Le RGPD n’est pas un “sujet juridique” réservé aux DPO. Pour un courtier en assurance, c’est un sujet métier : collecte d’informations clients, recueil du besoin, échanges par email, envoi de pièces, conservation de preuves, prospection, sous-traitants (CRM, signature électronique), et parfois gestion d’incidents.
Le point clé à retenir est simple : un courtier est jugé sur sa capacité à démontrer qu’il respecte les règles — pas seulement sur ce qu’il “pense faire”.
Dans la pratique, les difficultés RGPD qui coûtent le plus cher ne viennent pas d’une mauvaise intention. Elles viennent de routines quotidiennes non cadrées : pièces justificatives stockées partout, échanges clients sans traçabilité, bases prospects mal gérées, documents envoyés sans contrôle, accès partagés, et durées de conservation floues.
Ce guide est conçu pour être utile : des règles claires, des exemples concrets, et une méthode facile à appliquer en cabinet.
1) Pourquoi le RGPD concerne directement l’activité de courtage
Un cabinet de courtage traite des données personnelles en continu : identité, coordonnées, situation familiale, revenus, patrimoine, données de santé (selon les contrats), données bancaires, historiques d’assurance, sinistralité. Ces informations sont souvent sensibles, et surtout elles sont indispensables au conseil.
Le RGPD impose donc trois exigences qui se recoupent parfaitement avec les bonnes pratiques d’un professionnel :
-
Minimiser : ne collecter que ce qui est utile au conseil et à l’exécution.
-
Sécuriser : protéger les données contre l’accès non autorisé, la perte, la diffusion.
-
Prouver : être capable de démontrer le respect des règles (registre, procédures, preuves).
C’est la même logique que l’on retrouve côté DDA : informer, conseiller, tracer.
Pour renforcer cette cohérence “preuves et conformité”, vous pouvez relier à :
DDA – obligations d’information : https://www.news.formera.fr/assurance/dda-obligations-information/
et devoir de conseil renforcé : https://www.news.formera.fr/assurance/devoir-conseil-renforce-directive-dda/
2) Qui est responsable de quoi : responsable de traitement, sous-traitant, partenaires
En courtage, le cabinet est souvent responsable de traitement pour ses propres finalités : gestion de la relation client, conseil, constitution du dossier, prospection, gestion administrative, conformité interne.
Il peut aussi travailler avec des acteurs qui sont :
-
Sous-traitants : CRM, outil d’emailing, stockage cloud, signature électronique, standard téléphonique, logiciel métier.
-
Responsables conjoints ou responsables distincts (selon les cas) : compagnies, plateformes, délégataires, partenaires.
En audit, l’erreur la plus fréquente est de ne pas formaliser ce périmètre. Or le RGPD demande des contrats et garanties avec les sous-traitants, et une logique claire sur les responsabilités.
Conseil de formateur : ne cherchez pas la perfection théorique. Cherchez la clarté opérationnelle :
-
qui collecte ?
-
où cela est stocké ?
-
qui y accède ?
-
qui reçoit les données ?
-
combien de temps c’est gardé ?
-
comment on répond à une demande client ?
3) Base légale : ce qu’un courtier doit comprendre (sans jargon)
Il n’y a pas une seule base légale. Le cabinet utilise généralement plusieurs bases selon les actions :
-
Exécution du contrat / mesures précontractuelles : quand vous instruisez un dossier, faites un devis, préparez une recommandation, montez un contrat.
-
Obligation légale : obligations réglementaires (conservation de certaines preuves, exigences conformité).
-
Intérêt légitime : sécurité du SI, prévention fraude, organisation interne… et parfois certaines communications professionnelles.
-
Consentement : surtout pour la prospection “email/SMS” selon les cas, ou pour certaines finalités marketing.
Le piège classique : mettre “consentement” partout. En courtage, beaucoup d’actes relèvent du précontractuel/contractuel et de l’obligation. En revanche, la prospection doit être particulièrement cadrée : source des contacts, preuve d’opt-in quand requis, désinscription, gestion des listes.
4) La règle d’or : minimisation et “collecte utile” (ce que l’ACPR et la CNIL apprécient)
Le RGPD impose une idée simple : ne demandez pas “par habitude” ce qui n’est pas utile.
Exemples fréquents à corriger :
-
demander des pièces trop tôt (avant d’avoir validé la pertinence du besoin),
-
conserver indéfiniment des documents d’identité alors que le dossier n’a pas abouti,
-
récupérer des données sensibles hors nécessité,
-
stocker des pièces sur des boîtes mail personnelles ou dans des dossiers non maîtrisés.
Bonne pratique simple :
-
collecte progressive : “minimum utile” au départ, puis pièces à l’étape suivante,
-
checklist par type de produit (emprunteur, prévoyance, RC pro…) pour éviter la surcollecte,
-
suppression automatisée / nettoyage régulier des prospects inactifs.
5) Conservation : durées, archivage, preuves (le point qui fait tomber beaucoup de cabinets)
La conservation est un sujet sensible, car le courtier a un besoin réel de preuves : conseil, échanges, documents contractuels, conformité. Le RGPD n’interdit pas la conservation : il exige qu’elle soit justifiée, encadrée, et organisée.
Une méthode efficace (sans chiffres rigides si votre politique interne diffère) :
A) Dossier client actif
Conserver ce qui est nécessaire au suivi, à l’exécution, et au conseil.
B) Archivage
Conserver les preuves et éléments utiles à la défense du dossier (conseil, consentements, documents contractuels), mais dans un espace archivé (accès limité).
C) Prospects
Supprimer ou anonymiser après une période raisonnable d’inactivité, sauf si une preuve est requise (ex : demande explicite du prospect).
Conseil de terrain : le problème n’est pas “la durée exacte”. Le problème est l’absence de règle et d’automatisation. Un cabinet qui a une politique claire, appliquée et documentée, est beaucoup plus solide.
6) Sécurité : les 10 mesures “cabinet” les plus rentables
Sans entrer dans une approche technique lourde, voici les mesures à fort ROI en cabinet :
-
Comptes nominatifs (pas de partage de login)
-
Double facteur (messagerie, CRM, cloud)
-
Gestion des droits : accès selon rôle (commercial / gestion / direction)
-
Chiffrement : au minimum sur postes et sauvegardes
-
Sauvegardes testées (restauration prouvée)
-
Messagerie : règles anti-phishing, pièces jointes sensibles protégées
-
Mots de passe : gestionnaire + politique interne
-
Postes : verrouillage, mises à jour, antivirus/EDR
-
Télétravail : VPN ou règles d’accès sécurisées
-
Sous-traitants : vérifier les garanties (hébergement, localisation, clauses)
Et si l’on veut faire le lien avec les exigences de résilience numérique, l’approche “preuves + continuité” est la même que DORA :
Le coût caché de la non-conformité DORA : https://www.news.formera.fr/finance/cout-cache-non-conformite-dora/
7) Droits des personnes : la procédure simple à mettre en place
Les clients (et prospects) ont des droits : accès, rectification, effacement (dans certaines limites), opposition, limitation, portabilité. Un cabinet doit pouvoir répondre efficacement.
Procédure minimale recommandée :
-
une adresse ou formulaire dédié,
-
un responsable interne identifié,
-
un délai de traitement piloté,
-
une vérification d’identité proportionnée (sans surcollecte),
-
une traçabilité : demande reçue, réponse envoyée, action effectuée.
Attention : l’effacement n’est pas automatique si vous avez une obligation de conservation ou un besoin de preuve. Il faut expliquer clairement ce qui est conservé et pourquoi.
8) Sous-traitants : le point souvent oublié (CRM, emailing, cloud, signature)
La plupart des risques RGPD en cabinet viennent des outils :
-
CRM hébergé, emailing, stockage, signature électronique, outil de ticketing, standard, visioconférence.
Checklist rapide “RGPD-friendly” :
-
contrat de sous-traitance avec clauses RGPD,
-
lieu d’hébergement et transferts éventuels,
-
mesures de sécurité,
-
sous-traitants de rang 2 (sous-traitance),
-
plan de sortie (réversibilité),
-
procédure en cas de violation de données.
9) Prospection : rester efficace sans se mettre en risque
La prospection est utile, mais elle doit être cadrée :
-
origine des listes,
-
preuve de consentement quand nécessaire,
-
mécanisme de désinscription simple et immédiat,
-
segmentation (éviter le “mass mailing” non qualifié),
-
durée de conservation des prospects.
Sur la cohérence conformité/transparence, un article utile (si vous faites le lien “confiance et gouvernance”) :
Déclaration commissions / rémunération / conflits d’intérêts : https://www.news.formera.fr/finance/declaration-commissions-remuneration-conflits-interets/
10) La méthode “formateur” en 30 jours : rendre le cabinet robuste
Si vous voulez un plan simple, réaliste :
Semaine 1 : cadrage
-
liste des traitements (registre simplifié)
-
cartographie des outils
-
qui a accès à quoi
Semaine 2 : règles et preuves
-
politique de conservation (règles simples)
-
procédures droits des personnes
-
clause d’information RGPD standardisée
Semaine 3 : sécurisation
-
2FA + comptes nominatifs + droits
-
sauvegardes testées
-
sensibilisation phishing
Semaine 4 : sous-traitants et prospection
-
contrats et garanties (CRM, cloud, emailing)
-
nettoyage prospects / désinscriptions
-
mini-audit interne (checklist)
Ressource utile (cohérence conformité et traçabilité)
Pour renforcer les réflexes conformité et la traçabilité (logique très proche RGPD/DDA), cette formation est cohérente :
https://www.formera.fr/formations/formation-dda-assurance/
À lire aussi (sélection courte)
-
https://www.news.formera.fr/finance/cout-cache-non-conformite-dora/
-
https://www.news.formera.fr/assurance/dda-obligations-information/
-
https://www.news.formera.fr/assurance/devoir-conseil-renforce-directive-dda/
Conclusion
Le RGPD, pour un courtier, n’est pas une contrainte “en plus”. C’est une méthode de professionnalisation : collecter mieux, conserver correctement, sécuriser les accès, maîtriser les sous-traitants, et surtout pouvoir démontrer ce qui est fait. Un cabinet qui met en place une politique simple, appliquée et traçable se protège non seulement contre le risque RGPD, mais aussi contre les litiges, les contrôles et les situations de crise.
