L’amende qui a failli couler un cabinet
Olivier est courtier en assurance depuis cinq ans. Cabinet prospère, 450 clients, deux collaborateurs. Un matin de mars, il reçoit un courrier recommandé de la CNIL. Un ancien client a déposé une plainte : Olivier lui envoyait toujours des emails commerciaux six mois après la résiliation de son contrat. Le client avait demandé la suppression de ses données, Olivier n’avait pas donné suite. L’enquête de la CNIL révèle que le cabinet n’a pas de registre des traitements, pas de politique de confidentialité conforme, pas de procédure de gestion des droits des personnes, et stocke des copies de pièces d’identité et de bulletins de salaire sur un disque dur non chiffré.
Résultat : une mise en demeure avec un délai de trois mois pour se mettre en conformité, et une amende de 15 000 euros. Pour un cabinet qui génère 85 000 euros de chiffre d’affaires annuel, c’est un coup dur. Pas fatal, mais évitable.
Le RGPD (Règlement Général sur la Protection des Données, règlement UE 2016/679) s’applique à tous les courtiers en assurance, sans exception. Que vous soyez en micro-entreprise avec 30 clients ou à la tête d’un cabinet de 10 personnes, vous traitez des données personnelles, et souvent des données sensibles (santé, situation financière). Cet article vous explique vos obligations et comment les respecter sans y passer des heures.
Pourquoi le courtier est particulièrement concerné
Le courtage en assurance est l’un des métiers où le volume et la sensibilité des données personnelles traitées sont les plus élevés.
Les données que vous collectez
| Type de donnée | Exemples | Niveau de sensibilité |
|---|---|---|
| Identité | Nom, prénom, date de naissance, adresse, téléphone, email | Standard |
| Situation familiale | Statut matrimonial, nombre d’enfants, régime matrimonial | Standard |
| Situation professionnelle | Employeur, poste, revenus, statut (salarié, TNS, fonctionnaire) | Standard |
| Données financières | RIB, revenus, patrimoine, crédit en cours | Élevé |
| Données de santé | Questionnaire médical, antécédents, traitements en cours | Très élevé (catégorie spéciale RGPD) |
| Pièces d’identité | CNI, passeport, permis de conduire | Élevé |
| Données de conduite | Relevé d’information auto, sinistres, bonus-malus | Standard |
| Données immobilières | Adresse du bien, surface, type de construction, valeur | Standard |
Les données de santé sont classées “catégories particulières” par l’article 9 du RGPD. Leur traitement est en principe interdit, sauf exceptions limitées. En assurance, l’exception applicable est l’article 9.2.f (constatation, exercice ou défense de droits en justice) et l’article 9.2.g (intérêt public important), combinés avec les dispositions du Code des assurances.
Le cadre réglementaire cumulé
Le courtier est soumis à un triple cadre en matière de données :
- Le RGPD (règlement UE 2016/679) : cadre général de protection des données
- La loi Informatique et Libertés (loi n°78-17 du 6 janvier 1978 modifiée) : transposition nationale
- Le Code des assurances : obligations spécifiques de conservation et de communication (devoir de conseil, lutte anti-blanchiment)
Ces textes peuvent entrer en tension. Le RGPD impose de limiter la conservation des données au strict nécessaire. Le Code des assurances impose de conserver certains documents pendant des durées longues (5 ans pour le devoir de conseil, 5 ans après la fin de la relation d’affaires pour la LCB-FT). C’est dans la gestion de ces tensions que réside la complexité.
Les 7 obligations du courtier
Obligation 1 : tenir un registre des traitements
L’article 30 du RGPD impose à tout responsable de traitement de tenir un registre des activités de traitement. Même si vous avez moins de 250 salariés, l’exemption ne s’applique pas si vous traitez des données de santé (ce qui est votre cas).
Votre registre doit lister :
- Chaque traitement de données (prospection, souscription, gestion des sinistres, facturation, etc.)
- Les catégories de données concernées
- Les finalités du traitement
- Les destinataires des données (compagnies, comparateurs, expert-comptable)
- Les durées de conservation
- Les mesures de sécurité mises en place
En pratique, un tableur simple suffit. Créez une ligne par traitement, avec les colonnes correspondantes. Mettez-le à jour chaque fois que vous ajoutez un nouveau traitement.
Obligation 2 : informer les personnes
L’article 13 du RGPD impose d’informer chaque personne dont vous collectez les données. Cette information doit être fournie au moment de la collecte et doit inclure :
- L’identité du responsable de traitement (vous)
- Les finalités du traitement
- La base légale (exécution du contrat, obligation légale, consentement, ou intérêt légitime)
- Les destinataires des données
- La durée de conservation
- Les droits de la personne (accès, rectification, effacement, opposition, portabilité)
- Les coordonnées du DPO (si vous en avez un) ou vos coordonnées
En pratique, intégrez ces informations dans :
- Votre politique de confidentialité (page dédiée sur votre site web)
- La fiche de recueil des besoins que vous faites signer à chaque nouveau client
- Les mentions légales de vos emails
Obligation 3 : obtenir le consentement quand il est requis
Le consentement n’est pas toujours nécessaire. Pour l’exécution d’un contrat d’assurance, la base légale est l’exécution contractuelle (article 6.1.b du RGPD). Pour les obligations de LCB-FT, c’est l’obligation légale (article 6.1.c). Pour la prospection commerciale par email, c’est le consentement préalable (sauf exception du “soft opt-in” pour les clients existants).
Le consentement est spécifiquement requis pour :
- L’envoi d’emails commerciaux à des prospects qui ne sont pas encore clients
- Le traitement de données de santé au-delà de ce qui est strictement nécessaire au contrat
- Le transfert de données à des partenaires commerciaux hors du cadre du contrat
Le consentement doit être libre, spécifique, éclairé et univoque. Une case pré-cochée ne constitue pas un consentement valable.
Obligation 4 : limiter la conservation
Vous ne pouvez pas conserver les données indéfiniment. Voici les durées de conservation recommandées pour un courtier :
| Donnée | Durée de conservation | Fondement |
|---|---|---|
| Dossier client actif | Durée du contrat + 5 ans | Prescription civile (article 2224 du Code civil) |
| Dossier prospect non converti | 3 ans après le dernier contact | Recommandation CNIL |
| Données de santé (questionnaire médical) | Durée du contrat + 2 ans | Minimum nécessaire |
| Documents LCB-FT | 5 ans après la fin de la relation | Article L. 561-12 du CMF |
| Cookies et traceurs web | 13 mois maximum | Recommandation CNIL |
À l’expiration de la durée de conservation, les données doivent être supprimées ou anonymisées. Mettez en place une procédure de purge annuelle : chaque année, identifiez les dossiers dont la durée est écoulée et supprimez-les.
Obligation 5 : sécuriser les données
L’article 32 du RGPD impose des mesures de sécurité “appropriées” au regard des risques. Pour un cabinet de courtage, les mesures minimales sont :
- Chiffrement : chiffrez le disque dur de votre ordinateur et de votre téléphone (activez FileVault sur Mac, BitLocker sur Windows)
- Mots de passe : utilisez des mots de passe forts et uniques pour chaque service. Utilisez un gestionnaire de mots de passe
- Sauvegarde : sauvegardez vos données régulièrement sur un support sécurisé (cloud chiffré ou disque externe chiffré)
- Accès : limitez l’accès aux données aux personnes qui en ont besoin. Si vous avez des collaborateurs, attribuez des droits d’accès différenciés
- Mise à jour : maintenez vos logiciels et systèmes d’exploitation à jour (les mises à jour corrigent les failles de sécurité)
- Email : ne transmettez jamais de données sensibles par email non chiffré. Utilisez des plateformes sécurisées pour les échanges de documents
Obligation 6 : gérer les droits des personnes
Toute personne dont vous traitez les données dispose de droits :
- Droit d’accès (article 15) : obtenir une copie de ses données
- Droit de rectification (article 16) : corriger des données inexactes
- Droit à l’effacement (article 17) : demander la suppression de ses données
- Droit d’opposition (article 21) : s’opposer au traitement pour prospection commerciale
- Droit à la portabilité (article 20) : recevoir ses données dans un format réutilisable
Quand un client ou prospect exerce l’un de ces droits, vous devez répondre dans un délai d’un mois. Mettez en place une adresse email dédiée (ex : donnees@votrecabinet.fr) ou un formulaire de contact spécifique pour centraliser les demandes.
Obligation 7 : encadrer les sous-traitants
Chaque prestataire qui accède aux données de vos clients est un sous-traitant au sens du RGPD. Exemples : votre CRM, votre outil de comparaison, votre expert-comptable, votre hébergeur web. L’article 28 du RGPD impose un contrat écrit avec chaque sous-traitant, précisant les obligations en matière de protection des données.
En pratique, la plupart des outils SaaS incluent un “Data Processing Agreement” (DPA) dans leurs conditions générales. Vérifiez qu’il existe et conservez-le. Pour les prestataires locaux (expert-comptable, informaticien), ajoutez une clause de confidentialité et de protection des données dans votre contrat de prestation.
La conformité en pratique : le plan d’action
Voici comment vous mettre en conformité en une journée de travail.
Matin (3 heures)
- Créez votre registre des traitements (1h). Un tableur avec les colonnes : nom du traitement, finalité, base légale, catégories de données, destinataires, durée de conservation, mesures de sécurité
- Rédigez votre politique de confidentialité (1h). Publiez-la sur votre site web et intégrez-la dans vos documents clients
- Ajoutez les mentions RGPD à votre fiche de recueil des besoins (30 min). Informez le client de ses droits et des finalités du traitement au moment de la collecte
- Vérifiez vos formulaires web (30 min). Case de consentement non pré-cochée, lien vers la politique de confidentialité, information sur les cookies
Après-midi (3 heures)
- Sécurisez vos équipements (1h). Chiffrement des disques, mots de passe forts, gestionnaire de mots de passe, sauvegarde automatique
- Faites l’inventaire de vos sous-traitants (1h). Listez tous les outils et prestataires qui accèdent aux données clients. Vérifiez qu’ils ont un DPA
- Mettez en place la procédure de purge (30 min). Définissez les durées de conservation par type de donnée. Programmez un rappel annuel pour la purge
- Créez une procédure de gestion des droits (30 min). Adresse email dédiée, modèles de réponse, délai d’un mois
Les sanctions en cas de non-conformité
La CNIL dispose d’un arsenal de sanctions progressif :
| Niveau | Sanction | Montant |
|---|---|---|
| Avertissement | Rappel à l’ordre sans amende | 0 € |
| Mise en demeure | Obligation de se conformer dans un délai | 0 € (si respect du délai) |
| Amende administrative | Sanction financière | Jusqu’à 20 M€ ou 4 % du CA mondial |
| Injonction | Obligation de cesser le traitement | Variable |
Pour un courtier indépendant, les amendes prononcées sont généralement de l’ordre de 5 000 à 50 000 euros. C’est loin des millions infligés aux grandes entreprises, mais c’est suffisant pour mettre en difficulté un cabinet.
Au-delà de l’amende, la sanction la plus dommageable est la publication de la décision. Une sanction CNIL publiée sur le site de la CNIL avec le nom de votre cabinet est un désastre en termes d’image.
Le cas spécifique des données de santé
En assurance de personnes (prévoyance, santé, emprunteur), vous collectez des données de santé via les questionnaires médicaux. Ces données bénéficient d’une protection renforcée.
Ce que vous pouvez faire
- Collecter les données de santé strictement nécessaires à l’évaluation du risque et à la souscription du contrat
- Transmettre ces données à la compagnie d’assurance dans le cadre de la souscription
- Conserver ces données pendant la durée du contrat (pour la gestion des sinistres)
Ce que vous ne pouvez pas faire
- Conserver les questionnaires médicaux après la fin du contrat sans motif légitime
- Utiliser les données de santé à des fins de prospection ou de segmentation commerciale
- Transmettre les données de santé à des tiers non liés au contrat d’assurance
- Stocker les données de santé sur des supports non sécurisés (pas de questionnaire médical en pièce jointe d’email non chiffré)
La loi Lemoine et les données de santé
La loi Lemoine (n°2022-270 du 28 février 2022) a supprimé le questionnaire médical pour les prêts dont la part assurée est inférieure à 200 000 euros par assuré. Cette mesure réduit mécaniquement le volume de données de santé traitées par les courtiers en assurance emprunteur. Mais pour les contrats qui nécessitent encore un questionnaire, les obligations de protection restent identiques.
Les outils conformes
CRM
Choisissez un CRM qui respecte le RGPD : hébergement en UE, chiffrement des données, DPA disponible, fonctionnalité de suppression et d’export des données, journalisation des accès. Vérifiez ces points avant de souscrire.
Utilisez un service email professionnel (pas Gmail gratuit) avec chiffrement en transit (TLS). Pour les échanges de documents sensibles (pièces d’identité, questionnaires médicaux), utilisez une plateforme de partage sécurisée plutôt que des pièces jointes.
Stockage
Privilégiez un stockage cloud chiffré hébergé en UE. Évitez de stocker des données clients sur des clés USB non chiffrées ou des disques durs portables non sécurisés. En cas de perte ou de vol, c’est une violation de données que vous devez notifier à la CNIL dans les 72 heures.
Les bonnes pratiques au quotidien
- Ne collectez que ce qui est nécessaire : si vous n’avez pas besoin du numéro de sécurité sociale pour un devis auto, ne le demandez pas
- Informez à chaque contact : mentionnez vos obligations RGPD dans vos emails de premier contact
- Documentez votre conseil : le RGPD renforce l’importance de la trace écrite, qui sert aussi à prouver votre devoir de conseil (article L. 521-2 du Code des assurances)
- Supprimez les données des prospects perdus : si un prospect ne donne pas suite après 3 ans, supprimez son dossier
- Formez vos collaborateurs : si vous avez des salariés, sensibilisez-les aux règles de protection des données
- Réagissez vite en cas d’incident : une violation de données (perte, vol, accès non autorisé) doit être notifiée à la CNIL dans les 72 heures (article 33 du RGPD)
La protection des données n’est pas un frein à votre activité. C’est un argument commercial. Un courtier qui explique à ses clients comment il protège leurs données inspire confiance. Dans un métier basé sur la confiance, c’est un avantage concurrentiel. Pour maîtriser l’ensemble du cadre réglementaire du courtage, la formation IAS 150h couvre les obligations légales du courtier, y compris la protection des données dans le cadre du devoir de conseil.
Un courtier en micro-entreprise est-il soumis au RGPD ?
Oui. Le RGPD s’applique à tout organisme qui traite des données personnelles, quelle que soit sa taille ou son statut juridique. Un auto-entrepreneur qui gère 30 dossiers clients est soumis aux mêmes obligations qu’un cabinet de 50 personnes. La différence est dans l’échelle des mesures à mettre en place, pas dans le principe.
Faut-il nommer un DPO (Délégué à la Protection des Données) ?
Non, sauf si vous traitez des données de santé à grande échelle. Pour un courtier individuel ou un petit cabinet, la nomination d’un DPO n’est pas obligatoire. En revanche, vous devez être en mesure de répondre aux demandes des personnes et de la CNIL. Vous pouvez externaliser cette fonction auprès d’un prestataire spécialisé si vous ne souhaitez pas la gérer vous-même.
Peut-on utiliser WhatsApp pour communiquer avec les clients ?
C’est déconseillé pour les échanges contenant des données personnelles ou sensibles. WhatsApp est chiffré de bout en bout, ce qui est un point positif, mais les données sont hébergées par Meta (hors UE), ce qui pose un problème de transfert international. Pour les échanges courants (prise de rendez-vous, rappels), c’est tolérable. Pour l’envoi de documents contenant des données personnelles (pièces d’identité, questionnaires médicaux), utilisez une plateforme sécurisée hébergée en UE.
Combien de temps peut-on conserver un dossier client après la résiliation ?
La recommandation est de conserver le dossier pendant 5 ans après la fin du contrat, ce qui correspond au délai de prescription de droit commun (article 2224 du Code civil). Après ce délai, les données doivent être supprimées ou anonymisées, sauf si une obligation légale spécifique impose une durée plus longue (par exemple, les documents LCB-FT doivent être conservés 5 ans après la fin de la relation d’affaires).
Que faire en cas de fuite de données ?
Vous devez notifier la CNIL dans les 72 heures suivant la découverte de la violation (article 33 du RGPD). Si la violation présente un risque élevé pour les personnes concernées, vous devez également les informer individuellement (article 34). Documentez l’incident : nature de la violation, données concernées, nombre de personnes impactées, mesures prises pour remédier à la situation. Même une clé USB perdue contenant des dossiers clients constitue une violation de données.
Les compagnies d’assurance sont-elles responsables des données que je leur transmets ?
Oui, une fois que les données sont en leur possession, les compagnies deviennent responsables de traitement pour leurs propres finalités. Mais vous restez responsable de la collecte initiale et de la transmission. Vous devez vous assurer que la transmission est sécurisée et que le client a été informé que ses données seront partagées avec la compagnie. Le contrat de courtage (convention) avec la compagnie doit préciser les responsabilités respectives en matière de protection des données.
La formation IAS aborde-t-elle le RGPD ?
L’UV1 de la formation IAS couvre les obligations réglementaires du courtier, incluant les principes de protection des données dans le cadre du devoir de conseil et de la déontologie. C’est une introduction aux principes généraux. Pour une mise en conformité complète, il est recommandé de compléter par une lecture des guides pratiques de la CNIL destinés aux professionnels de l’assurance.
