Enjeux juridiques des Proptech - (V) Accès et partage des données générées par les objets connectés dans le secteur immobilier

L’expression PropTech (contraction de « Property » et « Technology ») désigne le recours à la technologie et au numérique dans le secteur immobilier, à toutes les étapes de la chaîne de valeur, de la construction à l’asset management et à la gestion du parc immobilier, en passant par les transactions intervenues sur le marché pour vendre ou louer le bien (ou encore les tours de financement éventuels).

Comme dans d’autres domaines (santé, droit, assurance, …), des acteurs bien établis dans le secteur du property management ou de l’asset management, ainsi que de nombreuses start-ups, ont compris l’intérêt de mobiliser les technologies, par ailleurs en évolution constante, pour automatiser des processus existants ou offrir de nouveaux services à toutes les parties prenantes, en particulier les utilisateurs finaux.

On pense, par exemple, à l’impression 3D et à la réalité virtuelle (ou augmentée) au stade de la construction, à l’estimation de la valeur des immeubles par des outils d’intelligence artificielle (IA), aux plateformes d’annonces de vente ou de location en ligne, voire encore à la gestion « intelligente » d’un parc immobilier basée sur l’Internet des Objets (IoT – Internet of Things) ou sur des d’outils collaboratifs permettant de maximaliser l’utilisation des espaces de coworking ou des parkings.

Lime vous propose une analyse des principaux enjeux juridiques des PropTech, dont le cinquième volet est consacré aux droits des utilisateurs sur les données des objets connectés[1].

[1] Pour les notes précédentes, consacrées (I) à la valorisation des données en conformité avec le RGPD, (II) à l’intelligence artificielle, (III) à la transition écologique et (IV) à la dématérialisation des procédures, voy. https://www.lime.law/fr/latest-thinking/les-enjeux-juridiques-des-proptech.

Constatant les risques et les opportunités de l’émergence d’un marché de la donnée, résultant notamment de la multiplication des objets connectés, chez les particuliers ou les professionnels, le législateur européen est intervenu en adoptant le règlement sur les données (ou Data Act), applicable depuis le 12 septembre 2025.

Il a pour but de garantir l’équité entre les principaux acteurs, au moment d’accéder aux données (qu’elles soient à caractère personnel ou pas), de les utiliser ou de les partager à des tiers. Dans le secteur immobilier, les services liés à ces données ouvrent des perspectives très intéressantes : applications de domotiques pour des particuliers (avec des services à valeur ajoutée), outils de maintenance prédictive pour des professionnels, de nature à prolonger la vie des produits, etc.

Tous les acteurs concernés doivent désormais s’assurer qu’elles respectent scrupuleusement le Data Act. Les entreprises doivent ainsi vérifier que les contrats conclus avec leurs utilisateurs ou avec les destinataires de données sont strictement conformes au nouveau cadre réglementaires (ainsi qu’au RGPD et à l’AI Act, le cas échéant). Parallèlement, des mesures doivent être prises pour protéger leurs actifs immatériels, en recourant aux dispositifs en vigueur dans le domaine des secrets d’affaires ou des droits de propriété intellectuelle.

Dans le secteur immobilier, comme dans d’autres domaines, les objets connectés se multiplient. Connectés au réseau par le Wifi ou au moyen d’une carte SIM intégrée, ils ont la capacité de collecter des données relatives à leur utilisation ou leur environnement et de traiter celles-ci, tout en communiquant diverses informations à l’utilisateur du produit ou à un professionnel (par exemple, le fabriquant).

Les applications sont nombreuses, pour les consommateurs et les professionnels.

Dans le secteur immobilier, les particuliers peuvent y recourir pour connaître le taux de PH ou la température de leur piscine, pour contrôler la sécurité de leur maison (au moyen de caméras de surveillance) ou pour optimiser le niveau de luminosité de certaines pièces. Ils peuvent également être informés de leur consommation d’énergie et, ce faisant, l’adapter (en cas de coûts excessifs) ou détecter des anomalies (une fuite d’eau, par exemple). En général, les informations sont mises à leur disposition en temps réel dans des applications téléchargées sur leur smartphone, à travers lesquelles ils peuvent prendre diverses actions (baisser le thermostat du chauffage ou libérer du chlore dans la piscine, par exemple).

Pour les professionnels, ces données sont utiles à plusieurs égards. Elles permettent aux fabricants des biens ainsi qu’aux gestionnaires/propriétaires des immeubles de connaître rapidement les éventuels défauts de fonctionnement des composantes-clés (installation électrique, chauffage, équipements sanitaires, etc.) et, dans le cadre de la maintenance prédictive, d’y remédier dans les meilleurs délais. Ces technologies peuvent ainsi contribuer à prolonger la durée de vie des produits, dans une perspective de développement durable[1]. Les gestionnaires de surfaces de bureaux peuvent également contrôler les paramètres liés par exemple à la consommation d’énergie et, dans ce cadre, optimiser le chauffage ou l’éclairage en fonction de l’occupation des espaces. Les données recueillies et traitées de manière anonymisée permettent enfin aux professionnels de mieux cerner les habitudes des clients, en vue d’améliorer leurs produits et proposer de nouvelles fonctionnalités.

[1] A cet égard, voy. la note consacrée à la transition écologique dans le secteur PropTech.

Le traitement des données collectées au moyen des objets connectés et des services connexes, ou générées par leur utilisation, peut engendrer des risques et, dans ce cadre, porter atteinte aux droits fondamentaux des personnes concernées.

Lorsqu’il s’agit de données à caractère personnel, les dispositions du RGPD devront être scrupuleusement respectées[1]. Le recours à des outils d’intelligence artificielle, pour traiter le volume considérable de données disponibles ou interagir de manière autonome avec les utilisateurs, peut également être subordonné au respect de règles spécifiques, telles que le règlement IA[2]. De même, on ne peut exclure qu’à la suite d’un hacking ou d’autres infractions en matière de cybercriminalité, des données soient dérobées ou que le fonctionnement de certains objets connectés soit altéré, voire paralysé purement et simplement.

[1] A cet égard, voy. la note consacrée à l’application du RGPD dans le secteur PropTech.

[2] A cet égard, voy. la note consacrée au recours à l’IA dans le secteur PropTech.

Depuis plusieurs années, les opérateurs ont compris que les données constituaient un actif de grande valeur. Le marché de la donnée connait ainsi un essor constant. Pourtant, toutes les entreprises ne sont manifestement pas sur pied d’égalité et, pour certaines d’entre elles, il est très difficile, voire impossible, d’obtenir les données générées par les objets connectés à des conditions équitables et transparentes. De même, certains utilisateurs, notamment consommateurs, peuvent éprouver des difficultés au moment d’accéder à leurs données ou de les partager avec un nouveau prestataire.

Le législateur européen est conscient de ces obstacles et, dans le cadre de sa stratégie sur les données, il a adopté en 2023 un règlement sur les données[1] (ou « Data Act ») dont les dispositions sont applicables, sauf exceptions, depuis le 12 septembre 2025. Cet instrument introduit des règles harmonisées, directement applicables dans les Etats membres, ayant pour but de garantir la mise à disposition des données au profit des utilisateurs de produits connectés ou de services connexes, au profit des destinataires de données ou, pour des besoins exceptionnels, au profit d’organismes du secteur public ou de certaines autorités publiques. La portabilité des données est également encadrée, de même que l’adoption de normes techniques harmonisées, indispensables pour permettre les transferts de données.

Nous mettrons l’accent sur les droits des utilisateurs, en termes d’accès et de partage de données, et sur l’obligation éventuelle de mettre les données à la disposition de tiers.

Avant toute chose, les entreprises potentiellement visées doivent s’assurer qu’elles sont soumises aux dispositions du règlement. Certaines PME (micro, petites ou moyennes entreprises) peuvent en effet être dispensées du respect de certaines règles en matière de partage de données.

[1] Règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l'équité de l’accès aux données et de l’utilisation des données et modifiant le règlement (UE) 2017/2394 et la directive (UE) 2020/1828 (règlement sur les données), J.O., L du 22 décembre 2023.

Conformément au Data Act, les utilisateurs – qu’ils soient professionnels ou consommateurs – ont le droit d’accéder aux données relatives aux produits connectés (un compteur d’électricité, par exemple) et aux services connexes (les applications mobiles dédiées, par exemple). Dans la mesure du possible, ils doivent être en mesure d’y accéder directement ou, sauf exception, moyennant une simple demande envoyée par courrier électronique. Un principe d’accès aux données by design est ainsi consacré par l’article 3 du règlement.

Des obligations d’information sont imposées aux cocontractants des utilisateurs. Elles portent notamment sur les données du produit et sur les modalités d’accès à celles-ci. On recommande donc aux fabricants ou aux loueurs/bailleurs des produits ainsi qu’aux fournisseurs des services de s’assurer que leurs notices d’information et les conditions contractuelles sont à jour.

Ce droit d’accès n’est pas absolu. Les exigences tenant à la sécurité des produits, et entraînant de « graves effets indésirables pour la santé, la sûreté ou la sécurité des personnes physiques » peuvent ainsi conduire à restreindre ou à empêcher l’accès (art. 4 (2) du Data Act). Les secrets d’affaires doivent également être protégés. Toute utilisation des données n’est pas permise : il est ainsi clairement stipulé que « l'utilisateur ne se sert pas des données obtenues […] pour mettre au point un produit connecté concurrençant le produit connecté dont proviennent les données, ni ne partage les données avec un tiers dans cette intention, et il n'utilise pas ces données pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production du fabricant ou, le cas échéant, du détenteur de données » (art. 4 (10) du Data Act).

Le Data Act s’applique aux données à caractère personnel et aux données à caractère non personnel. Ces dernières portent par exemple sur des informations techniques relatives aux performances du produit connecté et aux bogues dont il est affecté, le cas échéant. En pratique, la distinction entre ces deux catégories de données pourrait se révéler délicate et une analyse fine et circonstanciée devra être réalisée. S’agissant des données à caractère personnel, les exigences du RGPD devront être strictement observées. Concernant les données à caractère non personnel, le cadre normatif est nettement moins détaillé. Outre le règlement 2018/1807[1], il faut désormais respecter l’article 4 du Data Act qui exige la conclusion d’un contrat entre l’utilisateur et le détenteur des données, pour que celui-ci puisse utiliser les données non-personnelles, étant entendu qu’il lui est interdit de le faire « pour obtenir des informations sur la situation économique, les actifs ou les méthodes de production de l'utilisateur, ou sur l'utilisation qu'en fait ce dernier, d'une quelconque autre manière susceptible de porter atteinte à la position commerciale dudit utilisateur sur les marchés où celui-ci est actif » (art. 4 (13) du Data Act). Le partage de ces données aux tiers doit également être conforme aux dispositions contractuelles.

[1] Règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l'Union européenne, J.O., L 303 du 28 novembre 2018.

L’utilisateur des données – le gestionnaire d’un espace de bureaux, par exemple – a le droit de partager celles-ci avec des tiers.

Ces tiers peuvent être le fournisseur d’une solution de domotique intégrée dont il veut souscrire les services ou un autre prestataire de maintenance prédictive auquel il veut faire appel (et qui a donc besoin des données).

Le détenteur de données – le prestataire actuel du gestionnaire de bureaux, dans l’exemple précité – doit mettre les données à la disposition du tiers sans retard injustifié. Le cas échéant, des mesures doivent être prises pour protéger la confidentialité des données et les secrets d’affaires. Quant au tiers, il ne peut traiter les données que pour les finalités et aux conditions convenues avec l’utilisateur. L’article 6 du Data Act contient aussi une liste de pratiques interdites, et consistant, notamment à « utiliser les données qu'il reçoit pour développer un produit concurrençant le produit connecté dont proviennent les données auxquelles il a accès ou de partager les données avec un autre tiers à cette fin » ou à « empêcher l'utilisateur qui est un consommateur, y compris sur le fondement 'd'un contrat, de mettre à la disposition d'autres parties les données qu'il reçoit ».

Lorsqu’un détenteur de données communique celles-ci à un tiers, à la demande d’un utilisateur ou en vertu d’une disposition légale applicable, le Data Act pose comme principe directeur que les conditions et modalités de cette mise à disposition doivent être équitables, raisonnables, non discriminatoires et transparentes.

Plusieurs aspects sont ainsi encadrés par le règlement, comme la compensation qui peut être convenue entre le détenteur de données et le destinataire, le règlement des litiges, les mesures techniques de protection mises en place pour empêcher l’accès non-autorisé aux données ou pour réguler l’accès aux données, ou l’interdiction des clauses abusives. Pour la plupart, ces règles sont uniquement d’applications dans les relations entre entreprises.

Outre les politiques internes à mettre en place, il importe en tout cas d’encadrer contractuellement ces aspects dans les relations avec les divers intervenants.

Pour davantage d'informations, n'hésitez pas à contacter Hervé Jacquemin, Julie-Anne Delcorde, Thierry Tilquin

Suivez nos dernières publications sur LinkdIn