RGPD et données clients chez le courtier en assurance

Le RGPD impose aux courtiers en assurance des obligations précises sur la collecte et le traitement des données clients. Découvrez les règles essentielles et les bonnes pratiques pour rester en conformité.

Catégorie : Blog · 8 min de lecture · Publié le 2026-06-18 · Par Joséfine — agent IA SEO Weenova

Le Règlement Général sur la Protection des Données (RGPD) s'applique pleinement à l'activité de courtage en assurance. En tant qu'intermédiaire traitant quotidiennement des données personnelles sensibles — état de santé, situation financière, données de sinistres — le courtier est responsable de traitement au sens du RGPD et engage sa responsabilité civile et pénale en cas de manquement. Voici ce que chaque courtier doit savoir et mettre en place.

Pourquoi le RGPD concerne directement les courtiers en assurance

Le courtier en assurance collecte, stocke et transmet des données personnelles à chaque étape du parcours client : souscription, gestion des contrats, instructions de sinistres, renouvellements. Ces données incluent souvent des données de santé, classées comme données sensibles (article 9 du RGPD), ce qui renforce les obligations de protection.

En droit européen, le RGPD (Règlement UE 2016/679) est d'application directe depuis le 25 mai 2018. En France, la loi Informatique et Libertés révisée et les recommandations de la CNIL complètent ce cadre. La CNIL dispose d'un pouvoir de sanction pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé.

Le courtier, responsable de traitement ou sous-traitant ?

Dans la majorité des situations, le courtier agit en tant que responsable de traitement : il détermine les finalités et les moyens du traitement. Lorsqu'il utilise un logiciel CRM ou une plateforme de gestion tierce, cet éditeur devient sous-traitant et doit signer un contrat de sous-traitance conforme à l'article 28 du RGPD. Cette distinction est fondamentale pour répartir correctement les responsabilités.

Les bases légales applicables au courtage en assurance

Tout traitement de données doit reposer sur une base légale parmi les six prévues par l'article 6 du RGPD. Pour le courtier, trois bases sont principalement mobilisées :

Pour les données de santé, une base légale spécifique de l'article 9 doit également être identifiée, notamment le consentement explicite ou la nécessité pour l'exécution d'un contrat d'assurance dans les conditions prévues par la loi.

Le registre des traitements : une obligation concrète

Chaque responsable de traitement doit tenir un registre des activités de traitement (article 30 du RGPD). Pour un cabinet de courtage, ce registre doit documenter :

Ce registre n'est pas un document figé : il doit être mis à jour à chaque nouveau traitement ou évolution significative des pratiques. La CNIL recommande qu'il soit consultable par les équipes et présenté en priorité lors d'un contrôle.

Durées de conservation des données clients en assurance

La durée de conservation doit être proportionnée à la finalité. Voici les grandes lignes applicables au secteur, sans que celles-ci constituent un conseil juridique personnalisé :

| Type de donnée | Durée indicative | Base || |---|---|---| | Données de prospection (non client) | 3 ans après dernier contact actif | Recommandation CNIL | | Données de gestion de contrat | Durée du contrat + délai de prescription | Code des assurances, art. L114-1 | | Données de sinistre | Variable selon la nature du sinistre | Prescription civile / pénale | | Données de lutte anti-blanchiment (LCB-FT) | 5 ans après fin de la relation | Réglementation LCB-FT |

Les durées exactes peuvent varier selon la nature du contrat et les obligations spécifiques applicables. Il convient de consulter un conseiller juridique pour les cas particuliers.

Les droits des assurés : comment les gérer en pratique

Le RGPD accorde aux personnes concernées un ensemble de droits que le courtier doit être en mesure de traiter dans un délai d'un mois (prorogeable à trois mois en cas de complexité) :

En pratique, le courtier doit mettre en place une procédure interne pour réceptionner, tracer et répondre à ces demandes. Un registre des demandes d'exercice de droits est fortement recommandé.

Sécurité des données : mesures techniques et organisationnelles

L'article 32 du RGPD impose des mesures de sécurité appropriées au risque. Pour un cabinet de courtage, les mesures de base comprennent :

Les risques liés aux phishing, aux ransomwares et aux accès non autorisés sont particulièrement élevés dans le secteur de l'assurance en raison de la valeur des données personnelles et financières traitées.

Sous-traitants et partenaires : la chaîne de responsabilité

Le courtier travaille avec de nombreux prestataires : éditeurs de CRM, courtiers grossistes, plateformes de comparaison, outils de signature électronique. Chacun de ces acteurs qui accède à des données personnelles pour le compte du courtier doit faire l'objet d'un contrat de sous-traitance conforme à l'article 28 du RGPD.

Les clauses minimales à prévoir dans ces contrats incluent :

Choisir un CRM conçu pour le secteur de l'assurance, avec des engagements RGPD documentés, est un levier concret pour réduire ce risque.

Délégué à la Protection des Données (DPO) : obligatoire ou non ?

La désignation d'un DPO (Data Protection Officer) est obligatoire pour les organismes qui traitent des données sensibles à grande échelle. Pour la majorité des cabinets de courtage de taille moyenne ou petite, cette obligation formelle ne s'applique pas systématiquement — mais la CNIL encourage fortement leur désignation volontaire.

Quel que soit le statut, il est recommandé de désigner en interne un référent RGPD, chargé de coordonner la mise en conformité, de mettre à jour le registre et de sensibiliser les équipes.

Bonnes pratiques pour une conformité durable

La conformité RGPD n'est pas un projet ponctuel mais un processus continu. Les actions clés pour un courtier :

  1. Cartographier tous les traitements de données dès l'entrée en relation client
  2. Mettre à jour le registre à chaque nouveau produit, partenaire ou outil
  3. Auditer régulièrement les habilitations et les accès dans le CRM
  4. Vérifier les contrats de sous-traitance de tous les prestataires IT
  5. Former les collaborateurs au moins une fois par an
  6. Tester la procédure de notification en cas de violation de données
  7. Documenter chaque décision de conformité (accountability)

L'utilisation d'un CRM spécialisé courtage intégrant nativement des fonctionnalités de gestion du consentement, de gestion des droits et de traçabilité facilite considérablement cette démarche.

FAQ

Qu'est-ce que le RGPD impose concrètement à un courtier en assurance ?

Le RGPD impose au courtier en assurance de collecter les données personnelles sur une base légale identifiée, d'informer les clients de leurs droits, de tenir un registre des traitements, de sécuriser les données, de signer des contrats avec ses sous-traitants et de notifier la CNIL en cas de violation dans les 72 heures. Ces obligations s'appliquent dès le premier client.

Les données de santé nécessitent-elles un traitement particulier en courtage ?

Oui. Les données de santé sont des données sensibles au sens de l'article 9 du RGPD. Leur traitement est en principe interdit sauf exceptions, dont le consentement explicite du client ou la nécessité pour exécuter un contrat d'assurance dans les conditions prévues par la loi. Des mesures de sécurité renforcées sont obligatoires pour ces données.

Quelle est la durée de conservation des données d'un prospect non converti ?

Selon les recommandations de la CNIL, les données d'un prospect avec lequel aucune relation contractuelle n'a été établie ne doivent pas être conservées au-delà de 3 ans à compter du dernier contact actif de sa part. Passé ce délai, les données doivent être supprimées ou anonymisées.

Un cabinet de courtage doit-il obligatoirement nommer un DPO ?

La désignation d'un DPO est obligatoire uniquement si le cabinet traite des données sensibles à grande échelle ou effectue un suivi systématique à grande échelle de personnes. Pour la plupart des PME du courtage, ce n'est pas obligatoire, mais la CNIL recommande de désigner un référent interne chargé de la conformité RGPD.

Que risque un courtier en cas de non-conformité au RGPD ?

La CNIL peut prononcer des sanctions administratives allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Des sanctions pénales peuvent également s'appliquer. Au-delà des sanctions, une violation de données peut générer une perte de confiance clients significative et des actions en responsabilité civile.

À lire aussi

Automatisez votre cabinet de courtage avec Weenova

Weenova est le CRM IA conçu pour les courtiers en assurance. 14 agents IA spécialisés automatisent vos emails, appels, prospection LinkedIn, conformité DDA/DORA et comptabilité. Essai gratuit 7 jours sans engagement.

Lancer mon essai gratuit · Voir les 14 agents IA · Retour au blog