché ; la relation avec les propriétaires que vous contactez relève de votre propre cadre RGPD.

Démarrer votre essai gratuit Realtys →

FAQ — RGPD et prospection immobilière

Un agent immobilier indépendant est-il soumis au RGPD ?

Oui, sans exception. Le RGPD s'applique à toute personne physique ou morale qui traite des données personnelles dans le cadre de son activité professionnelle, quelle que soit sa taille. Un mandataire indépendant avec un simple fichier Excel de prospects est soumis au RGPD. La taille de la structure influe sur la probabilité d'un contrôle, pas sur l'obligation légale.

Peut-on envoyer des emails de prospection à des propriétaires sans leur consentement ?

Non, si ce sont des particuliers. La directive ePrivacy (transposée en droit français par la loi LCEN) interdit l'envoi d'emails commerciaux à des particuliers sans leur consentement préalable. Cette règle s'applique indépendamment du RGPD. En revanche, la prospection par courrier postal reste possible sous l'intérêt légitime, avec une mention d'information RGPD dans le courrier.

Combien de temps peut-on garder les données d'un prospect qui n'a jamais répondu ?

La CNIL recommande de ne pas conserver les données d'un prospect inactif au-delà de 3 ans à compter du dernier contact actif. Passé ce délai, soit vous supprimez les données, soit vous envoyez une relance demandant confirmation de l'intérêt — et vous supprimez si vous n'obtenez pas de réponse positive.

Que faire si un prospect demande la suppression de ses données ?

Vous devez honorer la demande dans le délai d'1 mois. Concrètement : supprimez ou anonymisez le contact dans votre CRM, supprimez les emails échangés s'ils contiennent des données personnelles, notez la demande et votre traitement dans un registre. Exception : si vous avez une obligation légale de conserver certaines données (ex : pièces d'identité liées à Tracfin), vous pouvez les conserver pendant la durée légale en les isolant de votre base de prospection.

La vérification Bloctel est-elle obligatoire avant chaque appel de pige ?

Pour les particuliers inscrits sur Bloctel, la vérification est obligatoire avant tout démarchage téléphonique commercial. Cependant, contacter un particulier qui a publié une annonce avec son numéro de téléphone n'est pas strictement considéré comme du démarchage au sens de Bloctel — c'est une réponse à une démarche initiée par lui. Mais la prudence recommande de vérifier quand même, ou du moins de mettre en place une procédure documentée sur ce point.

Quelles sont les sanctions CNIL pour un agent immobilier non conforme ?

Les sanctions CNIL varient selon la gravité du manquement. Pour les structures de petite taille (agents indépendants, petites agences), les premières sanctions sont souvent des mises en demeure avec injonction de se conformer. En cas de manquement persistant ou grave, des amendes pouvant atteindre 4 % du chiffre d'affaires mondial (ou 20 millions d'euros pour les personnes morales) peuvent être prononcées. Dans la pratique, les sanctions prononcées contre de petites agences se situent généralement entre quelques milliers et quelques dizaines de milliers d'euros.

Faut-il nommer un DPO (Délégué à la Protection des Données) en agence immobilière ?

La nomination d'un DPO est obligatoire pour les organismes dont le traitement de données constitue l'activité principale, ou qui traitent à grande échelle des données sensibles. Une agence immobilière standard n'a pas l'obligation de nommer un DPO. Cependant, un réseau de mandataires ou un groupe d'agences avec plusieurs dizaines de collaborateurs devrait envisager de s'appuyer sur un DPO externe ou un conseil juridique spécialisé.

Comment gérer les données des personnes ayant visité un bien ?

Les données collectées lors des visites (nom, coordonnées, situation financière approximative) doivent être traitées avec soin. Base légale : intérêt légitime (suivi commercial) ou mesures précontractuelles. Durée : 3 ans si la personne ne devient pas cliente. L'information RGPD doit être fournie, idéalement sur la fiche de visite que vous faites signer. Les données de financement ne doivent pas être partagées sans raison professionnelle valable.

Conclusion

Le RGPD n'est pas un obstacle à la prospection immobilière. C'est un cadre qui protège votre activité autant que les personnes que vous contactez. Un agent conforme prospecte avec plus de sérénité, plus de crédibilité, et sans le risque d'une sanction qui viendrait ternir sa réputation locale.

Trois priorités immédiates pour se mettre en conformité :

1. ✓
   Créez votre registre de traitement (modèle CNIL gratuit) — 2 heures de travail, obligation légale essentielle.
2. ✓
   Mettez en place la procédure Bloctel pour toute campagne téléphonique — automatisez la vérification avant chaque liste d'appels.
3. ✓
   Purgez votre CRM des contacts inactifs depuis plus de 3 ans — et mettez en place une alerte automatique pour l'avenir.

Ces trois actions couvrent l'essentiel des risques de non-conformité pour une agence ou un agent indépendant. Elles prennent une journée à mettre en place. Et elles vous permettent de prospecter librement, légalement, et durablement.

Prospecter légalement avec des données open data vérifiées →