RGPD et bornes IRVE en copropriete : donnees usagers 2026
Reponse directe : RGPD et borne IRVE en copropriete
Le RGPD s’applique a toute borne IRVE en copropriete collectant des donnees d’un usager identifiable. L’operateur CPO est responsable de traitement. Les sessions de recharge, badges RFID et emails constituent des donnees personnelles. Les usagers disposent de droits d’acces, rectification et effacement. Tout manquement expose a des sanctions CNIL.
Contexte : pourquoi la question RGPD borne IRVE copropriete se pose en 2026
L’installation de bornes de recharge en copropriete s’accelere depuis l’entree en vigueur de l’arrete du 24 decembre 2025. Chaque borne connectee collecte des donnees sur ses utilisateurs : identifiant, historique de consommation, donnees de paiement. Ces donnees sont des donnees personnelles au sens du RGPD.
En copropriete, la situation est particuliere. Plusieurs acteurs interviennent : le syndic, l’operateur CPO, le resident. La question de qui collecte quoi, et sous quelle base juridique, est souvent mal posee lors des projets d’installation.
La CNIL a publie des lignes directrices generales sur les obligations des responsables de traitement. Les operateurs de mobilite electrique doivent les appliquer sans exception, y compris pour les infrastructures en copropriete.
Cadre juridique applicable : textes officiels
Le Reglement UE 2016/679 (RGPD)
Le Reglement (UE) 2016/679 du Parlement europeen et du Conseil du 27 avril 2016, dit RGPD, constitue le texte de reference. Il s’applique a tout traitement de donnees personnelles effectue dans le cadre des activites d’un responsable de traitement etabli dans l’Union europeenne.
Pour les bornes IRVE, les articles fondamentaux sont :
- Article 4 : definitions (donnee personnelle, responsable de traitement, sous-traitant)
- Article 6 : bases juridiques des traitements
- Articles 13 et 14 : obligations d’information des personnes concernees
- Articles 15 a 20 : droits des personnes (acces, rectification, effacement, limitation, portabilite)
- Article 26 : co-responsabilite de traitement
- Article 28 : contrat de sous-traitance
- Article 33 : notification des violations a la CNIL sous 72 h
- Article 83 : sanctions administratives
La loi Informatique et Libertes modifiee
La loi n 78-17 du 6 janvier 1978 relative a l’informatique, aux fichiers et aux libertes a ete modifiee pour transposer le RGPD en droit francais. Elle confere a la CNIL ses pouvoirs d’instruction et de sanction. Consultez Legifrance pour le texte consolide.
L’arrete du 24 decembre 2025 sur les IRVE
L’arrete du 24 decembre 2025 fixe les prescriptions techniques des IRVE. Il ne traite pas directement du RGPD, mais il impose des exigences de connectivite et de communication de donnees qui impliquent des traitements de donnees personnelles. Tout operateur doit donc articuler cet arrete avec ses obligations RGPD.
Qualification des donnees collectees par une borne IRVE
Qu’est-ce qu’une donnee personnelle dans ce contexte ?
Une donnee personnelle est toute information permettant d’identifier une personne physique, directement ou indirectement (art. 4 RGPD). Pour une borne IRVE, cela inclut :
- l’identifiant de badge RFID attribue nominativement a un usager
- l’adresse email et les coordonnees de l’abonne
- l’historique des sessions de recharge horodatees
- les donnees de paiement (IBAN, carte bancaire tokenisee)
- les donnees de consommation (kWh par session) associees a un identifiant
Un badge RFID non nominatif, associe uniquement a un numero de serie, peut etre pseudonymise. Mais des lors qu’il est rattache a un compte utilisateur, il redevient une donnee personnelle au sens du RGPD.
Donnees de localisation : un cas particulier
Certains systemes de gestion de bornes collectent des donnees de localisation du vehicule (GPS) pour des fonctions de diagnostic ou de stationnement. Ces donnees constituent des donnees de deplacement particulierement sensibles. Leur collecte necessite une base juridique robuste, en general le consentement explicite (art. 6.1.a RGPD), et une mention claire dans la politique de confidentialite.
Identification des responsables de traitement en copropriete
L’operateur CPO : responsable principal
Le Charge Point Operator (CPO) est en principe le responsable de traitement. Il determine les finalites (facturation, suivi de consommation, gestion de l’acces) et les moyens (logiciel de supervision, protocole OCPP) du traitement. Il doit :
- tenir un registre des activites de traitement (art. 30 RGPD)
- informer les usagers des traitements effectues (art. 13 RGPD)
- repondre aux exercices de droits des personnes
- notifier la CNIL en cas de violation de donnees sous 72 heures (art. 33 RGPD)
Le syndic : sous-traitant ou co-responsable ?
Le syndic de copropriete intervient comme intermediaire entre les residents et l’operateur. Son role conditionne sa qualification juridique.
Si le syndic se limite a transmettre les coordonnees des residents a l’operateur pour la mise en service, il agit comme sous-traitant. Un contrat de sous-traitance conforme a l’article 28 RGPD est alors obligatoire.
Si le syndic gere lui-meme les acces, les abonnements ou la facturation, il devient co-responsable de traitement au sens de l’article 26 RGPD. Une convention de co-responsabilite doit alors etre conclue et portee a la connaissance des usagers.
Le fabricant de borne : sous-traitant technique
Le fabricant ou fournisseur du logiciel de supervision est un sous-traitant technique. Il doit garantir la securite du traitement (art. 32 RGPD) et ne pas utiliser les donnees pour ses propres finalites.
Bases juridiques applicables aux differents traitements
Execution du contrat (art. 6.1.b RGPD)
C’est la base juridique principale pour les traitements necessaires a la fourniture du service de recharge : identification de l’usager, enregistrement de la session, facturation. Cette base s’applique des lors qu’un contrat d’abonnement existe entre l’usager et l’operateur.
Obligation legale (art. 6.1.c RGPD)
La conservation des donnees de paiement et des factures pendant la duree requise par le droit comptable (10 ans pour les documents comptables selon l’article L123-22 du Code de commerce) repose sur cette base.
Interet legitime (art. 6.1.f RGPD)
L’operateur peut invoquer son interet legitime pour des traitements de prevention de la fraude ou de securite du reseau, sous reserve que cet interet ne prevale pas sur les droits fondamentaux des personnes concernees. Un test d’equilibre doit etre documente.
Consentement (art. 6.1.a RGPD)
Le consentement est la base juridique requise pour les traitements non necessaires au service : envoi de communications marketing, collecte de donnees de localisation GPS, analyses comportementales. Il doit etre libre, eclaire, specifique et retractable a tout moment.
Obligations d’information envers les usagers
Information a la collecte (art. 13 RGPD)
Lorsque les donnees sont collectees directement aupres de l’usager (inscription sur une application, signature d’un contrat), l’operateur doit communiquer :
- l’identite et les coordonnees du responsable de traitement
- les finalites et bases juridiques de chaque traitement
- les destinataires ou categories de destinataires des donnees
- la duree de conservation
- les droits de la personne et les modalites d’exercice
- le droit de saisir la CNIL
Cette information doit etre fournie de maniere concise, transparente et facilement accessible (art. 12 RGPD).
Information indirecte (art. 14 RGPD)
Lorsque les donnees sont transmises a l’operateur par le syndic (par exemple : liste des residents avec leurs coordonnees), l’operateur doit informer les residents dans un delai raisonnable, au plus tard un mois apres la collecte (art. 14 RGPD). Le syndic doit etre mentionne comme source.
Schema decisionnel : qualification RGPD pour un projet IRVE en copropriete
Pour determiner vos obligations RGPD lors d’un projet de borne IRVE en copropriete, appliquez la grille suivante :
-
Des donnees personnelles sont-elles collectees ?
- Non : le RGPD ne s’applique pas (cas rare des bornes entierement anonymes).
- Oui : passer a l’etape 2.
-
Qui determine les finalites du traitement ?
- L’operateur CPO seul : il est responsable de traitement unique.
- L’operateur CPO et le syndic conjointement : co-responsabilite (art. 26 RGPD).
-
Quelle base juridique ?
- Service contractuel : art. 6.1.b (execution du contrat).
- Obligation legale : art. 6.1.c.
- Marketing / localisation : art. 6.1.a (consentement obligatoire).
-
Les usagers ont-ils ete informes ?
- Collecte directe : politique de confidentialite conforme art. 13.
- Collecte via syndic : notification art. 14 dans le mois.
-
Un contrat de sous-traitance est-il en place avec le syndic et le fournisseur du logiciel ?
- Oui : conformite art. 28.
- Non : a regulariser avant la mise en service.
Droits des usagers : comment les exercer
Les cinq droits principaux
Les residents charges en copropriete disposent des droits suivants, tous applicables aupres de l’operateur CPO :
- Droit d’acces (art. 15) : obtenir une copie de toutes les donnees detenues par l’operateur.
- Droit de rectification (art. 16) : faire corriger des donnees inexactes.
- Droit a l’effacement (art. 17) : demander la suppression des donnees, sauf obligation legale de conservation.
- Droit a la limitation (art. 18) : suspendre le traitement pendant la duree d’une contestation.
- Droit a la portabilite (art. 20) : recevoir ses donnees dans un format structure, lisible par machine.
L’operateur dispose de 30 jours pour repondre, prorogeable a 3 mois pour les demandes complexes (art. 12 RGPD).
En cas de refus ou de non-reponse
L’usager peut saisir la CNIL via le formulaire en ligne sur cnil.fr. La CNIL dispose d’un pouvoir d’instruction et de sanction. Elle peut infliger des amendes administratives pouvant atteindre 20 millions EUR ou 4 % du chiffre d’affaires mondial de l’operateur (art. 83 RGPD).
Securite des donnees : obligations de l’operateur
L’article 32 du RGPD impose au responsable de traitement de mettre en oeuvre des mesures techniques et organisationnelles appropriees pour garantir un niveau de securite adapte au risque. Pour une borne IRVE, cela inclut notamment :
- chiffrement des communications entre la borne et le systeme de supervision (protocole OCPP sur TLS)
- controle d’acces aux donnees de session (authentification forte des administrateurs)
- journalisation des acces au systeme de gestion
- politique de gestion des incidents et notification CNIL sous 72 h en cas de violation (art. 33)
Durees de conservation recommandees
| Type de donnee | Duree recommandee | Base |
|---|---|---|
| Donnees clients actifs (email, coordonnees) | 3 ans apres dernier contact | Recommandation CNIL |
| Historique de sessions de recharge | 3 ans (prescription contractuelle) | Code civil art. 2224 |
| Donnees de paiement (factures) | 10 ans | Code de commerce art. L123-22 |
| Donnees de localisation GPS | Duree strictement necessaire | RGPD art. 5.1.e |
| Consentement marketing | Jusqu a retrait du consentement | RGPD art. 7 |
Information non contractuelle : ces durees sont indicatives et doivent etre adaptees a la situation specifique de chaque operateur.
Applications : situations generiques concernees
Copropriete avec abonnement individuel
Lorsque chaque resident souscrit un abonnement individuel aupres de l’operateur, la relation contractuelle est directe. La base juridique principale est l’execution du contrat (art. 6.1.b). L’operateur informe le resident des la souscription (art. 13).
Copropriete avec gestion collective par le syndic
Lorsque le syndic gere un compte collectif et repercute les couts sur les charges, il traite des donnees de consommation par resident. Une convention de co-responsabilite (art. 26) ou un contrat de sous-traitance (art. 28) est indispensable entre l’operateur et le syndic.
Infrastructure ouverte a des visiteurs exterieurs
Si la borne est accessible a des conducteurs exterieurs a la copropriete (via une application publique), l’operateur doit informer ces utilisateurs occasionnels selon les memes obligations RGPD. La politique de confidentialite doit couvrir ces cas.
Pieges a eviter
Absence de politique de confidentialite : l’obligation d’information (art. 13) est souvent ignoree lors des phases de deploiement. Une politique de confidentialite accessible depuis l’application ou l’interface de la borne est obligatoire.
Absence de contrat de sous-traitance avec le syndic : si le syndic transmet des donnees de residents a l’operateur, un contrat art. 28 est indispensable. Son absence constitue un manquement direct au RGPD.
Conservation indefinie des donnees de session : sans politique de retention definie, les donnees s’accumulent et exposent l’operateur a un risque CNIL en cas de controle.
Collecte de localisation GPS sans consentement : certains systemes activent par defaut le suivi GPS. Cette collecte necessite un consentement explicite et une mention claire.
Transfert de donnees hors UE sans garanties : si l’operateur utilise un logiciel de supervision hors Union europeenne (par exemple, heberge aux Etats-Unis), des clauses contractuelles types ou d’autres mecanismes de transfert conformes au chapitre V du RGPD sont obligatoires.
Recommandations pratiques pour les coproprietes et operateurs
-
Exiger une politique de confidentialite avant toute signature de contrat avec un operateur CPO. Verifiez qu’elle couvre les sessions de recharge, les badges RFID et les donnees de paiement.
-
Formaliser le role du syndic par une convention de co-responsabilite (art. 26) ou un contrat de sous-traitance (art. 28) selon son niveau d’implication dans la gestion des acces.
-
Mettre en place un registre de traitement : l’article 30 RGPD impose aux responsables de traitement de tenir un registre des activites de traitement. Les operateurs de moins de 250 salaries en sont dispenses sauf si le traitement est regulier.
-
Configurer la borne pour minimiser les donnees collectees : principe de minimisation (art. 5.1.c RGPD). Ne collecter que les donnees strictement necessaires au service.
-
Former le personnel du syndic aux droits des personnes et aux procedures de reponse aux demandes d’exercice de droits.
-
Consulter la CNIL pour les cas complexes (multi-site, transferts hors UE, donnees de localisation). La CNIL publie des ressources gratuites sur cnil.fr.
Conclusion
Le RGPD et les bornes IRVE en copropriete concernent directement operateurs, syndics et residents. Les donnees collectees - sessions de recharge, badges RFID, emails, paiements - sont des donnees personnelles soumises a toutes les obligations du reglement europeen.
L’operateur CPO est le responsable de traitement principal. Le syndic doit formaliser son role par contrat. Les residents disposent de droits opposables qu’ils peuvent exercer a tout moment.
La mise en conformite RGPD n’est pas une option : les sanctions CNIL atteignent 20 millions EUR ou 4 % du chiffre d’affaires mondial. Un operateur serieux integre ces obligations des la conception du projet, avant l’installation.
Pour estimer vos aides ADVENIR et choisir un operateur conforme, utilisez notre simulateur.
Article redige par Pierre-Olivier Hullin, fondateur Enerzy. Informations non contractuelles, a jour au 26 juin 2026. Consultez cnil.fr et Legifrance pour les textes officiels.
Sources :
- Reglement UE 2016/679 (RGPD) - Legifrance - Texte consolide
- CNIL - cnil.fr - Lignes directrices et ressources
- Arrete 24 decembre 2025 IRVE - Prescriptions techniques IRVE
- Article L113-16 Code de la construction - Droit a la prise
- Decret 2020-1720 - Obligations IRVE copropriete
- AVERE-France - Programme ADVENIR - Aides installation IRVE