Resources
Jun 14, 2026

RGPD et données clients : les obligations du courtier en assurance

Bases légales, durées de conservation, droits des assurés, sécurité et registre : les obligations RGPD concrètes du courtier en assurance sur les données clients.

RGPD et données clients : les obligations du courtier en assurance
RGPD et données clients : les obligations du courtier en assurance

Aurasoft

Une plateforme SaaS innovante spécialement conçue pour le secteur de l'assurance.

Contacter notre équipe

Le RGPD s'applique à tout acteur qui traite des données personnelles dans le cadre de son activité — et un courtier en assurance en traite chaque jour des centaines : noms, coordonnées, situation familiale, état de santé, données bancaires, sinistres. Pourtant, la conformité RGPD reste souvent perçue comme une contrainte administrative périphérique plutôt que comme un enjeu de fond. C'est une erreur : la CNIL sanctionne, les assurés sont de plus en plus informés de leurs droits, et les conséquences d'une violation de données peuvent être durables pour la réputation d'un cabinet.

Pourquoi le courtier en assurance est particulièrement exposé

Le courtier est, au sens du RGPD, un responsable de traitement. Il décide pourquoi et comment les données personnelles de ses clients sont collectées et utilisées. Contrairement à une idée reçue, il ne peut pas se réfugier derrière les compagnies d'assurance : si les données transitent par ses outils, sont stockées dans ses systèmes ou traitées par ses équipes, il est responsable de ces traitements.

Les données manipulées en assurance incluent fréquemment des données sensibles au sens de l'article 9 du RGPD : données de santé pour la prévoyance et la mutuelle, parfois des données relatives à des condamnations ou infractions dans certaines branches. Ces catégories appellent des garanties renforcées et ne peuvent pas être traitées sans base légale spécifique.

Les bases légales applicables en assurance

Tout traitement de données personnelles doit reposer sur l'une des six bases légales du RGPD. En assurance, les plus fréquemment mobilisées sont :

  • L'exécution du contrat (article 6.1.b) : traiter les données nécessaires à la souscription et à la gestion du contrat d'assurance, à la gestion des sinistres, à la facturation des primes.
  • L'obligation légale (article 6.1.c) : obligations liées à la DDA (directive distribution assurance), à la lutte contre le blanchiment, à la conservation des documents requis par l'ACPR.
  • Le consentement (article 6.1.a) : pour les communications marketing au-delà de la gestion du contrat, pour l'utilisation des données à des fins de prospection ou de profilage.
  • L'intérêt légitime (article 6.1.f) : pour certaines activités commerciales ou de suivi, sous réserve que les intérêts du responsable de traitement ne prévalent pas sur les droits des personnes.

Pour les données de santé, seule l'exception de l'article 9.2.h — nécessité aux fins de médecine préventive, de diagnostic médical, de la prise en charge sanitaire ou sociale — ou le consentement explicite (article 9.2.a) permettent un traitement. Le courtier doit s'assurer que cette base est documentée pour chaque traitement impliquant des données de santé.

Durée de conservation : les règles applicables

La durée de conservation est l'un des points les plus fréquemment négligés dans les cabinets. Conserver des données plus longtemps que nécessaire est une infraction au RGPD, même en l'absence de violation ou d'usage abusif. Voici les durées de référence en assurance :

  • Données contractuelles (contrats, avenants, correspondances liées au contrat) : 5 ans à compter de la fin du contrat, durée correspondant à la prescription quinquennale en matière civile.
  • Données de santé traitées dans le cadre de contrats prévoyance ou santé : en général alignées sur la durée du contrat augmentée du délai de prescription applicable.
  • Données de sinistres : durée variable selon la nature du sinistre et le délai de prescription de la branche concernée. Les dossiers corporels peuvent appeler des durées plus longues.
  • Données de prospection (prospects n'ayant pas souscrit) : 3 ans maximum à compter du dernier contact, selon les recommandations de la CNIL.
  • Données comptables et pièces justificatives : 10 ans selon les obligations comptables légales.

Ces durées impliquent de mettre en place des procédures d'archivage et de purge automatiques — ce qu'un CRM courtier bien paramétré peut gérer sans intervention manuelle.

Les droits des assurés : ce que le courtier doit garantir

Chaque personne dont le courtier traite les données dispose de droits qu'il doit être en mesure d'honorer dans des délais imposés (en général un mois, prolongeable à trois mois pour les demandes complexes) :

  1. Droit d'accès : l'assuré peut demander quelles données sont traitées, pour quelles finalités, avec quels destinataires. Le courtier doit fournir une copie des données.
  2. Droit de rectification : corriger des données inexactes ou les compléter si elles sont incomplètes.
  3. Droit à l'effacement (« droit à l'oubli ») : limité en assurance par les obligations de conservation légale — un courtier ne peut pas effacer un dossier sinistre pendant la période de prescription.
  4. Droit à la limitation du traitement : bloquer temporairement l'utilisation des données pendant la vérification d'une rectification ou d'une opposition.
  5. Droit d'opposition : s'opposer aux traitements fondés sur l'intérêt légitime, notamment la prospection commerciale.
  6. Droit à la portabilité : recevoir ses données dans un format structuré et lisible par machine.

Honorer ces droits suppose que les données soient localisables rapidement dans le système d'information. Un dossier client éparpillé entre un logiciel de gestion, une messagerie et des dossiers partagés rend l'exercice de ces droits très difficile à garantir dans les délais.

Sécurité et hébergement des données

Le RGPD impose de mettre en œuvre des mesures techniques et organisationnelles proportionnées aux risques. Pour un cabinet de courtage, les mesures minimales attendues incluent :

  • Chiffrement des données en transit (HTTPS, TLS) et, idéalement, au repos pour les données sensibles.
  • Gestion des accès par profil : chaque collaborateur n'accède qu'aux données nécessaires à sa fonction. Un apporteur externe ne doit pas avoir accès aux données des clients d'un autre apporteur.
  • Journalisation des accès et des modifications pour les données sensibles.
  • Politique de sauvegarde et de restauration testée régulièrement.
  • Procédure de notification en cas de violation de données : la CNIL doit être informée dans les 72 heures si la violation est susceptible d'engendrer un risque pour les droits des personnes.

La question de l'hébergement mérite une attention particulière. Utiliser des services hébergés hors Union européenne (certains outils américains, par exemple) impose des garanties supplémentaires — clauses contractuelles types, évaluation des risques de transfert — depuis l'invalidation du Privacy Shield. Un hébergement en France ou dans l'UE simplifie significativement la conformité.

Le registre des activités de traitement

Tout responsable de traitement doit tenir un registre des activités de traitement (article 30 du RGPD). Ce document recense, pour chaque traitement :

  • La finalité du traitement (gestion des contrats, gestion des sinistres, prospection…)
  • Les catégories de personnes concernées et de données traitées
  • La base légale
  • Les destinataires des données (compagnies, prestataires, sous-traitants)
  • Les durées de conservation
  • Les mesures de sécurité mises en œuvre

Ce registre n'est pas un document statique à produire une fois. Il doit être mis à jour à chaque nouveau traitement ou modification significative — lancement d'un nouveau produit, intégration d'un nouveau prestataire, changement d'outil. En cas de contrôle de la CNIL, c'est le premier document demandé.

Sous-traitants et partenaires : les obligations de contractualisation

Chaque prestataire qui traite des données personnelles pour le compte du courtier est un sous-traitant au sens du RGPD. L'éditeur du logiciel de gestion, la plateforme d'envoi d'e-mails, le prestataire de signature électronique — tous doivent faire l'objet d'un contrat de sous-traitance (article 28) précisant leurs obligations en matière de sécurité, de confidentialité et de retour des données en fin de contrat.

La solution Aurasign intègre nativement les exigences RGPD dans son dispositif de signature électronique, avec une traçabilité complète des consentements et des parcours de signature.

DDA et RGPD : deux obligations qui se complètent

La directive sur la distribution d'assurance (DDA) impose au courtier de collecter et documenter les besoins de l'assuré avant toute recommandation. Cette collecte génère des données personnelles qui doivent être traitées conformément au RGPD. Les deux réglementations ne s'opposent pas : le devoir de conseil fonde une partie des traitements de données sur la base légale de l'exécution du contrat ou de l'obligation légale.

L'article Conformité DDA et OAV explore comment un outil d'aide à la vente permet de documenter le conseil tout en structurant les données nécessaires à la conformité RGPD.

Foire aux questions

Un courtier doit-il nommer un DPO (délégué à la protection des données) ?

La nomination d'un DPO est obligatoire pour les organismes qui traitent à grande échelle des données sensibles ou qui effectuent un suivi systématique à grande échelle de personnes. La plupart des cabinets de courtage indépendants ne sont pas formellement dans ce cas. Toutefois, désigner un référent RGPD interne ou externe reste fortement recommandé pour structurer la démarche de conformité.

Que risque un courtier en cas de non-conformité RGPD ?

Les sanctions de la CNIL peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel pour les manquements les plus graves. En pratique, les cabinets de courtage font plus souvent face à des mises en demeure et des injonctions de mise en conformité. Mais une violation de données mal gérée peut aussi engager la responsabilité civile du courtier envers ses clients et nuire durablement à sa réputation.

Comment gérer les données des prospects non convertis ?

Les données d'un prospect qui n'a pas souscrit peuvent être conservées jusqu'à 3 ans à compter du dernier contact actif, selon les recommandations CNIL pour la prospection commerciale. Au-delà de ce délai, elles doivent être effacées ou anonymisées. Cela implique un processus de purge automatique dans le CRM, déclenché sur la date du dernier contact.

Les échanges par e-mail avec les assurés sont-ils concernés par le RGPD ?

Oui. Toute donnée personnelle traitée dans le cadre de l'activité est concernée, y compris les échanges par e-mail. Cela implique de sécuriser les serveurs de messagerie, de ne pas conserver des e-mails contenant des données sensibles sans justification, et d'intégrer ces données dans le registre des traitements. Utiliser une messagerie professionnelle sécurisée, hébergée dans l'UE, est une précaution minimale.

Conclusion

Le RGPD n'est pas une contrainte accessoire pour un courtier en assurance : c'est une exigence structurelle qui touche à la fois les pratiques commerciales, les outils informatiques, les relations avec les partenaires et la gestion quotidienne des dossiers. Se mettre en conformité demande un effort initial d'audit et de documentation, puis un maintien continu. Le bon point de départ est le registre des traitements : une fois formalisé, il révèle les lacunes à combler et sert de feuille de route.

Pour découvrir comment la plateforme Aurasoft intègre la conformité RGPD dans ses fonctions de gestion et de CRM, contactez notre équipe.

Nos derniers articles

Toute notre actualité

Améliorez votre expérience client avec les
Solutions Aurasoft

Contacter notre équipe