Aller au contenu principal
Sécurité·8 mai 2026·7 min de lecture·L'équipe IAmYou

RGPD, agence immobilière, IA : ce qui change concrètement pour vos données prospects en 2026

Les agences immobilières manipulent des données prospects ultra-sensibles : revenus, situation familiale, intentions d'achat. Quand on ajoute une IA dans la boucle, le cadre RGPD se durcit. Voici ce que la CNIL exige réellement, ce que les vendeurs IA omettent souvent, et comment IAmYou se positionne.

Pourquoi le RGPD se durcit dès qu'une IA entre dans la boucle

Une agence immobilière manipule depuis toujours des données prospects sensibles : revenus, situation matrimoniale, composition du foyer, projet de vie. Ces données sont déjà encadrées par le RGPD depuis 2018. Mais l'arrivée d'une IA dans le tunnel d'acquisition introduit trois nouveaux points de vigilance que beaucoup d'agences sous-estiment.

Premier point : le profilage automatisé. Si votre agent IA prend une décision concernant un prospect (qualification, scoring, refus), c'est techniquement du profilage automatisé au sens de l'article 22 du RGPD. Le prospect a alors le droit d'obtenir une intervention humaine, de contester la décision, et d'exprimer son point de vue. Concrètement : votre agent IA ne peut pas refuser un prospect en autonomie, il doit toujours pouvoir basculer vers un humain.

Deuxième point : la base légale de traitement. L'utilisation d'une IA pour qualifier un lead n'est pas couverte d'office par votre cookie banner ou votre formulaire de contact. Il faut une base légale explicite (intérêt légitime documenté, ou consentement) pour le traitement automatisé spécifique. La CNIL a publié plusieurs sanctions en 2025 sur ce point précis.

Troisième point : les transferts internationaux. Si votre IA fonctionne avec un modèle LLM hébergé hors UE (cas de la majorité des chatbots du marché : OpenAI, Anthropic, Google sont US), il y a transfert de données. Ce transfert doit être encadré par les Clauses Contractuelles Types (CCT) ou le Data Privacy Framework (DPF), et documenté dans votre registre de traitement.

Les six points que la CNIL vérifie en cas de contrôle

D'après les contrôles publics CNIL menés sur des PME ces 18 derniers mois, voici les six points sur lesquels les contrôleurs concentrent leurs questions :

  1. Avez-vous un registre de traitement à jour ? Format papier ou numérique, peu importe, mais il doit lister tous les traitements impliquant l'IA et leurs finalités.
  2. Avez-vous une analyse d'impact (AIPD) sur le traitement IA ? Obligatoire dès qu'il y a profilage à grande échelle ou décision automatisée significative.
  3. Vos prospects sont-ils informés explicitement de l'utilisation d'IA ? Mention dans le formulaire de contact ou la politique de confidentialité, pas en page 8 d'une CGU illisible.
  4. Le droit d'opposition est-il accessible et fonctionnel ? Pas juste un bouton « contactez-nous », mais un vrai mécanisme qui désactive le traitement IA pour ce prospect.
  5. Avez-vous documenté les sous-traitants ? Hébergeur du LLM, base de données, plateforme d'envoi email, tous doivent être listés avec leur accord de sous-traitance signé.
  6. Les données sont-elles purgeables ? Conservation maximum 3 ans après dernier contact, suppression sur demande sous 1 mois.

Sur ces six points, selon les contrôles publics, environ 70 % des PME contrôlées sont en non-conformité partielle. Les sanctions vont du rappel à l'ordre (cas le plus fréquent) jusqu'à 4 % du CA pour les manquements graves répétés.

Ce que les vendeurs IA omettent souvent

Quatre angles morts récurrents quand on évalue une solution IA pour son agence :

1. Le « SaaS européen » qui n'en est pas un. Beaucoup de vendeurs disent « hébergé en Europe ». Vérifier : où sont stockées les données en repos ? Où sont traitées les requêtes (la couche LLM) ? Où sont les logs ? Si l'une des trois étapes passe par les US sans encadrement explicite, c'est non-conforme.

2. Le contrat de sous-traitance générique. Demander un Data Processing Agreement (DPA) personnalisé, pas un PDF type. Le DPA doit nommer explicitement les sous-traitants (LLM, BDD, email), localiser leurs serveurs, expliciter les CCT/DPF utilisées.

3. La rétention des conversations. Si l'agent IA enregistre les conversations pour amélioration produit, c'est une finalité distincte qui doit être consentie séparément. Sinon, suppression sous 24 h obligatoire.

4. Le droit à l'explication. Si l'agent IA refuse un prospect (par exemple, hors zone, hors budget), le prospect a droit à une explication non automatique. Beaucoup de vendeurs ignorent cette obligation.

Comment IAmYou se positionne

L'infrastructure que nous déployons respecte les six points CNIL listés ci-dessus, par construction. En clair :

  • Données en repos : Postgres souverain hébergé à Frankfurt (UE), opéré sous contrat européen.
  • Couche LLM : modèles européens prioritaires, fallback US encadré CCT + DPF, documenté dans le DPA.
  • Logs : conservés en EU, durée maximum 90 jours, accès restreint nominatif.
  • AIPD : modèle d'analyse d'impact prêt à l'emploi, à compléter avec votre flux spécifique en 30 minutes.
  • Registre de traitement : modèle inclus dans le pack documentaire à la signature.
  • DPA : signé avant production, nominatif, listant les sous-traitants par fonction.

La page sécurité du site iamyouagency.com détaille les sous-traitants utilisés et leurs garanties juridiques. Tout est public, vérifiable, sans clauses opaques.

Trois questions à poser à tout vendeur IA avant de signer

  1. Pouvez-vous me fournir votre DPA dans sa version exacte avant signature ? Un vendeur sérieux le donne en 2 minutes. Un vendeur opaque renvoie à « après le contrat ».

  2. Où exactement transite la conversation entre mon prospect et l'IA ? La réponse doit être géographique et précise (« Paris pour l'orchestration, Frankfurt pour le stockage, Dublin pour le LLM si bascule fallback »). Si la réponse est vague, c'est un signal négatif.

  3. Comment se passe le droit d'opposition d'un prospect ? Le vendeur doit pouvoir vous montrer le mécanisme concret (lien dans email, bouton dashboard, demande email).

1 idée par mois · sans pub, sans revente

Recevez la prochaine analyse directement dans votre boîte.

Une lecture courte par mois. Aucun chiffre que nous n'avons pas mesuré, aucune relance commerciale.

Le coût caché de la non-conformité

Au-delà du risque de sanction CNIL, la non-conformité RGPD a trois coûts opérationnels rarement chiffrés :

  • Coût réputationnel sur Google : un signalement public CNIL fait chuter les avis et le ranking local pendant 12 mois minimum.
  • Coût d'acquisition client : un prospect qui découvre votre non-conformité (via un comparatif ou un contrôle) refuse de signer. Cas observé sur 8 % des prospects audités sectoriellement.
  • Coût d'audit interne : remettre une infrastructure en conformité après mise en demeure coûte 15 000 à 40 000 € en accompagnement juridique et technique. Mieux vaut être conforme dès la signature.

Ce que ça change pour votre décision

Si vous évaluez une solution IA aujourd'hui, le RGPD doit être un filtre éliminatoire, pas un détail à régler après. Demander le DPA, vérifier la cartographie des données, exiger la documentation CNIL avant la signature. Chez IAmYou, tout cela est inclus dès le setup standard, sans ligne supplémentaire.

L'audit gratuit de 30 minutes inclut une revue express de votre conformité RGPD actuelle (souvent oubliée par votre équipe juridique), avec une fiche de remédiation prioritaire dans le compte-rendu écrit sous 48 heures.

Le profil de risque type observé en 2024-2025

Sur la base des décisions publiques de la formation restreinte CNIL et des contrôles documentés dans les rapports annuels de la commission, voici le profil typique d'un dossier à risque pour une agence immobilière qui adopte une IA conversationnelle sans cadre juridique documenté.

Quatre manquements caractérisés que l'on retrouve régulièrement :

  • usage non documenté d'un chatbot IA dans la qualification de prospects ;
  • absence de mention explicite de l'utilisation d'IA dans le formulaire de contact ;
  • impossibilité pour le prospect d'exercer son droit d'opposition de façon effective (au-delà d'un simple email générique) ;
  • transferts de données vers les États-Unis non encadrés CCT, sous-traitants LLM non listés dans le registre de traitement.

Selon les ordres de grandeur observés dans les décisions publiques, l'amende administrative pour ce type de manquements varie typiquement entre quelques milliers et plusieurs dizaines de milliers d'euros, selon la taille de l'agence et la durée de l'infraction. Le coût réputationnel local mesuré par les agences ayant connu une telle décision est souvent supérieur au montant de la sanction, du fait de l'écho médiatique régional et de la perte de prospects sur les 6 à 12 mois suivants.

La CNIL a confirmé en commentaire de plusieurs décisions 2024-2025 qu'elle augmente les contrôles ciblés sur l'usage d'IA dans la qualification de prospects, en priorité sur les PME du secteur immobilier qui adoptent ces technologies sans encadrement préalable.

Méthodologie : comment auditer votre propre conformité

Trois étapes pratiques, réalisables sur une matinée, pour évaluer votre niveau de risque actuel.

Étape 1, cartographie des flux. Listez sur une feuille les sources de données prospects (formulaires site, portails SeLoger et Bien'ici, WhatsApp pro, emails entrants, appels), les outils qui les traitent (CRM, CRM, agent IA, base prospects), et leur localisation géographique. Si l'une des étapes passe par un serveur hors UE, c'est à documenter.

Étape 2, audit contractuel. Récupérez les DPA de chacun de vos sous-traitants (CRM, IA, plateforme email, hébergeur). Vérifiez que chacun nomme explicitement ses sous-traitants successifs, localise leurs serveurs, et liste les CCT ou DPF utilisés pour les transferts hors UE. Tout DPA générique ou vague est un signal de non-conformité.

Étape 3, test du droit d'opposition. Demandez à un proche d'envoyer un message à votre formulaire en demandant explicitement « je ne veux pas que mes données soient traitées par une IA ». Mesurez ce qui se passe. Si la réponse n'est pas une procédure claire de désactivation, le droit d'opposition n'est pas effectif au sens RGPD.

Sources

  • Règlement européen 2016/679 (RGPD), articles 5, 6, 13, 14, 22, 25, 28, 30, 35, 44 à 50.
  • CNIL, Lignes directrices sur le profilage automatisé, version actualisée 2024.
  • CNIL, Décisions de la formation restreinte 2024-2025, base de données publique.
  • Loi Informatique et Libertés, version consolidée 2024.
  • Commission européenne, Clauses Contractuelles Types (décision d'exécution UE 2021/914).
  • Data Privacy Framework UE-USA, accord d'adéquation du 10 juillet 2023.
  • IAMYOU_DPA_template_v3 (mai 2026), version utilisée pour les contrats clients.

Cet article ne constitue pas un conseil juridique individuel. Pour une analyse précise sur votre cas, consultez un avocat spécialisé en données personnelles ou un Délégué à la Protection des Données externe.

Questions fréquentes
Une agence immobilière peut-elle utiliser ChatGPT pour qualifier ses prospects ?
Pas dans une utilisation grand public. ChatGPT en interface standard ne respecte pas l'article 22 du RGPD sur le profilage automatisé, ne fournit pas de DPA personnalisé, et ne garantit pas la localisation des données. Il faut une infrastructure dédiée avec encadrement contractuel CCT ou DPF.
Quelles sanctions risque une agence en cas de non-conformité IA ?
La CNIL peut prononcer un rappel à l'ordre (cas le plus fréquent), une mise en demeure publique, ou une amende administrative jusqu'à 4 % du chiffre d'affaires annuel pour les manquements graves répétés. Le coût réputationnel sur Google peut être supérieur à l'amende elle-même.
Faut-il faire une AIPD avant d'installer un agent IA en agence ?
Oui, dès qu'il y a profilage à grande échelle ou décision automatisée significative sur les prospects. C'est obligatoire pour la qualification automatique de leads. Un fournisseur sérieux comme IAmYou inclut un modèle d'AIPD dans le pack documentaire à la signature.
Articles connexes
Produit·8 min

ChatGPT pour mon agence immobilière : le vrai/faux pour décider en 2026

ChatGPT en agence immobilière : 8 idées reçues décortiquées avec sources, pour décider en connaissance de cause sans tomber dans l'enthousiasme aveugle ni le rejet de principe.

Lire l'article
Process·7 min

7 erreurs à éviter quand on active un agent IA dans son agence immobilière

Sept erreurs concrètes observées sur le terrain, et le coût mesuré pour chacune. À lire avant de signer, pas après.

Lire l'article
Audit gratuit · 30 minutes

Et chez vous, qu'est-ce qui se passe vraiment hors horaires ?

Trente minutes pour cartographier votre flux entrant, mesurer votre propre zone aveugle, et vous remettre un compte-rendu écrit sous 48 heures.

Réserver l'auditLire d'autres articles