TL;DR — L'essentiel en 30 secondes
- Les outils d'estimation algorithmique utilisés par les agences immobilières relèvent généralement du risque limité au sens du Règlement (UE) 2024/1689, sauf usage en scoring crédit (Annexe III, point 5.b).
- L'agence reste responsable de la transparence vis-à-vis de ses clients lorsqu'un système d'IA participe à l'estimation (Article 50).
- L'analyse d'impact sur les droits fondamentaux (FRIA, Article 27) s'impose uniquement pour les systèmes classés à haut risque.
- Le RGPD s'applique en parallèle : Article 22 sur la décision automatisée, Article 35 sur l'AIPD.
- Les sanctions atteignent 3 % du chiffre d'affaires mondial pour les manquements aux obligations « haut risque » (Article 99 §4), et jusqu'à 7 % pour les pratiques interdites de l'Article 5.
- La norme ISO/IEC 42001:2023 fournit un référentiel de management de l'IA aligné avec l'AI Act.
1. Contexte réglementaire : pourquoi l'AI Act concerne les agences immobilières
Le Règlement (UE) 2024/1689 du 13 juin 2024, dit AI Act, est entré en vigueur le 1er août 2024. Ses dispositions s'appliquent progressivement entre 2025 et 2027. Une agence immobilière française est concernée dès qu'elle déploie un outil d'intelligence artificielle, y compris s'il est fourni par un tiers (CRM, portail d'annonces, comparateur de prix).
Le Règlement (UE) 2024/1689 distingue quatre niveaux de risque : inacceptable (interdit), élevé, limité, minimal. Le classement d'un outil d'estimation dépend de son usage réel, pas uniquement de sa technologie.
Une agence qui utilise un comparateur interne pour orienter ses négociations ne déploie pas le même système qu'un courtier en crédit alimentant un modèle de solvabilité. Le premier cas relève généralement du risque limité. Le second tombe sous l'Annexe III, point 5.b, qui vise les systèmes d'évaluation de la solvabilité.
Pour un panorama complet des obligations PME, consulter notre guide AI Act pour PME françaises.
Définition juridique du système d'IA
L'Article 3, paragraphe 1, définit un système d'IA comme :
« un système automatisé qui est conçu pour fonctionner à différents niveaux d'autonomie et peut faire preuve d'une capacité d'adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu'il reçoit, la manière de générer des sorties […]. »
Un outil d'estimation qui apprend à partir de données de marché entre dans cette définition.
2. Les algorithmes d'estimation immobilière : définition et usages
Un algorithme d'estimation immobilière, parfois appelé AVM (Automated Valuation Model), produit une valeur prédite à partir de plusieurs variables : surface, localisation géographique, prix au mètre carré observé, photos, état du bien, données fiscales DVF, tendances de marché.
Plusieurs cas d'usage cohabitent dans les agences :
| Cas d'usage | Données traitées | Niveau de risque AI Act (indicatif) |
|---|---|---|
| Estimation rapide en ligne pour prospect | Adresse, surface, prix de référence | Risque limité (Art. 50) |
| Comparateur interne pour négociation | DVF, historique de mandats | Risque minimal |
| Outil d'aide à la décision de prêt | Données personnelles + scoring | Risque élevé (Annexe III, 5.b) |
| Tri de leads vendeurs ou acheteurs | Profilage clients | Limité à élevé selon usage |
| Génération de descriptions par IA générative | Texte, photos | Art. 50 (transparence) |
L'usage d'un outil tiers (type plateforme grand public) n'exonère pas l'agence : elle est déployeur au sens de l'Article 3, paragraphe 4, et porte des obligations propres.
3. Obligations légales de l'AI Act pour les agences
L'AI Act répartit les obligations entre fournisseurs (qui développent l'IA) et déployeurs (qui l'utilisent dans leur activité). La majorité des agences sont déployeurs.
Obligations transverses applicables à tous les déployeurs
- Information des utilisateurs finaux (Art. 50) : lorsqu'un système d'IA interagit directement avec une personne physique, celle-ci doit en être informée.
- Suivi du fonctionnement (Art. 26 §5) : conserver les logs générés par le système, lorsqu'ils sont sous le contrôle du déployeur.
- Compétence du personnel (Art. 4) : depuis le 2 février 2025, les déployeurs doivent garantir un niveau suffisant de maîtrise de l'IA (« AI literacy ») de leurs collaborateurs.
Obligations renforcées en cas de haut risque
Si l'outil d'estimation alimente une chaîne de décision de crédit, l'agence devient déployeur d'un système à haut risque. Elle doit alors :
- Réaliser une analyse d'impact sur les droits fondamentaux (FRIA, Article 27) avant la première mise en service.
- Vérifier l'enregistrement du système dans la base de données européenne (Article 49).
- Assurer une supervision humaine des décisions (Article 14, repris par l'Article 26).
- Informer les personnes concernées de l'usage de l'IA dans la décision (Article 26 §11).
Remarque : l'Article 15 traite de l'exactitude, de la robustesse et de la cybersécurité du système. Cette obligation pèse principalement sur le fournisseur, pas sur l'agence déployeuse.
Cartographier vos outils d'IA en moins d'une journée
regulia propose un pack documentaire conforme AI Act + RGPD pour les agences immobilières, incluant le registre des systèmes d'IA, la trame FRIA et les clauses fournisseurs.
Recevoir le pack agence immobilière4. Impact sur la protection des données personnelles (RGPD)
L'estimation algorithmique mobilise des données personnelles : adresse exacte du bien, photos identifiables, données du propriétaire, parfois données fiscales. Le RGPD s'applique en parallèle de l'AI Act.
Bases légales et finalités
L'agence doit déterminer une base légale (Art. 6 RGPD) pour chaque traitement : exécution du mandat, intérêt légitime pour les prospects, consentement pour la prospection. Le principe de minimisation (Art. 5.1.c RGPD) impose de ne collecter que les données utiles à l'estimation.
Décision automatisée
L'Article 22 du RGPD encadre les décisions « fondées exclusivement sur un traitement automatisé » produisant des effets juridiques ou significatifs. Une estimation purement indicative, validée par un agent humain, ne tombe généralement pas sous cet article. Une estimation imposée comme prix de marché sans validation humaine peut s'en rapprocher.
Délégué à la protection des données (DPO)
La désignation d'un DPO est obligatoire selon l'Article 37 du RGPD lorsque l'activité « de base » consiste en un suivi régulier et systématique à grande échelle des personnes concernées, ou traite des données sensibles. Le seuil de 250 salariés évoqué dans certaines synthèses concerne en réalité l'obligation de registre simplifié (Art. 30.5 RGPD), pas la désignation du DPO. [à vérifier selon la situation précise de l'agence]
Pour aller plus loin sur les notions AI Act et RGPD, voir notre glossaire.
5. Réaliser un impact assessment : méthode opérationnelle
Deux analyses distinctes peuvent être requises :
- AIPD (Article 35 RGPD) — Analyse d'Impact relative à la Protection des Données.
- FRIA (Article 27 AI Act) — Analyse d'Impact sur les Droits Fondamentaux, pour les systèmes à haut risque.
Une démarche unifiée permet de mutualiser la documentation.
Étapes recommandées
- Cartographier l'outil : finalité, données d'entrée, sortie produite, niveau d'automatisation, fournisseur.
- Qualifier le risque AI Act : minimal, limité, élevé. Documenter la grille de qualification.
- Identifier les personnes affectées : vendeurs, acheteurs, locataires, salariés.
- Évaluer les risques : biais géographiques, discrimination indirecte, erreur d'estimation, fuite de données.
- Définir les mesures correctives : validation humaine systématique, calibration périodique, clause contractuelle avec le fournisseur, formation des agents.
- Impliquer le DPO et le référent IA : signature conjointe du livrable.
- Réviser chaque année ou lors de toute évolution significative du modèle.
Données à documenter
| Élément | Source | Conservation |
|---|---|---|
| Description fonctionnelle du modèle | Fournisseur (Art. 13 AI Act) | Durée d'usage |
| Jeux de données d'entraînement | Fournisseur | Durée d'usage |
| Évaluation des biais | Audit interne ou tiers | 5 ans [à vérifier] |
| Logs d'utilisation | Système | Conformément à Art. 19 AI Act |
| Retours utilisateurs | Service client | 3 ans |
6. La norme ISO/IEC 42001:2023 comme cadre de gestion
Publiée en décembre 2023, la norme ISO/IEC 42001:2023 définit les exigences d'un système de management de l'IA (AIMS). Volontaire, elle s'aligne fortement avec l'AI Act.
Exigences clés
- Politique IA documentée et engagement de la direction
- Analyse du contexte et des parties intéressées
- Évaluation des risques et opportunités liés à l'IA
- Contrôles spécifiques (Annexe A) sur les données, le cycle de vie, l'usage responsable
- Surveillance, mesures et amélioration continue
Apports concrets pour une agence
| Exigence ISO/IEC 42001 | Bénéfice AI Act | Bénéfice RGPD |
|---|---|---|
| Inventaire des systèmes d'IA | Conformité Art. 26 et Art. 49 | Registre des traitements (Art. 30) |
| Évaluation des risques IA | Préparation FRIA (Art. 27) | Préparation AIPD (Art. 35) |
| Documentation fournisseurs | Contrôle Art. 25 (chaîne de valeur) | Sous-traitance (Art. 28) |
| Pilotage de la qualité des données | Art. 10 AI Act | Exactitude (Art. 5.1.d) |
Le couplage ISO/IEC 42001 + ISO/IEC 27001:2022 + ISO/IEC 23894:2023 constitue le triptyque référent pour un système d'information immobilier intégrant de l'IA.
7. Sanctions et risques pour les agences non conformes
Les sanctions de l'AI Act figurent à l'Article 99 du Règlement (UE) 2024/1689. Elles varient selon la gravité du manquement.
| Manquement | Plafond | Base juridique |
|---|---|---|
| Pratique interdite (Art. 5) | 35 M€ ou 7 % du CA mondial (le plus élevé) | Art. 99 §3 |
| Non-conformité haut risque | 15 M€ ou 3 % du CA mondial | Art. 99 §4 |
| Information trompeuse aux autorités | 7,5 M€ ou 1 % du CA mondial | Art. 99 §5 |
L'estimation immobilière classique relève rarement de l'Article 5. En revanche, un manquement aux obligations de déployeur (Art. 26) pour un système classé haut risque peut déclencher l'Article 99 §4.
Lecture illustrative
Une agence affichant 1 M€ de chiffre d'affaires s'expose à une sanction proportionnée — non à 7 % systématiques. Les autorités tiennent compte de la taille, du caractère intentionnel et des mesures de remédiation (Article 99 §7). Le montant final reste à la discrétion de l'autorité nationale compétente.
Pour le détail des sanctions et un calculateur, consulter notre article dédié Sanctions AI Act pour PME.
Risques connexes
- Réputation : un classement négatif sur un comparateur d'agences peut suivre une médiatisation.
- Contentieux civil : un acheteur surpayant un bien sur la foi d'une estimation biaisée peut engager une action en responsabilité.
- Référencement : les portails d'annonces peuvent exiger des justificatifs de conformité.
8. Recommandations pratiques pour la mise en conformité
Une démarche par étapes permet d'absorber le sujet sans paralyser l'activité commerciale.
Plan d'action 90 jours
- Semaine 1 à 2 : inventorier tous les outils utilisés dans l'agence, y compris ceux activés par défaut dans le CRM ou le portail.
- Semaine 3 à 4 : classer chaque outil selon les quatre niveaux de risque AI Act.
- Semaine 5 à 6 : auditer les fournisseurs — demander leur déclaration de conformité, leurs jeux de données, leur politique de mise à jour.
- Semaine 7 à 8 : rédiger le registre interne des systèmes d'IA et la politique IA.
- Semaine 9 à 10 : former les négociateurs et collaborateurs (obligation Article 4 AI Act).
- Semaine 11 à 12 : produire les mentions clients (Art. 50) et mettre à jour les mandats.
Mentions à intégrer dans les supports
- Mandat de vente : information sur l'utilisation d'un AVM pour la fourchette d'estimation.
- Site web : politique IA accessible depuis le pied de page.
- Devis et factures : mention RGPD intégrant l'usage de l'IA.
- Annonces : mention obligatoire uniquement si le texte est généré par IA (Art. 50).
Documentation minimale à constituer
- Registre des systèmes d'IA (qui, quoi, où, finalité)
- Registre des traitements (Art. 30 RGPD)
- Politique IA et charte d'usage interne
- Modèle d'AIPD et de FRIA
- Modèle de clause IA pour contrats fournisseurs
- Procédure de gestion des incidents
Pour un panorama des sources officielles à consulter, voir notre page sources.
Gagner six semaines de rédaction documentaire
Le pack agence immobilière regulia couvre registre IA, modèles FRIA et AIPD, clauses fournisseurs, mentions clients et trame de politique IA — adaptés au secteur immobilier français.
Demander le pack immobilierFAQ
Quelles sont les obligations de l'AI Act pour les agences utilisant des algorithmes d'estimation ?
Les obligations dépendent du classement du système. Pour un outil d'estimation à risque limité, l'agence applique l'Article 50 (transparence) et l'Article 4 (compétence du personnel). Pour un système à haut risque — typiquement intégré à une décision de crédit immobilier — s'ajoutent l'analyse d'impact sur les droits fondamentaux (Art. 27), la supervision humaine (Art. 26) et la vérification de l'enregistrement européen (Art. 49).
Comment l'AI Act interagit-il avec le RGPD pour les données immobilières ?
Les deux textes s'appliquent en parallèle. Le RGPD encadre la collecte et le traitement des données personnelles (photos, adresse, identité du propriétaire) — base légale, minimisation, durée de conservation. L'AI Act encadre l'usage du système qui consomme ces données. Lorsque l'estimation produit une décision automatisée significative, l'Article 22 du RGPD s'ajoute. La désignation d'un DPO suit les critères de l'Article 37 du RGPD, et non un seuil simple en nombre de clients [à vérifier au cas par cas].
Quelles sont les étapes pour réaliser un impact assessment ?
- Cartographier l'outil et qualifier son niveau de risque AI Act. 2. Identifier les personnes affectées et les droits potentiellement impactés. 3. Documenter les données mobilisées (sources, qualité, biais possibles). 4. Évaluer les risques résiduels après mesures techniques et organisationnelles. 5. Faire valider par le DPO et le référent IA. 6. Réviser à chaque évolution significative du modèle.
Quelles sont les sanctions en cas de non-conformité ?
L'Article 99 du Règlement (UE) 2024/1689 prévoit jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites (Art. 5), jusqu'à 15 M€ ou 3 % pour les manquements aux obligations des systèmes à haut risque, et 7,5 M€ ou 1 % pour les informations trompeuses. L'autorité tient compte de la taille de l'entreprise et des mesures correctives prises (Art. 99 §7).
Comment l'ISO/IEC 42001 aide-t-elle les agences à se conformer ?
La norme structure un système de management de l'IA : gouvernance, gestion des risques, contrôles documentés, amélioration continue. Elle facilite la production des livrables exigés par l'AI Act (registre, analyses d'impact, supervision) et par le RGPD (registre des traitements, AIPD). La certification ISO/IEC 42001:2023 n'est pas obligatoire, mais constitue une preuve de diligence appréciée par les partenaires commerciaux et les autorités.
Sources officielles
- Règlement (UE) 2024/1689 — texte intégral EUR-Lex
- AI Act consolidé — artificialintelligenceact.eu
- Commission européenne — AI Act Service Desk
- CNIL — fiches pratiques IA
- ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system
- ISO/IEC 23894:2023 — Artificial intelligence — Guidance on risk management
- ISO/IEC 27001:2022 — Information security management systems
Pour le suivi sectoriel français, voir aussi les publications de la DGCCRF concernant les pratiques commerciales en ligne et les guides AFNOR Spec sur l'IA.
Avertissement juridique Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.