Le marché locatif français se numérise rapidement. Logiciels SaaS, scoring automatisé, vérification d'identité par IA : les agences et administrateurs de biens utilisent désormais des outils algorithmiques pour trier les candidatures. Ces dispositifs entrent dans le périmètre du Règlement (UE) 2024/1689, dit AI Act. Pour une PME immobilière de 10 à 250 salariés, comprendre ces obligations devient une condition d'exercice. Cet article détaille le régime applicable, les risques et les actions concrètes à engager.
1. Qu'est-ce que le scoring locataire et pourquoi est-il concerné par l'AI Act ?
Le scoring locataire désigne toute évaluation automatisée d'un candidat à la location. L'algorithme attribue une note ou une probabilité de défaut à partir de données personnelles transmises lors de la constitution du dossier.
Données traitées typiquement :
- Revenus nets mensuels et taux d'effort
- Type de contrat de travail et ancienneté
- Historique bancaire et incidents de paiement
- Composition du foyer et garants
- Antécédents locatifs déclarés
L'AI Act qualifie ce type de système. L'Annexe III, point 5(b) du Règlement (UE) 2024/1689 vise les systèmes d'IA destinés à évaluer la solvabilité ou à établir une notation de crédit des personnes physiques. La doctrine en cours d'élaboration au sein de l'AI Office EU étend cette logique aux scorings d'accès aux services essentiels, dont fait partie le logement [à vérifier].
Concrètement, dès lors qu'un outil produit une recommandation automatisée (« dossier acceptable / à examiner / à refuser »), il relève potentiellement de la catégorie haut risque. Cette qualification déclenche l'application des Articles 8 à 17 de l'AI Act.
| Type d'outil utilisé | Statut probable AI Act | Obligations principales |
|---|---|---|
| Vérification documentaire pure (OCR) | Hors champ ou risque minimal | Information générale RGPD |
| Score de solvabilité automatisé | Haut risque (Annexe III) | Documentation, FRIA, supervision humaine |
| Recommandation « accepter/refuser » | Haut risque | Conformité Articles 8 à 17 |
| IA générative pour analyse de dossier | Risque limité + obligations Art. 50 | Transparence sur l'usage de l'IA |
Voir le glossaire regulia pour les définitions formelles de « système d'IA », « fournisseur » et « déployeur ».
2. Les obligations de conformité pour les PME immobilières
L'AI Act distingue deux rôles. Le fournisseur est l'éditeur du logiciel de scoring. Le déployeur est l'agence ou la PME qui utilise l'outil dans ses opérations. La PME immobilière endosse presque toujours le rôle de déployeur, ce qui simplifie partiellement la charge documentaire mais ne l'élimine pas.
Obligations principales du déployeur (Article 26 du Règlement (UE) 2024/1689) :
- Utiliser le système d'IA conformément à la notice fournie par l'éditeur.
- Assurer une supervision humaine compétente par une personne formée.
- Surveiller le fonctionnement du système et signaler tout incident grave.
- Conserver les journaux générés automatiquement pendant au moins six mois.
- Informer les personnes concernées qu'elles font l'objet d'une décision assistée par IA.
Obligations spécifiques liées au scoring (Article 27 AI Act) :
L'Art. 27 impose une analyse d'impact sur les droits fondamentaux (Fundamental Rights Impact Assessment, FRIA) avant la première utilisation d'un système haut risque par un organisme privé fournissant des services publics ou affectant l'accès au logement. La FRIA doit décrire les processus concernés, les catégories de personnes exposées, les risques identifiés et les mesures de mitigation.
Articulation avec le RGPD :
L'Article 22 du RGPD interdit, sauf exceptions encadrées, qu'une personne fasse l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou l'affectant de manière significative. Le refus d'un logement entre dans cette catégorie. La PME doit donc garantir une intervention humaine réelle, et non un simple « tampon » sur la décision algorithmique.
Pack documentaire scoring locataire
regulia propose un pack complet : modèle FRIA Article 27, notice d'information candidat conforme RGPD et AI Act, registre des systèmes d'IA, fiche supervision humaine. Adapté aux PME immobilières de 10 à 250 salariés.
Demander le pack documentaire3. Les risques de non-conformité et sanctions
L'Article 99 du Règlement (UE) 2024/1689 fixe trois plafonds de sanctions selon la gravité du manquement.
| Type de manquement | Plafond | Référence |
|---|---|---|
| Violation des pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial annuel | Art. 99 §3 |
| Non-respect des obligations haut risque | 15 M€ ou 3 % du CA mondial annuel | Art. 99 §4 |
| Information inexacte aux autorités | 7,5 M€ ou 1 % du CA mondial annuel | Art. 99 §5 |
Pour une PME, l'Article 99 §6 prévoit que le plafond retenu est le montant le plus faible entre la somme forfaitaire et le pourcentage du chiffre d'affaires. Cette disposition adapte la charge aux capacités réelles de l'entreprise, mais le risque financier reste significatif.
Risques secondaires :
- Action en discrimination devant le tribunal judiciaire si un biais algorithmique défavorise un groupe protégé (origine, âge, situation familiale).
- Plainte CNIL avec sanction RGPD distincte pouvant atteindre 20 M€ ou 4 % du CA mondial.
- Action en réparation du candidat évincé sur le fondement de la responsabilité civile.
- Atteinte réputationnelle, particulièrement sensible dans les territoires où le bouche-à-oreille structure la confiance.
L'analyse détaillée des amendes, du calcul effectif et des hypothèses pour une PME française figure dans notre article dédié : sanctions AI Act et amendes pour PME.
4. Comment se conformer : étapes pratiques
La mise en conformité s'organise en quatre étapes structurantes, dans cet ordre.
Étape 1 — Cartographier les systèmes d'IA utilisés
Recenser tous les outils logiciels intervenant dans la sélection des candidats. Inclure les modules d'IA cachés dans les logiciels de gérance, les extensions, les API d'analyse de bulletin de salaire et les services de vérification d'identité. Pour chaque outil, identifier l'éditeur, la finalité, les données traitées et le caractère automatisé ou non de la décision finale.
Étape 2 — Réaliser la FRIA (Article 27)
L'analyse d'impact doit couvrir :
- La description du processus de location dans lequel le système intervient
- La période et la fréquence d'utilisation
- Les catégories de personnes physiques susceptibles d'être affectées
- Les risques spécifiques de préjudice identifiés (discrimination indirecte, opacité)
- Les mesures de supervision humaine prévues
- Les mécanismes de plainte et de recours
La FRIA est transmise à l'autorité de surveillance du marché à sa demande. Elle complète l'AIPD (Analyse d'Impact relative à la Protection des Données) déjà imposée par l'Article 35 du RGPD pour les traitements à risque élevé.
Étape 3 — Déployer la supervision humaine
La supervision humaine n'est pas un visa formel. L'Article 14 de l'AI Act exige que la personne désignée :
- Comprenne les capacités et limites du système.
- Reste consciente du risque de biais d'automatisation (faire confiance excessive à la machine).
- Soit en mesure d'interpréter correctement la sortie du système.
- Puisse décider de ne pas utiliser le système ou d'écarter sa recommandation.
- Dispose du pouvoir d'arrêter le système.
Pour une PME, cela implique de désigner un référent IA, de tracer ses décisions et de former les négociateurs au principe de l'intervention humaine effective.
Étape 4 — Documenter et former
Tenir un registre des systèmes d'IA déployés, des FRIA réalisées, des incidents et des décisions humaines de surcharge ou de validation. Former l'équipe une fois par an au minimum. Conserver les preuves de formation.
5. Exemples de bonnes pratiques pour les PME
Plusieurs pratiques se dégagent des premiers retours d'expérience du secteur.
Algorithmes explicables : Privilégier les éditeurs capables de fournir une explication intelligible de chaque décision (« le dossier a été noté 62/100 en raison d'un taux d'effort supérieur à 35 % et d'une ancienneté professionnelle inférieure à 12 mois »). Refuser les « boîtes noires » sans documentation technique.
Tests anti-biais : Demander à l'éditeur les résultats de tests de fairness sur les données françaises. Vérifier que le système ne pénalise pas indirectement les ménages monoparentaux, les jeunes actifs ou les personnes en CDD, hors critère économique légitime.
Mécanisme de recours : Mettre en place une procédure écrite permettant au candidat évincé de demander une réévaluation manuelle de son dossier. Délai recommandé : sept jours ouvrés.
Audit annuel : Faire vérifier la performance du système et l'absence de dérive par un tiers indépendant. La norme ISO/IEC 42001:2023 fournit un cadre certifiable pour structurer cet audit.
| Bonne pratique | Effet juridique | Effet opérationnel |
|---|---|---|
| Notice d'information candidat | Conformité Art. 13 RGPD et Art. 50 AI Act | Confiance accrue |
| Procédure de recours écrite | Preuve d'intervention humaine | Réduction des litiges |
| Registre des décisions | Preuve en cas de contrôle | Pilotage qualité |
| Formation annuelle | Compétence supervision humaine | Maîtrise du risque |
| Audit ISO 42001 | Démonstration de diligence | Avantage commercial |
6. Ressources utiles pour les PME
Plusieurs ressources officielles permettent de structurer la mise en conformité sans recourir immédiatement à un conseil externe.
- Service desk européen (ai-act-service-desk.ec.europa.eu) : guichet officiel de la Commission européenne. Les PME peuvent y poser des questions précises sur la qualification de leur système.
- CNIL (cnil.fr) : 13 fiches pratiques sur l'IA, recommandations sur l'articulation RGPD/AI Act, modèles d'AIPD.
- ISO/IEC 42001:2023 : norme de management des systèmes d'IA. Certifiable, elle structure la gouvernance interne et constitue une preuve de diligence en cas de contrôle.
- ISO/IEC 23894:2023 : guide spécifique de gestion des risques liés à l'IA.
- Cigref et Numeum : guides sectoriels publiés début 2025, utiles pour la traduction opérationnelle.
Pour une vue d'ensemble du périmètre AI Act applicable aux PME, consulter notre pilier : AI Act et PME en France.
7. Les défis spécifiques du secteur immobilier
Le secteur immobilier cumule trois difficultés rarement réunies ailleurs.
Données sensibles par nature. Les bulletins de salaire, avis d'imposition et justificatifs de domicile sont des documents fortement identifiants. Leur traitement par un algorithme tiers (notamment hébergé hors UE) suppose des garanties contractuelles renforcées et une analyse des transferts internationaux au sens du chapitre V du RGPD.
Pression économique sur les délais. Un bien à louer génère un manque à gagner journalier. La tentation d'automatiser le tri pour gagner du temps est forte. L'AI Act n'interdit pas cette automatisation ; il impose qu'elle reste supervisée et explicable.
Asymétrie d'information entre l'agence et le candidat. Le candidat ne dispose ni du temps ni de l'expertise pour contester une décision algorithmique. Cette asymétrie fonde l'obligation d'information renforcée prévue par l'Article 50 de l'AI Act et l'Article 14 du RGPD.
Cas type : une agence du Sud-Ouest a adapté son processus en 2025. Elle a remplacé le score binaire « accepté/refusé » par un score indicatif accompagné systématiquement d'une revue humaine du dossier complet. Le taux de litiges déclarés à la CNIL est passé à zéro sur l'exercice [à vérifier]. Le temps de traitement par dossier a augmenté de quatre minutes, jugé acceptable.
Audit conformité scoring locataire
regulia propose un diagnostic de conformité de votre processus de sélection des candidats locataires : cartographie des outils, qualification AI Act, gap analysis, plan d'action priorisé. Livrable adapté à la taille de votre PME.
Demander un audit8. Avenir de l'IA dans l'évaluation locative
Le calendrier réglementaire structure les douze prochains mois.
| Échéance | Disposition applicable | Impact secteur immobilier |
|---|---|---|
| 2 août 2025 | Obligations sur l'IA à usage général | Indirect : éditeurs concernés |
| 2 août 2026 | Application générale du Règlement | Toutes les PME déployeurs |
| 2 août 2027 | Systèmes haut risque intégrés dans des produits réglementés | Limité pour l'immobilier |
D'autres évolutions sont attendues. L'AI Office EU publiera progressivement des lignes directrices spécifiques aux systèmes haut risque. La CNIL devrait préciser sa doctrine sur le scoring d'accès au logement après les premiers contrôles. Le code de bonnes pratiques sectoriel reste à construire ; les fédérations professionnelles immobilières y travaillent.
Pour les PME, la trajectoire raisonnable est claire. Mettre en conformité dès maintenant les processus de scoring, documenter les choix, former les équipes. Anticiper, plutôt que subir un contrôle au moment où la jurisprudence se construira.
Les mises à jour officielles, les références EUR-Lex actualisées et les guides CNIL sont centralisés sur notre page sources officielles.
FAQ
Quelles sont les sanctions pour une PME qui ne se conforme pas à l'AI Act pour son scoring locataire ?
Les sanctions varient selon la gravité. L'Article 99 du Règlement (UE) 2024/1689 prévoit jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel pour le non-respect des obligations applicables aux systèmes haut risque. Pour une PME, le plafond retenu est le montant le plus faible des deux. À cela s'ajoutent les sanctions RGPD distinctes pouvant atteindre 4 % du chiffre d'affaires, et le risque d'actions civiles de la part des candidats évincés.
Comment une PME peut-elle évaluer la conformité de son système d'évaluation locataire ?
La démarche commence par un recensement des outils utilisés, suivi d'une qualification au regard de l'Annexe III. Si le système est haut risque, la PME réalise une FRIA selon l'Article 27 du Règlement, vérifie l'absence de biais avec son éditeur, met en place une supervision humaine effective et documente le tout. Un audit selon ISO/IEC 42001:2023 par un tiers indépendant renforce la démonstration de diligence en cas de contrôle.
Doit-on informer les candidats locataires de l'utilisation d'algorithmes d'IA ?
Oui. L'Article 50 de l'AI Act impose l'information lorsque la personne interagit directement avec un système d'IA. L'Article 26 §11 ajoute une obligation spécifique pour les déployeurs : informer les personnes physiques soumises à un système haut risque que tel est le cas. Cette information se cumule avec celles déjà exigées par l'Article 13 du RGPD : finalité du traitement, base légale, durée de conservation, droits de la personne. L'information doit être claire, accessible et donnée avant le traitement.
Quelles sont les étapes pour se conformer à l'AI Act en tant que PME immobilière ?
Cinq étapes structurent la mise en conformité. Premièrement, cartographier les systèmes d'IA utilisés dans le processus de sélection. Deuxièmement, réaliser une analyse d'impact sur les droits fondamentaux (FRIA) au sens de l'Article 27. Troisièmement, déployer la supervision humaine effective conforme à l'Article 14. Quatrièmement, former les équipes au moins une fois par an. Cinquièmement, tenir un registre interne des systèmes, des FRIA et des incidents. Le service desk européen accompagne les PME sur les points de qualification.
Comment l'AI Act influence-t-il les pratiques d'évaluation locataire traditionnelles ?
L'AI Act ne remplace pas les pratiques d'évaluation traditionnelles ; il encadre leur version automatisée. Une analyse de dossier réalisée manuellement par un négociateur reste possible et n'entre pas dans le champ du Règlement. En revanche, dès qu'un outil logiciel produit une recommandation algorithmique, les obligations s'appliquent. Le surcoût initial (FRIA, formation, registre) est compensé à moyen terme par la réduction des litiges et l'amélioration de la qualité documentaire.
Sources officielles
- Règlement (UE) 2024/1689 — version consolidée EUR-Lex
- AI Act Service Desk — Commission européenne
- Les systèmes d'intelligence artificielle — CNIL
- Texte intégral AI Act commenté — artificialintelligenceact.eu
- ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system
- ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management
- AI Act et PME en France — pilier regulia
- Sanctions AI Act et amendes pour PME — regulia
- Glossaire AI Act — regulia
- Sources officielles consolidées — regulia
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.