Peut-on utiliser ChatGPT avec les données clients d'une agence immobilière ?

Oui, sous conditions. La version gratuite de ChatGPT peut utiliser vos conversations pour entraîner les modèles OpenAI — ce qui constitue un transfert de données à un sous-traitant non encadré par un DPA (Data Processing Agreement). Pour une utilisation professionnelle conforme au RGPD, utiliser ChatGPT Team (9€/mois/utilisateur) ou ChatGPT Enterprise, qui incluent un DPA et désactivent l'entraînement sur vos données. L'alternative : anonymiser systématiquement les données avant de les soumettre à l'IA, quelle que soit la version utilisée.

Quelles données personnelles ne doit-on jamais soumettre à une IA cloud ?

Dans le contexte immobilier, les données à ne jamais soumettre à une IA cloud non contractualisée sont : les noms et prénoms des clients ou prospects, les numéros de téléphone et adresses email, les situations financières (revenus, capacité d'emprunt, dossier de financement), les pièces d'identité ou données de la fiche de renseignements, et les coordonnées complètes associées à un bien. En pratique : avant de coller un texte dans une IA, retirer tout ce qui identifie une personne physique spécifique. Garder les données agrégées, les types de bien, les cas génériques.

Qu'est-ce qui change avec la loi du 11 août 2026 pour les agences immobilières ?

La loi du 11 août 2026 interdit le démarchage téléphonique B2C non consenti (cold calling vers des particuliers sans demande préalable). Elle ne modifie pas directement les règles RGPD sur l'IA, mais elle renforce indirectement l'obligation de disposer d'une base légale claire pour contacter un prospect. Si votre CRM contient des prospects issus d'achats de fichiers ou de listes non opt-in, les contacter via un workflow IA automatisé après le 11 août 2026 expose l'agence à un double risque : violation de la loi démarchage et traitement RGPD sans base légale valide.

Une agence immobilière doit-elle nommer un DPO pour utiliser l'IA ?

Non, une agence immobilière standard n'est pas obligée de nommer un Délégué à la Protection des Données (DPO). Le DPO obligatoire ne concerne que les organismes publics, les entités traitant des données sensibles à grande échelle, ou celles dont l'activité principale implique un suivi régulier et systématique des personnes à grande échelle. Une agence de 2 à 15 personnes n'entre généralement pas dans ces catégories. En revanche, maintenir un registre des traitements et documenter les usages IA reste obligatoire pour toute structure, quelle que soit sa taille.

Comment utiliser l'IA pour qualifier des leads immobiliers sans violer le RGPD ?

Trois règles opérationnelles suffisent pour qualifier des leads avec l'IA en restant conforme. Première règle : travailler sur des données anonymisées ou pseudonymisées dans l'IA — l'identifiant client reste dans votre CRM, l'IA ne voit que le profil dépersonnalisé (type de projet, budget, délai, critères). Deuxième règle : ne pas automatiser les décisions de refus ou de classement définitif uniquement sur la base d'un score IA sans supervision humaine — le RGPD interdit les décisions automatisées à impact significatif (article 22). Troisième règle : utiliser un outil contractualisé avec un DPA si vous traitez des volumes importants ou des données financières.

IA et RGPD dans une agence immobilière : ce qui est autorisé en 2026

Pourquoi le RGPD s'applique à vos usages IA — même si vous ne stockez rien

Le malentendu le plus courant : « je n'enregistre rien, donc il n'y a pas de traitement ». C'est faux au sens du RGPD. Soumettre un texte contenant le nom d'un client, son numéro de téléphone ou sa situation financière à une IA cloud, même temporairement, constitue un traitement de données personnelles. Ce traitement implique un transfert à un sous-traitant — OpenAI, Anthropic, Microsoft — et ce sous-traitant doit être encadré par un contrat spécifique appelé DPA (Data Processing Agreement).

Sans DPA en place, vous transférez des données personnelles à un tiers sans base légale RGPD valide. Ce n'est pas théorique : la CNIL a déjà sanctionné des entreprises pour des transferts de données vers des outils SaaS sans DPA, et l'utilisation d'IA générative grand public est dans son radar depuis 2023.

La bonne nouvelle : le risque est très facile à réduire avec deux réflexes simples, sans investissement technique particulier.

La règle des 10 secondes : anonymiser avant de soumettre

Avant de coller n'importe quel texte dans une IA, appliquer ce filtre : est-ce que ce texte contient quelque chose qui permet d'identifier une personne physique spécifique ?

Les données identifiantes courantes en agence immobilière :

Nom et prénom d'un client, acquéreur ou vendeur
Numéro de téléphone ou adresse email personnelle
Adresse exacte d'un bien associée au propriétaire
Situation financière : revenus, capacité d'emprunt, dossier de financement
Données issues d'une pièce d'identité ou d'une fiche de renseignements

Si le texte contient l'un de ces éléments, deux options : soit retirer l'élément identifiant avant de soumettre à l'IA (« M. Dupont, 06 12 34 56 78 » devient « le client »), soit utiliser un outil contractualisé avec un DPA en bonne et due forme.

Cette règle des 10 secondes ne demande aucun outil supplémentaire. Elle s'apprend en une session de formation d'une heure et élimine 90 % du risque RGPD lié à l'utilisation quotidienne de l'IA en agence.

Ce qui est autorisé sans restriction particulière

Ces usages ne présentent pas de risque RGPD significatif parce qu'ils n'impliquent pas de données personnelles identifiables :

Rédiger une annonce immobilière à partir de la fiche technique d'un bien (surface, DPE, étage, prix) — sans mentionner le propriétaire ni ses coordonnées
Générer un email de relance en remplaçant le prénom du destinataire par un champ variable rempli côté CRM, pas dans l'IA
Synthétiser un compte rendu de visite à partir de notes anonymisées : « le client cherche un T3, budget 350k, délai 3 mois » — sans nom ni contact
Préparer des scripts de qualification génériques, des modèles d'email, des réponses FAQ — aucune donnée personnelle en jeu
Analyser des données DVF (données.gouv.fr) pour construire une estimation — ces données sont publiques et déjà anonymisées par l'État
Rédiger des courriers contractuels standards (lettres de mandat, attestations) en remplaçant les champs nominatifs par des variables avant de passer l'IA

Ce qui est risqué — à encadrer, pas à interdire

Ces usages ne sont pas interdits mais exposent à un risque réel si l'outil n'est pas contractualisé :

Soumettre un dossier client complet à ChatGPT (version gratuite ou Plus) pour en faire un résumé. Le dossier contient presque toujours des données identifiantes. Solution : utiliser ChatGPT Team (à partir de 9 € HT/mois/utilisateur) qui inclut un DPA OpenAI, ou anonymiser le dossier avant de le soumettre.

Utiliser un outil IA non contractualisé pour noter automatiquement des leads. Si la notation entraîne une décision significative (ne pas rappeler ce prospect, le classer « non prioritaire » définitivement), l'article 22 du RGPD s'applique : les décisions automatisées à impact significatif sur une personne nécessitent soit un consentement explicite, soit une supervision humaine obligatoire. Dans la pratique : l'IA peut produire un score, un humain valide la décision finale.

Stocker des transcriptions de conversations avec des clients dans un outil IA cloud. Si vous utilisez un assistant vocal ou un outil de transcription automatique (type Otter, Fireflies, Granola) pour enregistrer des appels avec des prospects, vous devez informer explicitement la personne que la conversation est enregistrée et traitée par un système automatisé. L'information préalable est obligatoire, le consentement est fortement recommandé.

Ce qui est interdit — sans discussion

Trois usages sont clairement hors cadre RGPD quelle que soit la plateforme IA utilisée :

Traiter des données sensibles via une IA grand public. Les données de santé, situation de handicap, orientation politique ou religieuse — même si elles apparaissent de façon incidente dans un dossier client (une note sur une situation médicale, par exemple) — sont des données sensibles au sens du RGPD (article 9). Leur traitement nécessite une base légale renforcée. Les soumettre à une IA cloud sans encadrement contractuel strict est interdit.

Enrichir un fichier prospects avec des données collectées via du scraping automatisé sans consentement. Constituer une base de données en croisant des informations publiques (LinkedIn, Pages Jaunes, sites d'annonces) pour créer des profils personnalisés sans informer les personnes ni obtenir leur consentement est illégal, que l'enrichissement soit fait manuellement ou via IA.

Contacter automatiquement des prospects après le 11 août 2026 sans base légale de prospection valide. Dès le 11 août 2026, tout contact commercial non sollicité vers des particuliers sans consentement préalable (opt-in) est interdit. Un workflow IA qui envoie automatiquement des emails ou messages à une base de prospects achetée ou constituée sans opt-in viole à la fois la loi démarchage et le RGPD.

Date clé : 11 août 2026. Si votre CRM contient des prospects issus de listes achetées ou de collecte sans consentement explicite, le risque de double violation (loi démarchage + RGPD) est réel dès cette date. Auditez votre base avant juillet 2026.

Les 4 étapes pour sécuriser vos usages IA actuels

1. Cartographier ce que vous faites traiter par l'IA

Listez toutes les tâches où vous utilisez l'IA aujourd'hui ou prévoyez de le faire. Pour chaque tâche, répondez à la question : est-ce que des données personnelles sont impliquées ? Cette cartographie prend 30 à 60 minutes. C'est le point de départ de tout le reste.

2. Distinguer les outils avec DPA de ceux sans DPA

Voici l'état actuel des principaux outils utilisés en agence :

Outil	DPA disponible ?	Entraînement sur vos données ?	Usage professionnel sécurisé
ChatGPT (gratuit / Plus)	Non	Oui par défaut (désactivable)	Données anonymisées uniquement
ChatGPT Team	Oui (DPA OpenAI)	Non	✓ Acceptable avec DPA signé
Claude Pro (Anthropic)	Non (usage perso)	Non par défaut	Données anonymisées recommandé
API Anthropic / Claude	Oui (DPA Anthropic)	Non	✓ Acceptable avec DPA signé
Microsoft Copilot 365	Oui (DPA Microsoft)	Non (données isolées par tenant)	✓ Acceptable si tenant configuré

3. Appliquer la règle d'anonymisation systématique

Quel que soit l'outil, intégrer le réflexe d'anonymisation dans les workflows d'équipe. Une session de formation courte (1 heure) suffit pour que l'ensemble de l'équipe comprenne le principe et l'applique. Ce n'est pas une contrainte technique — c'est un réflexe éditorial.

4. Documenter dans votre registre de traitement

Le RGPD (article 30) impose à toute structure traitant des données personnelles de tenir un registre des activités de traitement. Si vous utilisez l'IA dans un processus qui implique des données personnelles, ce traitement doit y figurer. Pour chaque usage IA documenté, noter : la finalité (ex. : qualification de leads), la base légale (ex. : intérêt légitime), le sous-traitant (ex. : OpenAI via ChatGPT Team), la catégorie de données (ex. : coordonnées de prospects), et la durée de conservation.

En cas de contrôle CNIL, ce registre est la première pièce demandée. Son absence peut aggraver une sanction même si les traitements eux-mêmes sont conformes.

Ce que ça change concrètement dans votre quotidien

La conformité RGPD ne ralentit pas l'adoption de l'IA. Elle la structure. Les agences qui intègrent ces règles dès le départ gagnent en deux directions : elles évitent une exposition réglementaire croissante à mesure que l'utilisation de l'IA se généralise dans le secteur, et elles construisent une différenciation commerciale réelle. Dans un secteur où la confiance est un actif central, pouvoir dire à un client « nous utilisons l'IA et voici comment nous protégeons vos données » est un argument commercial, pas une contrainte.

Pour une agence de 2 à 10 personnes, la mise en conformité complète des usages IA tient en une journée de travail : cartographie, choix des outils, formation de l'équipe, mise à jour du registre. C'est le périmètre exact de ce qu'on installe dans l'offre Éveil.

Vous utilisez déjà l'IA dans votre agence et vous n'êtes pas sûr de votre conformité RGPD ?

Un appel de 30 minutes permet de faire le point sur vos usages actuels, identifier les zones de risque réelles et définir les ajustements prioritaires. Aucun jargon juridique — uniquement ce qui compte pour votre agence.

Planifier un appel

En résumé

Le principe de base : soumettre des données personnelles à une IA cloud constitue un traitement RGPD — même sans stockage. Un DPA avec le sous-traitant IA est nécessaire si vous traitez des données identifiables.
La règle des 10 secondes : avant de coller un texte dans une IA, vérifier qu'il ne contient pas de nom, téléphone, email ou situation financière identifiable. Anonymiser sinon.
Les usages sûrs : annonces, comptes rendus anonymisés, scripts génériques, analyse DVF — aucune donnée personnelle, aucun risque RGPD.
Les usages à encadrer : dossiers clients, scoring automatisé, transcriptions d'appels — possibles avec un DPA en place et/ou une supervision humaine.
Date clé : 11 août 2026 — double risque pour les bases de prospects non opt-in (loi démarchage + RGPD). Auditer avant juillet 2026.
La mise en conformité : tient en une journée pour une agence standard — cartographie, choix d'outils, formation, registre.

Wassim Rbila

Fondateur de Domus AI — Spécialiste IA × Immobilier en France

10 ans d'expérience en IA et data (Betclic, Rakuten, Tesla, Nike). Il forme et accompagne les agences immobilières françaises à l'adoption concrète de l'IA pour gagner du temps sur les tâches répétitives sans complexifier le travail terrain.

Voir le profil complet →