Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

RGPD courtier en assurance : obligations et guide pratique 2026

RGPD courtier en assurance : données de santé, devoir de conseil DDA, fichiers prospects, LCB-FT, DPO. Obligations concrètes et checklist 2026.

L’essentiel. Un courtier en assurance traite des données patrimoniales, des données de santé (assurance emprunteur, prévoyance, complémentaire), des fichiers de prospection souvent volumineux et des données soumises à la lutte anti-blanchiment. Trois régimes se superposent : le RGPD, le Code des assurances (devoir de conseil issu de la DDA) et le Code monétaire et financier (LCB-FT). Le point le plus sensible est le traitement des données de santé de l’Art. 9, qui impose en règle générale le consentement explicite et une isolation stricte du questionnaire de santé. Le DPO n’est pas systématiquement obligatoire, mais le devient dès que le courtier traite des données de santé à grande échelle.

Le courtier en assurance occupe une position particulière dans la chaîne de la donnée. Immatriculé à l’ORIAS, il collecte les informations de ses clients pour construire un besoin, comparer des offres, souscrire un contrat auprès d’une compagnie, puis assurer le suivi et la gestion des sinistres. Dans une seule mission de courtage en assurance emprunteur, il manipule l’identité du client, sa situation familiale et patrimoniale, ses coordonnées bancaires, son questionnaire de santé, parfois des données relatives à ses habitudes de vie. À cela s’ajoute une activité de prospection quasi permanente : achat ou constitution de fichiers, campagnes d’emailing, appels sortants, comparateurs en ligne. Dans les audits que je mène auprès de cabinets de courtage, les mêmes fragilités reviennent : un questionnaire de santé conservé bien au-delà du nécessaire, des fichiers prospects sans base légale claire, et une sous-traitance non contractualisée avec l’éditeur de l’extranet métier. Voici ce qu’il faut mettre en place.

Le statut du courtier : responsable de traitement

Le courtier détermine les finalités et les moyens des traitements qu’il opère pour son propre compte : il est responsable de traitement au sens de l’Art. 4(7) du RGPD. Cette qualification vaut pour la relation avec ses clients, sa prospection, sa comptabilité et la gestion de ses salariés.

La relation avec la compagnie d’assurance est plus subtile. Courtier et assureur poursuivent chacun leurs propres finalités : le courtier conseille et distribue, l’assureur porte le risque et gère le contrat. Chacun est en principe responsable de traitement pour ce qui le concerne. Il n’y a pas de relation de sous-traitance entre eux, sauf mandat de gestion spécifique confié au courtier par la compagnie — auquel cas un contrat conforme à l’Art. 28 du RGPD devient nécessaire pour la partie déléguée. Cette qualification doit être tranchée cabinet par cabinet, car elle conditionne les obligations d’information et de notification.

Traitements typiques d’un cabinet de courtage

Traitement Base légale Durée de conservation indicative
Étude du besoin et devoir de conseil Art. 6(1)(b) contrat + Art. 6(1)© obligation légale (DDA) Durée de la relation + prescription
Souscription et gestion du contrat Art. 6(1)(b) exécution du contrat Durée du contrat + 2 ans (prescription biennale)
Données de santé (questionnaire, emprunteur, prévoyance) Art. 9(2)(a) consentement explicite Jusqu’à la décision, puis suppression / isolation
Gestion des sinistres Art. 6(1)(b) + Art. 6(1)© 2 ans (biennale) ; jusqu’à 10 ans pour dommages corporels
Lutte anti-blanchiment (LCB-FT) Art. 6(1)© obligation légale 5 ans après la fin de la relation
Prospection de clients existants Art. 6(1)(f) intérêt légitime 3 ans après le dernier contact
Prospection de nouveaux prospects (B2C, voie électronique) Art. 6(1)(a) consentement 3 ans après la collecte / dernier contact
Comptabilité et facturation Art. 6(1)© obligation légale 10 ans (Code de commerce)

La base légale d’un contrat d’assurance de personnes se construit à deux étages : une base de l’Art. 6 pour l’opération, et une exception de l’Art. 9 pour les données de santé. Ce tableau doit se retrouver, ligne par ligne, dans votre registre des activités de traitement. Les durées indiquées sont des ordres de grandeur : la prescription biennale de l’article L. 114-1 du Code des assurances constitue la borne de référence, à ajuster selon le type de risque.

Les données de santé : le cœur du risque

Dès qu’un courtier distribue de l’assurance emprunteur, de la prévoyance, de la complémentaire santé ou de la dépendance, il collecte des données sensibles au sens RGPD relevant de l’Art. 9 du RGPD. Le questionnaire de santé, les déclarations d’antécédents, les rapports médicaux transmis à l’assureur : tout cela est interdit de traitement par principe, sauf exception de l’Art. 9(2).

Pour le secteur assurantiel, l’exception mobilisée est en général l’Art. 9(2)(a) : le consentement explicite de la personne. Ce consentement, distinct de l’acceptation des conditions générales, doit être recueilli spécifiquement pour le traitement des données de santé. Trois exigences pratiques en découlent :

  • Isolation. Le questionnaire de santé ne doit jamais être accessible aux commerciaux ni figurer dans le dossier commercial. La CNIL exige une séparation stricte : seules les personnes habilitées à la tarification médicale y accèdent.
  • Minimisation. Le principe de minimisation interdit de collecter plus que ce que la tarification exige. On ne demande pas un bilan médical complet pour un contrat obsèques.
  • Suppression rapide. Une fois la décision de souscription prise, les données de santé du questionnaire n’ont plus vocation à rester chez le courtier. Elles doivent être supprimées ou isolées, la conservation relevant de l’assureur porteur du risque.

Deux points d’actualité méritent attention. D’abord, la loi Lemoine du 28 février 2022 a supprimé le questionnaire de santé pour certains prêts immobiliers (part assurée n’excédant pas 200 000 euros par assuré et échéance de remboursement avant le 60e anniversaire). Le courtier ne doit donc plus collecter de données de santé dans ces cas : le faire constituerait une collecte excessive. Ensuite, la CNIL a adopté des cadres de référence sectoriels pour l’assurance ; s’y conformer facilite la démonstration de conformité.

Fichiers prospects et prospection commerciale

La prospection est le second foyer de risque, et de loin le plus contrôlé. Le courtier qui achète des fichiers, exploite des comparateurs générateurs de leads ou lance des campagnes d’emailing doit maîtriser trois règles.

La base légale. Vers un client existant, l’intérêt légitime (Art. 6(1)(f)) peut fonder une prospection sur des produits analogues. Vers un prospect que le cabinet n’a jamais rencontré, en voie électronique et en B2C, le consentement préalable est requis (opt-in). L’achat de fichiers est une zone à haut risque : si le prospect n’a pas consenti à recevoir des sollicitations du courtier ou de ses partenaires, la campagne est illicite.

La traçabilité du consentement. Pour chaque prospect issu d’un formulaire ou d’un comparateur, il faut pouvoir prouver qui a consenti, quand et à quoi. Un fichier acheté sans preuve de consentement transférable est inexploitable en emailing. Nos repères pratiques sont détaillés dans notre guide prospection commerciale RGPD.

L’information et l’opposition. Toute personne prospectée doit être informée de l’origine de ses données et pouvoir s’opposer sans frais. Le respect de Bloctel, pour la prospection téléphonique, s’ajoute aux obligations RGPD.

C’est précisément sur la prospection non consentie et l’achat de fichiers que la CNIL concentre ses contrôles dans le secteur assurantiel.

DPO : obligatoire ou non pour un courtier ?

L’Art. 37(1) du RGPD rend le DPO obligatoire dans trois hypothèses : organisme public, suivi régulier et systématique à grande échelle, ou traitement à grande échelle de données sensibles. Le courtier n’étant pas un organisme public, tout se joue sur la notion de grande échelle.

Un courtier généraliste de petite taille, distribuant surtout de l’assurance de dommages (auto, habitation) et traitant peu de données de santé, n’est généralement pas soumis à l’obligation. En revanche, un cabinet spécialisé en assurance de personnes — emprunteur, prévoyance, santé collective — qui traite le questionnaire de santé de milliers de clients par an, entre dans le champ de l’Art. 37(1)© : le DPO devient obligatoire. Le volume de données de santé est le critère décisif.

Le DPO peut être interne ou externe. Pour un cabinet de courtage de taille moyenne, le DPO externalisé est souvent la solution la plus pragmatique : il apporte une expertise dédiée et évite le conflit d’intérêts d’un dirigeant qui serait juge et partie. Même lorsqu’il n’est pas obligatoire, désigner un référent RGPD identifié reste vivement recommandé.

Les sous-traitants du courtier

Un cabinet de courtage moderne s’appuie sur une dizaine de prestataires qui traitent des données pour son compte, au sens de l’Art. 28 du RGPD :

  • l’éditeur du logiciel de courtage et de l’extranet métier (souvent en mode SaaS) ;
  • l’hébergeur des données et des sauvegardes ;
  • le CRM et l’outil d’emailing ;
  • les plateformes de comparaison et générateurs de leads ;
  • la solution de signature électronique ;
  • le centre d’appels ou la plateforme de télévente externalisée ;
  • l’outil de gestion électronique des documents.

Chacun doit signer un contrat conforme à l’Art. 28(3) précisant l’objet, la durée, les catégories de données, les mesures de sécurité et l’encadrement de la sous-traitance ultérieure. Pour cadrer cette évaluation, un questionnaire sous-traitants RGPD est l’outil de terrain le plus efficace. Point de vigilance particulier au courtage : la localisation des données des générateurs de leads et des outils marketing, souvent hébergés hors UE, impose une analyse des transferts.

C’est ce type de documentation sectorielle qu’un logiciel RGPD permet d’industrialiser, en générant registre, fiches de traitement et suivi des sous-traitants à partir d’un questionnaire structuré.

Sécurité : les mesures attendues

L’Art. 32 du RGPD impose des mesures « appropriées au risque ». Compte tenu des données de santé et des données financières manipulées, le niveau d’exigence est élevé pour un courtier :

  • authentification forte (MFA) sur l’extranet métier et les messageries ;
  • cloisonnement des accès : les données de santé du questionnaire ne sont visibles que des personnes habilitées ;
  • chiffrement des postes, des supports amovibles et des sauvegardes ;
  • traçabilité des accès aux dossiers clients ;
  • politique de mots de passe et verrouillage automatique des sessions ;
  • procédure de gestion des départs (retrait immédiat des accès) ;
  • plan de réaction aux incidents, notamment ransomware.

Une charte informatique opposable aux salariés formalise ces règles. Toute violation de données présentant un risque doit être notifiée à la CNIL dans les 72 heures. La mise en place d’un nouvel outil de scoring, de profilage tarifaire ou d’intelligence artificielle sur des données de santé relève généralement de l’analyse d’impact obligatoire (AIPD).

Contrôles CNIL et priorités du secteur

Le secteur de l’assurance figure de longue date parmi les priorités de contrôle de la CNIL. Sans entrer dans le détail des délibérations, les manquements récurrents relevés dans l’assurance et le courtage sont connus :

  1. Prospection non consentie et exploitation de fichiers achetés sans preuve de consentement.
  2. Durées de conservation excessives, notamment le maintien du questionnaire de santé bien au-delà de la décision de souscription.
  3. Défaut de cloisonnement des données de santé, accessibles à des personnes non habilitées.
  4. Sous-traitance non contractualisée avec les éditeurs et les plateformes de leads.
  5. Information insuffisante des prospects et des assurés (Art. 13-14).

Un audit RGPD ciblé sur ces cinq points couvre l’essentiel du risque de contrôle. Le courtier a intérêt à documenter en amont sa conformité, car en cas d’incident, c’est sa capacité à démontrer sa diligence qui sera examinée.

Checklist de conformité pour un cabinet de courtage

  • [ ] Tenir un registre des traitements couvrant conseil, souscription, sinistres, prospection, LCB-FT et RH.
  • [ ] Recueillir un consentement explicite et distinct pour les données de santé (Art. 9(2)(a)).
  • [ ] Isoler et cloisonner le questionnaire de santé ; le supprimer après la décision de souscription.
  • [ ] Vérifier l’absence de collecte de santé sur les prêts éligibles à la loi Lemoine.
  • [ ] Documenter la base légale de chaque campagne de prospection et tracer les consentements.
  • [ ] Purger les fichiers prospects sans preuve de consentement transférable.
  • [ ] Signer un DPA Art. 28 avec chaque sous-traitant et analyser les transferts hors UE.
  • [ ] Évaluer l’obligation de désigner un DPO selon le volume de données de santé.
  • [ ] Formaliser durées de conservation et purges effectives (biennale, LCB-FT 5 ans, comptabilité 10 ans).
  • [ ] Mettre en place MFA, chiffrement, traçabilité et procédure de notification des violations.
Recevez nos analyses conformité chaque semaine.

Veille juridique et guides pratiques pour les professionnels de l'assurance et les structures qui traitent des données sensibles.

S'inscrire à la newsletter

FAQ

Un courtier est-il sous-traitant de la compagnie d’assurance ?

Non, en principe. Courtier et assureur poursuivent chacun leurs propres finalités et sont chacun responsables de traitement. Une relation de sous-traitance n’existe que si la compagnie confie au courtier un mandat de gestion spécifique — auquel cas un contrat Art. 28 encadre la seule partie déléguée.

Combien de temps conserver le questionnaire de santé d’un client ?

Le moins longtemps possible. Une fois la décision de souscription prise, le questionnaire de santé n’a plus vocation à rester chez le courtier : il doit être supprimé ou isolé, la conservation liée au risque relevant de l’assureur. Le maintien prolongé de ces données est l’un des manquements les plus fréquemment relevés.

Peut-on acheter un fichier de prospects pour prospecter par email ?

En B2C et par voie électronique, la prospection suppose le consentement préalable de la personne. Un fichier acheté n’est exploitable que si le vendeur peut prouver un consentement transférable au profit du courtier. À défaut, la campagne est illicite et le fichier inexploitable en emailing.

Un courtier doit-il obligatoirement désigner un DPO ?

Pas systématiquement. L’obligation dépend du volume de données de santé traité. Un courtier généraliste en assurance de dommages n’y est en général pas soumis ; un cabinet spécialisé en assurance de personnes traitant le questionnaire de santé à grande échelle relève de l’Art. 37(1)© et doit désigner un DPO.

L’ACPR contrôle-t-elle le respect du RGPD ?

Non. L’ACPR supervise le respect du Code des assurances, du devoir de conseil issu de la DDA et des obligations LCB-FT. Le respect du RGPD relève de la CNIL. Les deux régimes coexistent : un courtier peut être conforme à la DDA tout en étant en manquement RGPD, et inversement.

Quelle différence de traitement avec un cabinet qui manipule d’autres données sensibles ?

La logique est proche de celle d’un cabinet médical ou d’un cabinet d’avocats : dès que l’Art. 9 entre en jeu, le régime se durcit (consentement explicite, cloisonnement, minimisation, AIPD). La spécificité du courtier tient à la superposition du RGPD, du Code des assurances et de la LCB-FT sur un même dossier client.