In’li et moi est le portail numérique destiné aux locataires des résidences gérées par in’li, filiale du groupe Action Logement spécialisée dans le logement intermédiaire. Depuis cet espace en ligne, les locataires consultent leurs quittances, signalent des incidents techniques et transmettent des documents personnels. Cette concentration de données sensibles (pièces d’identité, avis d’imposition, RIB) pose une question légitime : le niveau de protection offert par la plateforme est-il à la hauteur des risques ?
Ce que la politique de données d’in’li et moi révèle (et ce qu’elle tait)
In’li publie une politique de protection des données accessible depuis la page de connexion du compte in’li et moi. Le document couvre les bases attendues : finalités de collecte, durées de conservation, droits d’accès et d’effacement, coordonnées d’un délégué à la protection des données (DPO).
A lire également : Pourquoi le syndic doit-il être assuré ?
Le texte affirme que la collecte est « loyale et transparente » et qu’aucune donnée n’est récupérée à l’insu du locataire. Les bases légales invoquées (exécution du contrat de bail, intérêt légitime, consentement) correspondent au cadre classique du RGPD.
En revanche, plusieurs zones restent floues. La politique ne détaille pas les mesures de sécurité techniques mises en place : pas de mention explicite du chiffrement des documents stockés, de l’authentification à deux facteurs pour l’accès au back-office, ni du protocole de notification en cas de fuite de données. Pour un portail qui manipule des pièces d’identité et des coordonnées bancaires, cette opacité technique mérite d’être signalée.
Lire également : Pourquoi opter pour la motorisation de vos équipements est-il une bonne idée ?

Sécurité technique du portail in’li : les critères à vérifier soi-même
Faute de transparence complète de la part d’in’li, un locataire peut effectuer quelques vérifications élémentaires. Les bonnes pratiques RGPD pour un site manipulant des données personnelles, des documents et des paiements incluent un socle minimum identifiable sans compétence technique avancée.
- Le site connect.inli.fr utilise bien le protocole HTTPS, ce qui signifie que les échanges entre le navigateur et le serveur sont chiffrés pendant le transit. C’est un prérequis, pas une garantie de sécurité globale.
- La politique mentionne un DPO joignable par courrier électronique, ce qui est une obligation légale pour un organisme de cette taille. Le test réel consiste à lui écrire et à mesurer le délai de réponse (le RGPD impose un mois maximum).
- Aucune option d’authentification à deux facteurs n’est proposée côté locataire au moment de la connexion. Ce point représente une faiblesse concrète : un mot de passe compromis suffit à accéder au compte.
Les bonnes pratiques attendues en 2025 pour ce type de portail comprennent aussi des mises à jour techniques régulières, des sauvegardes chiffrées et des contrats de sous-traitance conformes au RGPD. Aucun de ces éléments n’est vérifiable de l’extérieur par un locataire ordinaire.
Absence de sanction CNIL : un signal rassurant, pas une preuve
À ce jour, aucune sanction de la CNIL visant in’li ou in’li et moi n’a été rendue publique. Ce constat peut rassurer, mais il faut le replacer dans son contexte.
La CNIL ne contrôle qu’une fraction des organismes chaque année. L’absence de sanction ne signifie pas l’absence de manquement : elle peut simplement refléter l’absence de contrôle ou de plainte formelle.
La majorité des sanctions simplifiées prononcées depuis janvier 2026 concernent le non-respect des droits d’accès et d’effacement et le défaut de coopération avec l’autorité. Ce durcissement signifie qu’un portail locataire comme in’li et moi sera jugé non seulement sur sa politique écrite, mais sur sa capacité à répondre effectivement aux demandes dans les délais.
Un locataire qui souhaite tester la fiabilité réelle du dispositif peut exercer son droit d’accès (article 15 du RGPD) en demandant la liste complète des données détenues à son sujet. Le délai et la qualité de la réponse constituent un indicateur concret.
Confidentialité des documents transmis via l’espace locataire
Le risque principal pour un locataire d’in’li et moi ne vient pas nécessairement d’une faille du portail lui-même. Il tient aussi à la chaîne de traitement des documents après leur dépôt.
Quand un locataire téléverse une pièce d’identité ou un justificatif de revenus, ces fichiers transitent vers les équipes de gestion locative, potentiellement vers des prestataires techniques (hébergeur, éditeur de logiciel). La politique d’in’li mentionne le recours à des sous-traitants, mais ne liste pas nommément ces prestataires ni leur localisation géographique. Un locataire ne sait donc pas si ses documents sont stockés en France, dans l’Union européenne ou ailleurs.

Pour limiter le risque d’usurpation d’identité en cas de fuite, une précaution simple existe : apposer un filigrane sur chaque document transmis (« Document réservé à in’li – [date] ») avant de le déposer sur la plateforme. Cette pratique, recommandée par la CNIL et popularisée par des services comme DossierFacile, rend le document inexploitable en cas de réutilisation frauduleuse.
Données partagées avec des tiers : ce que prévoit in’li
La politique de protection des données d’in’li mentionne plusieurs catégories de destinataires des informations collectées :
- Les entités du groupe Action Logement, dans le cadre de la gestion du parc immobilier et des demandes de logement.
- Les sous-traitants techniques intervenant sur la maintenance du portail et l’hébergement des données.
- Les autorités publiques, sur demande légale (administration fiscale, forces de l’ordre).
Le partage avec les entités du groupe Action Logement pose une question spécifique. In’li et moi sert de point d’entrée unique, mais les données peuvent circuler au sein d’un écosystème large. Le locataire n’a pas de visibilité sur l’étendue réelle de cette circulation interne.
La politique ne mentionne pas de transfert à des fins commerciales vers des tiers extérieurs au groupe. Sur ce point, les engagements écrits sont conformes aux attentes réglementaires. Les données disponibles ne permettent pas de vérifier leur application effective au quotidien.
Le portail in’li et moi remplit les obligations formelles du RGPD : politique publiée, DPO désigné, bases légales identifiées. La fiabilité technique réelle reste plus difficile à évaluer de l’extérieur, faute de transparence sur les mesures de sécurité et sur la chaîne de sous-traitance. Un locataire soucieux de protéger ses données gagne à exercer ses droits d’accès, à filigraner ses documents et à surveiller toute activité inhabituelle sur son espace personnel.

