Pourquoi le RGPD concerné votre copropriété
Depuis le 25 mai 2018, le Règlement Général sur la Protection des Donnees (RGPD) s'applique a toute entite qui traite des donnees personnelles, y compris les syndicats de copropriétaires. Et les donnees personnelles en copropriété, il y en a beaucoup plus qu'on ne le pense :
- Fichier des copropriétaires : noms, adresses, tantiemes, coordonnees, situation financière (solde de charges)
- Videosurveillance : images des personnes entrant et sortant de l'immeuble
- Compteurs connectes : releves de consommation individuels (eau, chauffage)
- Echanges électroniques : emails, messagerie interne, extranet
- Donnees bancaires : RIB pour les prelevements de charges
- Proces-verbaux d'AG : votes nominatifs, procurations
Le syndicat des copropriétaires est le responsable du traitement au sens du RGPD. Le syndic (professionnel ou bénévole) agit en tant que representant du responsable de traitement. Il doit donc veiller au respect des obligations légales.
A retenir : La CNIL a publie en 2020 un guide spécifique intitule "Habitat collectif et donnees personnelles". C'est la référence officielle pour les syndics et syndicats de copropriétaires.
Les 6 principes du RGPD appliques a la copropriété
| Principe | Ce que ca signifie en copropriété |
|---|---|
| Licéité | Chaque traitement de donnees doit avoir une base légale : exécution du contrat (mandat de syndic), obligation légale (loi de 1965), intérêt legitime (sécurité de l'immeuble) ou consentement |
| Finalite | Les donnees ne peuvent etre collectees que pour un objectif précis et legitime. Le fichier des copropriétaires sert a la gestion de la copropriété, pas a du demarchage commercial |
| Minimisation | Ne collecter que les donnees strictement nécessaires. Pas besoin du numéro de sécurité sociale ou de la profession pour gérer les charges |
| Exactitude | Les donnees doivent etre tenues a jour. En cas de mutation (vente d'un lot), mettre a jour le fichier rapidement |
| Limitation de conservation | Les donnees ne sont conservees que le temps nécessaire. Un ancien copropriétaire doit etre supprime du fichier actif (archivage possible pour les obligations comptables) |
| Sécurité | Protéger les donnees contre l'acces non autorise, la perte ou la destruction. Mots de passe, chiffrement, sauvegardes |
Le fichier des copropriétaires
Quelles donnees le syndic peut-il collecter ?
Le syndic a besoin de certaines informations pour exercer son mandat. Voici ce qui est legitime et ce qui ne l'est pas :
🚀 Simplifiez la gestion de votre copropriété
Découvrez comment SyndicOS peut vous faire gagner un temps précieux.
Essayer gratuitement| Donnee | Collecte autorisee ? | Base légale |
|---|---|---|
| Nom, prenom | Oui | Obligation légale (art. 32 décret 1967) |
| Adresse postale | Oui | Obligation légale (convocations LRAR) |
| Email, telephone | Oui | Intérêt legitime (communication courante) |
| Tantiemes de copropriété | Oui | Obligation légale (répartition des charges) |
| Situation financière (solde) | Oui | Obligation légale (gestion des comptes) |
| RIB / coordonnees bancaires | Oui | Exécution du contrat (prelevement charges) |
| Profession | Non | Non nécessaire a la gestion |
| Situation familiale | Non | Non nécessaire a la gestion |
| Revenus, patrimoine | Non | Non nécessaire (meme pour apprecier la solvabilite) |
| Nationalite, origine | Non | Donnee sensible interdite |
Qui peut acceder au fichier ?
L'acces aux donnees personnelles des copropriétaires doit etre strictement limite aux personnes qui en ont besoin :
- Le syndic (ou son equipe) : acces complet pour la gestion courante
- Le conseil syndical : acces aux documents comptables et de gestion dans le cadre de sa mission de contrôle (art. 21 loi 1965), mais pas d'acces libre a l'ensemble du fichier avec les coordonnees personnelles
- Un copropriétaire lambda : acces a ses propres donnees uniquement (droit d'acces RGPD). Il n'a pas le droit de consulter les donnees des autres copropriétaires
- Les prestataires (comptable, avocat) : acces limite aux donnees nécessaires a leur mission, encadre par un contrat de sous-traitance
Attention : La communication de la liste des copropriétaires avec leurs coordonnees a un autre copropriétaire (par exemple pour organiser une petition) n'est pas autorisee sans base légale. En revanche, la feuille de presence de l'AG (noms + tantiemes) est un document consultable car elle fait partie du PV.
Durée de conservation
- Copropriétaire actuel : tant qu'il est propriétaire d'un lot
- Ancien copropriétaire : suppression du fichier actif des la mutation, archivage des donnees comptables pendant 10 ans (obligation légale comptable) puis destruction
- Pieces comptables : 10 ans (art. L123-22 Code de commerce)
- PV d'assemblée générale : conservation illimitee (document juridique de la copropriété)
La videosurveillance en copropriété
C'est le sujet RGPD le plus sensible en copropriété. L'installation d'un système de videosurveillance dans les parties communes est soumise a des règles strictes.
Le vote en assemblée générale
L'installation de cameras dans les parties communes doit etre votee en assemblée générale a la majorité de l'article 25 (majorité absolue de tous les copropriétaires). La résolution doit préciser :
- Les zones filmees (hall, parking, local poubelles, etc.)
- La finalite : sécurité des biens et des personnes
- La durée de conservation des images
- Les personnes habilitees a consulter les images
- Le cout de l'installation et de la maintenance
Le regime juridique applicable
Deux regimes coexistent selon les zones filmees :
| Zone filmee | Regime applicable | Formalités |
|---|---|---|
| Parties communes interieures (hall, escaliers, parking couvert, caves) | RGPD seul | Registre des traitements + information des personnes + analyse d'impact si nécessaire |
| Abords extérieurs de l'immeuble (entree, trottoir, voie publique) | RGPD + Code de la sécurité intérieure (art. L251-1 et suivants) | Autorisation prefectorale obligatoire + registre + information |
Important : Les cameras ne doivent jamais filmer l'intérieur des lots privatifs (fenetres, balcons prives), ni les parties communes a usage privatif. La CNIL considere que filmer la porte d'entree d'un appartement est disproportionne sauf circonstances exceptionnelles.
Les obligations d'information
Toute personne penetrant dans une zone video-surveillee doit etre informee. En pratique :
- Panneaux d'affichage visibles a chaque entree de la zone filmee, mentionnant : la presence de cameras, la finalite (sécurité), le responsable du traitement (syndicat des copropriétaires), la durée de conservation, les modalités d'exercice du droit d'acces
- Mention dans le règlement intérieur de la copropriété
- Information individuelle des copropriétaires et locataires (ex : note dans le carnet d'entretien, affichage dans le hall)
Durée de conservation des images
La CNIL est tres stricte sur ce point : les images de videosurveillance doivent etre conservees 30 jours maximum. Au-dela, elles doivent etre automatiquement effacees.
Exception : en cas d'incident (vol, dégradation, agression), les images pertinentes peuvent etre extraites et conservees le temps de la procédure judiciaire.
Qui peut consulter les images ?
- Le syndic (ou la personne désignée par l'AG) : acces pour les besoins de la gestion de la sécurité
- Les forces de l'ordre : sur requisition judiciaire
- Un copropriétaire victime : droit d'acces aux images le concernant (art. 15 RGPD), dans la limite ou cela ne porte pas atteinte aux droits des autres personnes filmees
Un copropriétaire curieux ou le gardien ne peuvent pas consulter les images librement. L'acces doit etre encadre et trace.
Sanctions en cas de non-conformité
| Infraction | Sanction |
|---|---|
| Installation sans autorisation prefectorale (parties exterieures) | 3 ans d'emprisonnement + 45 000 EUR d'amende (art. 226-1 Code pénal) |
| Défaut d'information des personnes filmees | Mise en demeure CNIL, puis amende pouvant atteindre 20 M EUR ou 4 % du CA |
| Conservation au-dela de 30 jours | Mise en demeure + amende CNIL |
| Cameras filmant l'intérieur des logements | 1 an d'emprisonnement + 45 000 EUR (atteinte a la vie privee, art. 226-1 CP) |
L'extranet et les outils numeriques
L'extranet de copropriété
Depuis le décret du 23 mai 2019, le syndic doit mettre a disposition un espace en ligne securise (extranet) permettant aux copropriétaires d'acceder aux documents de la copropriété. Cet extranet implique le traitement de donnees personnelles :
- Identifiants de connexion : email, mot de passe
- Documents disponibles : PV d'AG, appels de fonds, decomptes individuels
- Journaux d'acces : qui se connecte, quand, quelles actions
Le syndic doit s'assurer que :
- Chaque copropriétaire n'accede qu'a ses propres documents (cloisonnement strict)
- Les mots de passe sont chiffres (hachage, jamais en clair)
- La connexion est securisee (HTTPS obligatoire)
- Les journaux d'acces sont conserves 1 an maximum
La messagerie interne et les emails
Les echanges entre le syndic et les copropriétaires contiennent souvent des donnees personnelles (relances d'impayes, situations individuelles). Bonnes pratiques :
- Utiliser le BCC (copie cachee) pour les envois groupes — ne jamais exposer la liste des emails a tous les destinataires
- Ne pas communiquer la situation financière d'un copropriétaire a d'autres copropriétaires (meme au conseil syndical, sauf soldes agrages)
- Sécuriser l'acces a la messagerie du syndic (mot de passe fort, double authentification)
Erreur classique : Envoyer un email en "CC" a tous les copropriétaires avec la liste des debiteurs et leurs montants d'impayes. C'est une violation du RGPD qui peut donner lieu a une plainte CNIL et a une action en justice pour atteinte a la vie privee.
Les sous-traitants : encadrer les acces
Qui sont les sous-traitants en copropriété ?
Tout prestataire qui traite des donnees personnelles pour le compte du syndicat est un sous-traitant au sens du RGPD :
- Editeur du logiciel de gestion (comptabilite, extranet) — comme TheSyndic
- Expert-comptable qui revise les comptes
- Société de maintenance de videosurveillance
- Prestataire de releve de compteurs connectes
- Hebergeur web de l'extranet
- Avocat (dans certains cas)
Le contrat de sous-traitance
L'article 28 du RGPD impose un contrat ecrit entre le responsable du traitement (syndicat) et chaque sous-traitant. Ce contrat doit préciser :
- L'objet et la durée du traitement
- La nature et la finalite du traitement
- Les categories de donnees traitees
- Les obligations du sous-traitant (sécurité, confidentialite, suppression en fin de contrat)
- Les conditions de sous-traitance ultérieure
En pratique, la plupart des editeurs de logiciels et prestataires incluent ces clauses dans leurs conditions générales d'utilisation ou dans un accord de traitement des donnees (DPA - Data Processing Agreement).
Le registre des traitements
Le RGPD impose au responsable du traitement de tenir un registre des activités de traitement (art. 30). En copropriété, voici les traitements les plus courants a documenter :
| Traitement | Finalite | Base légale | Donnees | Durée de conservation | Destinataires |
|---|---|---|---|---|---|
| Fichier copropriétaires | Gestion de la copropriété | Obligation légale | Identité, adresse, tantiemes, solde | Durée de propriété + 10 ans (archivage) | Syndic, comptable |
| Comptabilite | Tenue des comptes | Obligation légale | Identité, montants, paiements | 10 ans | Syndic, expert-comptable |
| Videosurveillance | Sécurité des biens et personnes | Intérêt legitime | Images video | 30 jours max | Syndic, forces de l'ordre |
| Messagerie / extranet | Communication | Intérêt legitime | Emails, messages, logs | Durée de propriété + 1 an | Syndic, editeur logiciel |
| Releve de compteurs | Répartition des charges | Obligation légale | Consommations individuelles | 5 ans | Syndic, société de releve |
| Badges d'acces | Sécurité de l'immeuble | Intérêt legitime | Identité, horaires de passage | 3 mois glissants | Syndic |
Conseil TheSyndic : Le registre peut etre un simple tableau (papier ou numerique). La CNIL propose un modele gratuit sur son site. L'important est qu'il soit tenu a jour et consultable en cas de contrôle.
Les droits des copropriétaires
Le RGPD confere a chaque personne dont les donnees sont traitees un ensemble de droits que le syndic doit etre en mesure de satisfaire :
| Droit | Contenu | Délai de reponse |
|---|---|---|
| Droit d'acces (art. 15) | Obtenir une copie de toutes les donnees le concernant | 1 mois |
| Droit de rectification (art. 16) | Corriger des donnees inexactes (adresse, email) | 1 mois |
| Droit a l'effacement (art. 17) | Demander la suppression de ses donnees (limite : obligations légales de conservation) | 1 mois |
| Droit d'opposition (art. 21) | S'opposer au traitement (limite : le syndic peut refuser si obligation légale) | 1 mois |
| Droit a la portabilite (art. 20) | Recevoir ses donnees dans un format structure (CSV, JSON) pour les transmettre a un autre syndic | 1 mois |
Comment traiter une demande d'exercice de droits ?
- Vérifier l'identité du demandeur (copie de piece d'identité si doute)
- Repondre dans un délai d'un mois (prolongeable de 2 mois si demande complexe, en informant le demandeur)
- Fournir les informations gratuitement (sauf demandes manifestement excessives ou repetitives)
- Documenter la demande et la reponse dans un registre
L'analyse d'impact (AIPD)
Une analyse d'impact relative a la protection des donnees (AIPD) est obligatoire lorsqu'un traitement est susceptible d'engendrer un risque eleve pour les droits et libertes des personnes. En copropriété, l'AIPD est requise pour :
- La videosurveillance des parties communes (surveillance systematique a grande echelle)
- Les badges/contrôles d'acces avec tracage des horaires de passage
L'AIPD n'est généralement pas requise pour le fichier des copropriétaires ou la comptabilite (traitements courants de gestion).
La CNIL met a disposition un outil gratuit (PIA — Privacy Impact Assessment) pour réaliser l'analyse étape par étape.
Les sanctions en cas de non-conformité
Les sanctions de la CNIL
- Avertissement : premier niveau, souvent accompagne d'une mise en demeure de se mettre en conformité
- Mise en demeure : obligation de se conformer dans un délai fixe (généralement 1 a 3 mois)
- Amende administrative : jusqu'a 20 millions d'euros ou 4 % du chiffre d'affaires annuel (en pratique, pour les copropriétés, les amendes sont proportionnees — quelques milliers a dizaines de milliers d'euros)
- Injonction de cesser le traitement : par exemple, demontage d'un système de videosurveillance non conforme
Les actions en justice des copropriétaires
Un copropriétaire dont les donnees sont mal protegees peut :
- Porter plainte aupres de la CNIL (gratuit, en ligne sur cnil.fr)
- Saisir le tribunal judiciaire pour obtenir des dommages-intérêts (préjudice moral, atteinte a la vie privee)
- Demander en refere le retrait immédiat de cameras non conformes
Checklist RGPD pour le syndic de copropriété
| N | Action | Fait ? |
|---|---|---|
| 1 | Identifier tous les traitements de donnees personnelles | ☐ |
| 2 | Tenir a jour le registre des traitements | ☐ |
| 3 | Vérifier la base légale de chaque traitement | ☐ |
| 4 | Ne collecter que les donnees strictement nécessaires | ☐ |
| 5 | Informer les copropriétaires du traitement de leurs donnees | ☐ |
| 6 | Définir les durées de conservation et les appliquer | ☐ |
| 7 | Encadrer les sous-traitants par un contrat ecrit | ☐ |
| 8 | Sécuriser les acces (mots de passe, droits limites) | ☐ |
| 9 | Si videosurveillance : vote AG + panneaux + durée 30j max | ☐ |
| 10 | Etre pret a repondre aux demandes d'exercice de droits sous 1 mois | ☐ |
| 11 | Réaliser une AIPD si videosurveillance ou badges | ☐ |
| 12 | Utiliser le BCC pour les emails groupes | ☐ |
Conclusion
Le RGPD en copropriété n'est pas un casse-tete : il s'agit avant tout de bon sens et de respect de la vie privee des copropriétaires. Les trois chantiers prioritaires sont le fichier des copropriétaires (minimisation et securisation), la videosurveillance (si existante) et l'encadrement des sous-traitants.
Le risque principal n'est pas l'amende record de la CNIL — les petites copropriétés ne sont pas la cible prioritaire — mais plutot les conflits internes : un copropriétaire qui decouvre que ses donnees financières circulent, que les cameras filment son balcon, ou que la liste des emails est partagee sans precaution. Ce sont ces situations qui generent plaintes, tensions et contentieux.
Avec TheSyndic, vos donnees sont hebergees en France, le cloisonnement entre copropriétaires est natif, les mots de passe sont chiffres et les acces sont traces. Creez votre compte gratuitement et gérez votre copropriété en conformité avec le RGPD.
