La gestion des données personnelles au sein d'une copropriété
Une copropriété fait intervenir plusieurs acteurs qui peuvent collecter et utiliser des données personnelles. La CNIL rappelle les règles pour les cas d’usage les plus fréquents : la transmission de ces données entre acteurs, la prospection commerciale, la détermination des responsabilités et la dématérialisation de la gestion de la copropriété.
Qu’est-ce que la copropriété ?
Une copropriété est un immeuble ou un groupe d’immeubles détenu par plusieurs copropriétaires : l’immeuble est alors réparti en lots composés de parties privatives. Pour chaque lot (par exemple un appartement) est définie une quote-part de participation aux charges des parties communes (par exemple le hall d’entrée). Cette quote-part est calculée en fonction de différents critères liés au caractéristiques du lot (type, surface, étage…).
L’administration d’une copropriété est strictement encadrée et repose sur une relation entre trois acteurs.
Les décisions intéressant la gestion de la copropriété sont prises par le syndicat des copropriétaires (composé de l’ensemble des copropriétaires) qui se réunissent au moins une fois par an en assemblée générale.
À cette occasion, ils désignent le conseil syndical (composé de certains copropriétaires) qui assiste et contrôle la gestion du syndic. Ce dernier est en charge de l’administration de la copropriété et notamment de l’exécution des décisions prises par le syndicat des copropriétaires.
Le principe de sécurité et de confidentialité impose à tout organisme traitant des informations relatives à des personnes physiques (c’est-à-dire des données personnelles) de prendre des mesures pour s’assurer que seules des personnes autorisées y accèdent.
Chaque copropriétaire devra donc pouvoir accéder aux seules informations qui lui sont nécessaires, en fonction de son rôle au sein de la copropriété.
Le syndic doit de la même manière veiller à ne communiquer au conseil syndical ou au syndicat des copropriétaires, que les informations nécessaires à l’accomplissement de leurs missions.
Du syndic au conseil syndical
Le syndic doit transmettre au conseil syndical, lorsqu’il le lui demande, tout document relatif à l’administration de la copropriété (article 21 de la loi du 10 juillet 1965). Comme il s’agit d’une obligation légale, le syndic ne peut pas s’y soustraire. Cette communication n’est pas, en elle-même, contraire au règlement général sur la protection des données (RGPD).
Lorsque le syndic communique des documents aux membres du conseil syndical, il lui est recommandé de leur rappeler la nécessité de respecter la confidentialité des informations transmises dans le cadre de leurs fonctions.
Du syndic aux copropriétaires
Le syndic doit également permettre à l’ensemble des copropriétaires de consulter divers documents relatifs à la copropriété, notamment les pièces justificatives des charges.
Dès lors qu’un texte législatif ou réglementaire prévoit explicitement la consultation du document, le syndic ne peut invoquer le RGPD pour la refuser.
Exemple : c’est le cas pour les procès-verbaux des trois dernières assemblées générales (AG) annuelles ayant été appelées à connaître des comptes et, s’ils existent, les devis de travaux approuvés lors de ces AG ainsi que les feuilles de présence annexées. Un décret fixe la liste minimale des documents dématérialisés concernant la copropriété accessibles sur un espace sécurisé en ligne (décret n° 2019-502 du 23 mai 2019 relatif à la liste minimale des documents dématérialisés concernant la copropriété accessibles sur un espace sécurisé en ligne).
Dès lors que les dispositions législatives et réglementaires prévoient la simple consultation ou mise à disposition de documents, le syndic devrait veiller, en principe, à ne pas en fournir la copie. Il limite ainsi le risque de divulgation de données relatives aux salariés et aux autres copropriétaires.
Quant aux pièces justificatives des charges de copropriété pouvant être consultés par les copropriétaires dans les locaux du syndic, elles ne sont pas définies de façon exhaustive par les textes. Il appartient dès lors au syndic de définir ces documents, tout en veillant au respect de la vie privée des autres personnes concernées et particulièrement des salariés.
Exemples :
- La mise à disposition des fiches de paie nécessite de masquer certaines données relatives au salarié (numéro de sécurité sociale, adresse personnelle, taux de prélèvement à la source, etc.) qui ne sont pas nécessaires à la vérification des dépenses.
- Lorsque les membres du syndicat des copropriétaires votent l’installation d’une caméra de vidéoprotection dans un hall d’immeuble pour assurer la sécurité des personnes ou des biens, les images enregistrées ne peuvent pas être rendues accessibles à l’ensemble des habitants de l’immeuble. L’installation d’un tel dispositif suppose par ailleurs de prendre diverses précautions afin de préserver la vie privée des habitants et des salariés de la copropriété. Elles peuvent être uniquement consultées par les personnes compétentes désignées pour effectuer les vérifications nécessaires à la suite d’un incident (membres du conseil syndical ou syndic par exemple), dans les cas où cette consultation est nécessaire et notamment pour les besoins de la gestion de ces incidents (par exemple en cas de dépôt de plainte).
Du syndic à des tiers extérieurs à la copropriété
L’activité de syndic suppose le respect de règles et de principes éthiques, parmi lesquels figure l’obligation de confidentialité qui n’est pas compatible à cette demande de transmission.
Cette dernière peut être levée dans trois situations seulement :
- Lorsqu’une loi ou un règlement l’oblige ou l’autorise à communiquer des informations, notamment lorsque le syndic est tenu de témoigner en justice;
- lorsque les personnes concernées donnent leur accord à la transmission ;
- dans le cadre d’une procédure pour l'exercice de leur défense en matière judiciaire ou disciplinaire.
Par conséquent, si aucun texte ne prévoit la transmission des données par le syndic, un organisme tiers ne peut pas obtenir communication de données relatives à des copropriétaires sauf si ces derniers ont préalablement consenti à cette transmission.
Du syndic aux associations d’usagers ou de consommateurs
Une association d’usagers ou de consommateurs peut parfois demander au syndic d’accéder à certaines informations relatives aux copropriétaires.
Les règles applicables à la communication d’informations à des tiers s’appliquent également à cette situation.
Les associations d’usagers peuvent obtenir communication d’informations lorsque les personnes concernées ont donné leur accord.
Le professionnel pourrait par ailleurs alerter l’association sur l’impossibilité de réutiliser les informations pour un autre objectif que celui initialement présenté.
Exemple : une association représentative de locataires demande au syndic de copropriété la liste des copropriétaires de l’immeuble ainsi que leurs coordonnées. Elle souhaite, en effet, réaliser une enquête sur un projet local permettant d’améliorer le cadre de vie des habitants. Dans cette situation, le syndic peut communiquer les données demandées, sous réserve de recueillir préalablement le consentement des personnes concernées.
Des membres du conseil syndical aux copropriétaires
Les membres du conseil syndical ne peuvent utiliser les données relatives aux copropriétaires que dans le cadre du mandat qui leur a été confié.
Ils devront en conséquence se montrer vigilants et ne communiquer d’informations obtenues dans le cadre de leurs missions à d’autres copropriétaires ou habitants de l’immeuble que si cela s’avère nécessaire.
La prospection commerciale par le syndic
Lorsque le syndic est un professionnel de l’immobilier ayant d’autres activités économiques (achat, vente, administration de biens…), il doit veiller à ne pas utiliser les informations traitées dans le cadre de son activité de syndic pour d’autres usages incompatibles avec la raison initiale de la collecte qui est la gestion administrative et financière de la copropriété.
La prospection commerciale effectuée par le syndic nécessite donc le recueil du consentement des copropriétaires pour effectuer de la prospection commerciale, car :
- l’objectif (finalité) de la prospection n’est pas compatible avec l’objectif initial de la collecte des données ;
- la prospection par voie électronique (courriels, SMS, etc.) nécessite le consentement des copropriétaires.
La répartition des responsabilités concernant les données dans la copropriété
Le responsable de traitement est la personne, l'autorité publique, la société ou l'organisme qui détermine les objectifs et les moyens de ce fichier ; autrement dit, qui décide de sa création.
C'est lui qui est responsable du respect des règles concernant l’utilisation qui est faite des données.
Lorsqu’un texte (législatif ou réglementaire) oblige le syndic à collecter et/ou utiliser des données personnelles, il est considéré comme responsable de traitement. C’est notamment le cas pour :
- la mise en place d’un accès en ligne aux documents dématérialisés de la copropriété supposant l’utilisation des identifiants et mots de passe des copropriétaires (article 18 de la loi du 10 juillet 1965) ;
- ainsi que l’établissement de la liste des copropriétaires dans le cadre de la gestion administrative de la copropriété (article 32 du décret du 17 mars 1967).
Dans cette situation, le syndic doit informer les personnes concernées des raisons le conduisant à traiter des données personnelles en précisant les caractéristiques du traitement (objectif poursuivi, durée de conservation des données, droits qui peuvent exercer les personnes concernées, etc.). Il doit également être en mesure de permettre aux personnes concernées d’exercer leurs droits.
En revanche, si la mise en œuvre d’une décision du syndicat des copropriétaires nécessite l’utilisation de données personnelles, les responsabilités devront être définies au cas par cas, selon le rôle de chacun (syndicat des copropriétaires, syndic ou prestataire auquel il pourrait être fait appel) dans la détermination de l’objectif et des moyens de ce traitement.
La simplification et la dématérialisation de la gestion de la copropriété
La loi ELAN prévoit diverses mesures pour simplifier et dématérialiser les échanges au sein de la copropriété.
La tenue de l’assemblée générale des copropriétaires à distance
Les copropriétaires peuvent désormais participer à l'assemblée générale par présence physique, par visioconférence ou par tout autre moyen de communication électronique permettant leur identification.
Le syndic doit veiller à choisir des outils respectueux de la vie privée des personnes les utilisant en évitant autant que possible ceux qui :
- collectent un volume important d’informations ;
- intègrent des « traceurs publicitaires » pouvant, par exemple, collecter à l’insu des utilisateurs des informations d’utilisation de leur smartphone ou ordinateur (la géolocalisation, la liste des applications installées, les comptes associés au terminal…) ;
- compromettent la sécurité du matériel informatique des personnes concernées.
L’utilisation d’un outil proposé par une entreprise dont la maison-mère est située en dehors de l'Union européenne (UE) est susceptible d'entraîner des transferts de données personnelles vers des pays en dehors de l'UE. Dans cette hypothèse, des mesures particulières doivent être prises pour assurer la protection des données personnelles.
L’extranet de la copropriété
Un syndic professionnel est dans l’obligation de proposer un accès en ligne sécurisé aux documents dématérialisés relatifs à la gestion de l’immeuble.
Cet extranet doit garantir la sécurité et la confidentialité des données traitées. Le syndic et son éventuel sous-traitant peuvent à cet égard se référer au guide sur la sécurité des données personnelles qui rappelle les précautions à prendre.
Pour approfondir
Les textes de référence
- Article 18 de la loi n°65-557 du 10 juillet 1965 fixant le statut de la copropriété des immeubles bâtis (accès en ligne sécurisé aux documents) - Légifrance
- Article 21 de la loi n°65-557 du 10 juillet 1965 fixant le statut de la copropriété des immeubles bâtis (transmission des documents sur la gestion de la copropriété) - Légifrance
- Décret n°67-223 du 17 mars 1967 pris pour l'application de la loi du 10 juillet 1965 fixant le statut de la copropriété des immeubles bâtis (établissement de la liste des copropriétaires) - Légifrance
- Loi n° 2018-1021 du 23 novembre 2018 portant évolution du logement, de l'aménagement et du numérique (loi Elan) - Légifrance