Conformité & contrôle

Mettre votre cabinet de courtage en conformité RGPD, sans usine à gaz

Un cabinet de courtage manipule tout ce que le RGPD surveille de près : identités, situations familiales, revenus, et souvent des données de santé. Pour un courtier en assurance, le RGPD est pourtant moins une montagne qu'une série de décisions à documenter — registre, bases légales, durées, sous-traitants — puis une discipline à tenir. Le parcours tient en sept chantiers ; prenez-les dans l'ordre.

Mettre votre cabinet de courtage en conformité RGPD, sans usine à gaz — illustration Lizzee
À retenir
  • Le registre des traitements est le point de départ : il force à lister ce que le cabinet collecte, pourquoi, combien de temps, et avec qui il le partage.
  • La prospection repose sur des bases légales différentes selon le canal et la cible : consentement pour l'e-mail vers les particuliers, intérêt légitime encadré en B2B.
  • Les données de santé relèvent de l'article 9 : collecte minimale, accès restreints, circuit dédié — jamais de questionnaire de santé qui traîne dans une boîte mail partagée.
  • Durées de conservation : l'usage CNIL retient trois ans après le dernier contact pour un prospect particulier ; les dossiers clients suivent les prescriptions applicables.
  • Vos sous-traitants — hébergeur, logiciel métier, signature électronique — engagent votre responsabilité : contrat conforme à l'article 28 et hébergement choisi en connaissance de cause.

Ce que le RGPD change concrètement pour un courtier en assurance

Le cabinet est responsable de traitement : il décide pourquoi et comment les données de ses prospects et clients sont traitées, et il répond donc de leur protection — pas son éditeur de logiciel, pas son hébergeur. Le RGPD ajoute une exigence de démonstration : respecter les règles ne suffit pas, il faut le prouver, documents à l'appui.

La bonne nouvelle, c'est que le métier a déjà la culture de la trace. Un cabinet qui documente son devoir de conseil et tient son registre des réclamations possède les réflexes : le RGPD se greffe sur une discipline déjà là, au lieu d'exiger d'en bâtir une seconde.

Le registre des traitements : la colonne vertébrale

Le registre prévu par l'article 30 recense chaque traitement : sa finalité, sa base légale, les catégories de données, les destinataires, la durée de conservation et les mesures de sécurité. En pratique, un cabinet de courtage y retrouve presque toujours les mêmes entrées :

L'exercice paraît administratif ; c'est en réalité un inventaire des risques : en le remplissant, on découvre le fichier Excel de leads qui circule par e-mail depuis deux ans.

  • Gestion des prospects et des leads (origine, qualification, relances)
  • Gestion des contrats, des avenants et des sinistres
  • Questionnaires de santé en courtage santé, prévoyance et emprunteur
  • Traitement des réclamations
  • Gestion RH et paie du cabinet
  • Journalisation des accès au système d'information

Prospection : sur quelle base légale travaillez-vous ?

La règle dépend du canal et de la cible. Vers les particuliers, la prospection par e-mail ou SMS exige un consentement préalable ; par téléphone, le régime bascule : à compter du 11 août 2026, démarcher un particulier suppose un consentement préalable (loi du 30 juin 2025), hors sollicitations liées à un contrat en cours ; le code des assurances impose déjà, lui, l'accord explicite du prospect en début d'appel, l'interdiction de conclure dès le premier appel et l'enregistrement des appels. En B2B, la sollicitation est possible sans consentement préalable si elle est en rapport avec la fonction de la personne, avec information et faculté d'opposition. Chaque lead de votre pipeline devrait porter son origine et, le cas échéant, sa preuve de consentement.

Acheter des leads ne déplace pas la responsabilité : le cabinet qui exploite un fichier répond de la licéité de sa prospection. Avant de signer, demander comment le consentement a été recueilli, quand, avec quelle information — et conserver la réponse. Un fournisseur qui ne peut pas répondre vend un risque, pas un fichier.

Données de santé : le régime particulier de l'article 9

Le courtage santé et prévoyance et l'assurance emprunteur font entrer le cabinet dans la catégorie la plus surveillée : les données de santé sont des données sensibles au sens de l'article 9, dont le traitement n'est licite que par exception — en pratique, le plus souvent, le consentement explicite de la personne. Précision utile pour les cabinets qui font aussi du patrimoine : les données patrimoniales, elles, ne sont pas des données sensibles au sens de l'article 9 — à protéger sérieusement, mais sous un autre régime.

Concrètement : collecte limitée à ce que l'assureur exige, accès limité au besoin d'en connaître, transmission par canal maîtrisé plutôt que par e-mail simple, et purge une fois la donnée transmise au porteur de risque quand sa conservation ne s'impose plus. Le questionnaire de santé scanné qui dort dans une boîte mail partagée cumule à peu près tous les manquements en une seule pièce jointe.

Durées de conservation : ni trop, ni trop peu

Pour les prospects particuliers, l'usage établi par la CNIL est de trois ans après le dernier contact émanant du prospect. Pour les clients, la logique change : les pièces du dossier se conservent pendant la relation contractuelle puis le temps des prescriptions applicables, selon les textes en vigueur — l'archivage intermédiaire, à accès restreint, prend alors le relais de la base active.

La purge doit exister réellement, pas seulement dans le registre. Un CRM qui garde tous les prospects depuis dix ans est un constat en attente d'être écrit. Le plus simple est d'automatiser : échéances posées par catégorie, revue périodique, suppression ou anonymisation effectives.

Droits des personnes : répondre vite, garder trace

Accès, rectification, effacement, opposition, portabilité : toute personne peut exercer ses droits auprès du cabinet, qui dispose en principe d'un mois pour répondre. Le point faible habituel tient moins à la mauvaise volonté qu'à l'absence de circuit. Il faut un point d'entrée connu de l'équipe et un responsable de la réponse.

Deux cas concrets. Un prospect demande la suppression de ses données : vérification d'identité, suppression de la base active, conservation de la seule trace de la demande. Un client demande l'effacement de son dossier : on lui explique que les pièces requises par les obligations légales du cabinet restent conservées pour la durée prescrite, et on documente la réponse. Refuser peut être légitime — à condition de motiver et de tracer.

Sous-traitants et hébergement : votre responsabilité ne s'externalise pas

Hébergeur, éditeur du logiciel métier, outil d'e-mailing, prestataire de signature : tous traitent des données pour votre compte, et l'article 28 impose un contrat qui encadre ce traitement — instructions, sécurité, confidentialité, sort des données en fin de contrat, sous-traitance ultérieure. La première étape est un simple inventaire : qui touche vos données, avec quel contrat ?

La localisation des données mérite une décision explicite plutôt qu'une découverte a posteriori : privilégier un hébergement dans l'Union européenne, et examiner l'encadrement prévu en cas de transfert hors UE. Ces questions se posent avant de signer — un prestataire sérieux y répond précisément et sans détour.

Sécurité : chiffrement, habilitations, traçabilité des accès

Les mesures attendues d'un cabinet sont connues : chiffrement des données en transit et au repos, authentification renforcée, habilitations par rôle — l'assistant n'a pas besoin de voir les questionnaires de santé —, sauvegardes testées, postes verrouillés. S'y ajoute la traçabilité : savoir qui a consulté quoi et quand. Chez Lizzee, chaque pièce entre au dossier avec sa date et son empreinte — l'exigence devient un constat vérifiable, non une déclaration d'intention.

Enfin, la violation de données se prépare avant qu'elle n'arrive : un registre des incidents, une évaluation rapide du risque pour les personnes, la notification à la CNIL sous 72 heures quand elle s'impose. Le même esprit vaut pour l'ensemble du dispositif : la conformité gérée au quotidien coûte moins cher que la remise à niveau sous contrainte.

FAQ

Un cabinet de courtage doit-il désigner un DPO ?

Pas systématiquement. La désignation est obligatoire notamment en cas de suivi régulier et systématique de personnes à grande échelle, ou de traitement à grande échelle de données sensibles — l'analyse dépend du volume et de la nature de l'activité, données de santé en tête. Beaucoup de cabinets désignent un référent interne sans DPO formel ; en cas de doute, documenter l'analyse qui fonde la décision.

Les données patrimoniales de mes clients sont-elles des données sensibles ?

Non, pas au sens de l'article 9 du RGPD, qui vise notamment les données de santé, les opinions ou l'orientation sexuelle. Les informations patrimoniales — revenus, actifs, contrats — restent des données personnelles à protéger sérieusement, mais elles ne relèvent pas du régime d'interdiction de principe applicable aux données sensibles.

Combien de temps conserver les données d'un prospect qui ne répond plus ?

Trois ans, selon l'usage CNIL détaillé plus haut, décomptés à partir du dernier contact émanant du prospect lui-même. S'il se manifeste à nouveau, le délai repart ; passé le terme, suppression ou anonymisation — automatisées de préférence, plutôt que confiées à une purge manuelle annuelle.

Que faire en cas de violation de données dans le cabinet ?

Documenter l'incident dans le registre des violations, évaluer le risque pour les personnes concernées, notifier la CNIL sous 72 heures quand elle présente un risque, et informer les personnes elles-mêmes en cas de risque élevé. Vérifier aussi les sous-traitants impliqués, qui doivent vous alerter sans délai.

Le RGPD interdit-il d'utiliser l'IA sur les dossiers clients ?

Non, mais il l'encadre : base légale, information des personnes, minimisation des données transmises, et absence de décision entièrement automatisée produisant des effets juridiques sur les clients — l'article 22 s'y oppose. La machine prépare le terrain, l'humain garde la décision — et le fournisseur d'IA s'examine comme tout sous-traitant.

Voyez Lizzee sur vos cas.

Démo en ligne immédiate, ou démonstration guidée sur vos scénarios — sans engagement.

Demander une démo