Comunidades de vecinos

Protection des données en copropriété

Les copropriétés sont responsables du traitement des données personnelles de leurs résidents et doivent respecter le Règlement (UE) 2016/679 — le RGPD — ainsi que la LOPDGDD espagnole (loi organique 3/2018). Les principaux domaines de risque sont la vidéosurveillance des parties communes, la publication d'informations sur les copropriétaires débiteurs au tableau d'affichage et la relation juridique avec le syndic de copropriété en tant que sous-traitant. Chez Summum Consultoría, nous accompagnons les copropriétés de Castille-et-León et des Canaries dans leur mise en conformité complète avec le RGPD, sans imposer de solutions logicielles ni de bureaucratie inutile.

Réglementation applicableRGPD (UE) 2016/679 · LOPDGDD LO 3/2018 · LPH Loi 49/1960
Données traitéesPropriétaires, locataires, visiteurs et images de vidéosurveillance
Autorité de contrôleAEPD — Agence espagnole de protection des données (Agencia Española de Protección de Datos)

Les copropriétés constituées en régime de propriété horizontale conformément à la loi 49/1960 (LPH, loi espagnole sur la propriété horizontale) ont la qualité de responsables du traitement des données personnelles de leurs membres lorsqu'elles les traitent dans le cadre de leurs relations communautaires, conformément à la définition générale de l'article 4, paragraphe 7 du RGPD — position confirmée par l'AEPD dans son guide sur la protection des données en copropriété. Cela signifie que l'assemblée des copropriétaires et le président — représentant légal de la copropriété — assument toutes les obligations propres à tout responsable du traitement : informer les personnes concernées de manière transparente (art. 13 et 14 RGPD), tenir un registre des activités de traitement (art. 30 RGPD), mettre en œuvre des mesures de sécurité adaptées au risque et répondre aux demandes d'exercice des droits d'accès, de rectification, d'effacement, de limitation et d'opposition des propriétaires et des locataires. La taille de la copropriété — qu'il s'agisse d'un immeuble de dix étages ou d'un lotissement en plusieurs phases — ne modifie pas ces obligations.

Le syndic de copropriété (administrador de fincas) occupe une position centrale dans la protection des données de la copropriété. Lorsqu'il gère le fichier des propriétaires, émet les appels de charges, convoque les assemblées générales ou traite la correspondance avec les prestataires pour le compte de la copropriété et selon ses instructions, il agit en qualité de sous-traitant au sens de l'article 4, paragraphe 8 du RGPD. Cette relation exige de formaliser un contrat de sous-traitance conformément à l'article 28 du RGPD, précisant l'objet et la durée du traitement, la nature et la finalité du traitement, les catégories de données personnelles, les instructions du responsable, les mesures de sécurité exigées et la procédure à suivre en cas de violation de données. L'absence de ce contrat est, en pratique, la lacune la plus fréquente que nous constatons lors de l'audit de copropriétés, et expose tant la copropriété que le syndic à un risque réglementaire réel.

L'installation de caméras dans les parties communes de l'immeuble — hall d'entrée, parking, escaliers, piscine ou jardins — constitue un traitement de données personnelles que l'article 22 de la LOPDGDD encadre avec des exigences spécifiques, complétées par le guide de l'AEPD sur la vidéosurveillance. Trois conditions minimales s'imposent : premièrement, les dispositifs ne doivent filmer que les parties communes de l'immeuble lui-même, sans englober la voie publique ni des espaces privés au-delà de la bande minimale d'accès strictement nécessaire ; deuxièmement, les images doivent être supprimées dans un délai maximal d'un mois à compter de leur capture conformément à l'article 22, paragraphe 3 de la LOPDGDD, sauf si elles sont liées à une enquête policière ou judiciaire en cours ; et troisièmement, une signalétique informative visible doit être placée dans les zones surveillées, avant l'accès à l'espace filmé, avec les coordonnées du responsable du traitement. La décision de l'assemblée des copropriétaires approuvant l'installation est une exigence de la LPH, mais ne se substitue pas au respect des obligations documentaires du RGPD.

L'un des points les plus sensibles dans la gestion des données des copropriétés est la publication d'informations sur les copropriétaires dont les charges sont impayées. La loi sur la propriété horizontale (LPH, loi 49/1960) elle-même fonde ce traitement sous deux angles : l'article 16.2 LPH impose que la convocation de l'assemblée générale comprenne la liste des copropriétaires non à jour dans leurs paiements — ce qui habilite le traitement de ces données dans le cadre de la gestion de la copropriété —, tandis que l'article 21 LPH régit la procédure spécifique de recouvrement des dettes de la copropriété, qui constitue le fondement du traitement lié aux actions de recouvrement. Toutefois, la publication de ces informations au tableau d'affichage — accessible à tous les résidents et aux visiteurs — exige de respecter le principe de minimisation des données de l'article 5, paragraphe 1, point c) du RGPD : seules les données strictement nécessaires à la finalité poursuivie peuvent être affichées, pendant le temps indispensable et sur la base d'une décision de l'assemblée qui l'autorise expressément. L'information doit être retirée dès que la dette est régularisée. Publier des données excessives — telles que des informations bancaires, des données relatives à des procédures judiciaires en cours ou des circonstances personnelles du propriétaire — peut constituer une infraction au régime de sanctions de l'article 83 du RGPD.

Chez Summum Consultoría, nous accompagnons les copropriétés de Castille-et-León et des Canaries dans leur mise en conformité intégrale avec le RGPD, du diagnostic initial à la mise en place de l'ensemble des documents et procédures exigibles : registre des activités de traitement, contrats de sous-traitance avec le syndic et les autres prestataires accédant aux données personnelles de la copropriété, clauses d'information pour les propriétaires et les locataires, protocole de vidéosurveillance conforme à l'article 22 de la LOPDGDD et procédure de gestion des demandes d'exercice des droits. Nous conseillons également l'assemblée sur les limites légales du traitement des données des copropriétaires débiteurs et sur la manière admissible de rendre ces informations publiques. Notre rôle est celui d'un accompagnateur et d'un conseil en conformité : nous ne remplaçons pas l'AEPD et ne garantissons pas l'issue d'éventuelles procédures de sanction, mais nous dotons la copropriété des outils nécessaires pour démontrer une conformité réelle et vérifiable lors de toute inspection.

Le processus Protection des données en copropriété.

Le processus · quatre étapes
01

Diagnostic et registre des activités de traitement

Nous identifions tous les flux de données de la copropriété : fichier des propriétaires et des locataires, procès-verbaux d'assemblée, gestion des charges et des impayés, vidéosurveillance, visiophone, contrats avec les prestataires et plateformes de gestion de copropriété. Nous déterminons la base juridique applicable à chaque traitement et élaborons le registre des activités de traitement exigé par l'article 30 du RGPD.

02

Contrats de sous-traitance et documentation relative à la vie privée

Nous rédigeons le contrat de sous-traitance avec le syndic de copropriété (art. 28 RGPD) et avec les autres prestataires accédant aux données de la copropriété : société de sécurité, service de gardiennage externalisé et fournisseurs de logiciels de gestion. Nous élaborons également les clauses d'information pour les propriétaires et les locataires (art. 13 et 14 RGPD) ainsi que les mentions légales si la copropriété dispose d'un portail ou d'un site web.

03

Protocole de vidéosurveillance et tableau des impayés

Nous vérifions la conformité du système de caméras avec l'article 22 de la LOPDGDD et le guide de l'AEPD : angle de captation, délai de conservation d'un mois, signalétique informative et décision d'assemblée habilitante. Nous conseillons l'assemblée sur le contenu minimal admissible au tableau des impayés, la base juridique applicable et le protocole de retrait immédiat des informations une fois la dette régularisée.

04

Procédure des droits, formation et révision annuelle

Nous mettons en place le canal et la procédure permettant de traiter les demandes d'exercice des droits d'accès, de rectification, d'effacement, de limitation et d'opposition des propriétaires et des locataires dans le délai d'un mois (art. 12 RGPD). Nous formons le président de la copropriété et le syndic à leurs obligations pratiques, et prévoyons une révision annuelle de la documentation en cas de modifications réglementaires ou d'évolution des traitements de la copropriété.

Ce qui est inclus

Ce qu'inclut Protection des données en copropriété.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Registre des activités de traitement

    Élaboration du registre des activités de traitement (RAT) exigé par l'article 30 du RGPD, avec des fiches pour chaque traitement de la copropriété : fichier des propriétaires, procès-verbaux d'assemblée, gestion des charges, vidéosurveillance, contrats avec les prestataires et communications de la copropriété.

  • Contrat de sous-traitance avec le syndic

    Rédaction du contrat de sous-traitance (art. 28 RGPD) entre la copropriété — en tant que responsable du traitement — et le syndic — en tant que sous-traitant —, incluant toutes les clauses requises : objet, instructions, mesures de sécurité, sous-traitance ultérieure et restitution des données à l'issue de la mission.

  • Vidéosurveillance dans les parties communes (art. 22 LOPDGDD)

    Vérification de la conformité du système de caméras dans le hall d'entrée, le parking, la piscine et les escaliers : angle de captation limité aux parties communes de l'immeuble, conservation maximale d'un mois, signalétique informative normalisée et décision d'assemblée habilitante conformément au guide de l'AEPD.

  • Clauses d'information et signalétique

    Rédaction des informations à fournir aux propriétaires, aux locataires et aux visiteurs concernant le traitement de leurs données (art. 13 et 14 RGPD), notamment l'affiche normalisée pour les zones sous vidéosurveillance et la clause de confidentialité figurant sur les fiches d'inscription des propriétaires.

  • Gestion et limites du tableau des copropriétaires débiteurs

    Conseil sur la base juridique applicable pour publier des données sur les propriétaires en situation d'impayé, le contenu minimal admissible conformément au principe de minimisation (art. 5, paragraphe 1, point c) RGPD), les conditions de la décision d'assemblée et le protocole de retrait une fois la dette régularisée.

  • Traitement des demandes d'exercice des droits des personnes concernées

    Conception de la procédure interne pour traiter les demandes d'accès, de rectification, d'effacement, d'opposition, de limitation et de portabilité (arts. 15-22 RGPD) des propriétaires et des locataires, avec une réponse documentée dans le délai maximal d'un mois prévu à l'article 12 du RGPD et un enregistrement de chaque action.

Cluster Summum

Comment il se connecte aux sœurs.

La protection des données en copropriété repose sur trois piliers interdépendants : la conformité générale au RGPD, le contrôle spécifique du système de vidéosurveillance dans les parties communes et la gestion correcte des droits des propriétaires et des locataires. Chez Summum Consultoría, nous traitons ces trois dimensions de façon intégrée et adaptée à la réalité opérationnelle de chaque copropriété.

Questions fréquentes sur Protection des données en copropriété.

Une copropriété doit-elle se conformer au RGPD ?

Oui. Les copropriétés en régime de propriété horizontale ont la qualité de responsables du traitement des données personnelles de leurs membres conformément à la définition générale de l'article 4, paragraphe 7 du RGPD — position confirmée par l'AEPD dans son guide sur les copropriétés. Cela les oblige à respecter toutes les exigences du Règlement (UE) 2016/679 : informer les personnes concernées, tenir le registre des activités de traitement, mettre en œuvre des mesures de sécurité adéquates et répondre aux demandes d'exercice des droits dans un délai d'un mois. Le fait que la copropriété soit une entité sans but lucratif et qu'elle délègue la gestion quotidienne à un syndic ne l'exonère pas de ces obligations.

Quelles exigences la vidéosurveillance dans les parties communes d'un immeuble doit-elle respecter ?

L'article 22 de la LOPDGDD et le guide de l'AEPD sur la vidéosurveillance prévoient que les caméras installées dans les parties communes doivent satisfaire à trois exigences fondamentales : premièrement, elles ne peuvent filmer que les parties communes de l'immeuble lui-même, sans englober la voie publique ni des espaces privés au-delà de la bande d'accès minimale strictement nécessaire ; deuxièmement, les images doivent être supprimées dans un délai maximal d'un mois à compter de leur capture conformément à l'article 22, paragraphe 3 de la LOPDGDD, sauf si elles sont liées à une enquête policière ou judiciaire ; et troisièmement, une signalétique informative visible doit être apposée avant l'accès à l'espace filmé, avec les coordonnées du responsable du traitement. La décision d'assemblée approuvant l'installation est requise par la LPH, mais elle ne suffit pas à assurer la conformité avec le RGPD.

Peut-on afficher les noms des copropriétaires débiteurs au tableau d'affichage ?

La loi sur la propriété horizontale fournit le fondement juridique exprès : l'article 16.2 LPH impose que la convocation de l'assemblée générale comprenne la liste des copropriétaires non à jour dans leurs paiements, et l'article 21 LPH régit la procédure de recouvrement des dettes de la copropriété. Toutefois, l'affichage de ces informations au tableau d'affichage exige de respecter le principe de minimisation des données de l'article 5, paragraphe 1, point c) du RGPD : seules les données strictement nécessaires à la finalité poursuivie peuvent être affichées — en pratique, le nom du propriétaire et le montant dû —, pendant le temps indispensable et sur la base d'une décision d'assemblée qui le prévoit expressément. L'information doit être retirée dès que la dette est régularisée. La publication de données excessives — telles que des informations bancaires, des détails de procédures judiciaires en cours ou des circonstances personnelles — peut constituer une violation de la réglementation sur la protection des données passible de sanctions de l'AEPD.

Le syndic doit-il signer un contrat de protection des données avec la copropriété ?

Oui. Lorsque le syndic traite les données personnelles des propriétaires pour le compte de la copropriété et selon ses instructions, il agit en qualité de sous-traitant au sens de l'article 4, paragraphe 8 du RGPD. L'article 28 du RGPD exige que cette relation soit formalisée par un contrat écrit de sous-traitance précisant l'objet, la durée et la finalité du traitement, les catégories de données personnelles traitées, les instructions du responsable ainsi que les obligations de confidentialité et de sécurité du sous-traitant. L'absence de ce contrat peut faire l'objet de sanctions de l'AEPD, indépendamment du fait que la gestion ait été matériellement correcte.

Quelle base juridique couvre le traitement des données des propriétaires ?

La base juridique principale pour traiter les données des propriétaires dans le cadre de la gestion ordinaire de la copropriété est le respect des obligations légales découlant de la loi 49/1960 sur la propriété horizontale (art. 6, paragraphe 1, point c) RGPD) — convocations, procès-verbaux, gestion des charges, relations avec les prestataires — et l'intérêt légitime de la copropriété pour l'administration de l'immeuble (art. 6, paragraphe 1, point f) RGPD). Le traitement des images de vidéosurveillance est également couvert par l'intérêt légitime lié à la sécurité de l'immeuble, à condition que les exigences de l'article 22 de la LOPDGDD soient respectées. Il n'est pas nécessaire d'obtenir le consentement des propriétaires pour les traitements directement liés aux obligations découlant de la LPH.

Quelles sanctions l'AEPD peut-elle infliger à une copropriété ?

Les infractions au RGPD dans le domaine des copropriétés sont soumises au régime de sanctions de l'article 83 du Règlement (UE) 2016/679 et de la LOPDGDD. Les infractions graves — telles que l'absence de base juridique pour un traitement, le défaut de contrat de sous-traitance avec le syndic ou le non-respect du régime de vidéosurveillance — peuvent entraîner des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total. Les infractions très graves — telles que la violation des principes fondamentaux du traitement — peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires. L'AEPD prend en compte comme circonstances atténuantes la bonne foi, la diligence dans la coopération avec le régulateur et les mesures prises pour limiter les effets de l'infraction.