Intermédiaire en assurance, RGPD et protection des données personnelles : quelles obligations dans le cadre du devoir de conseil DDA ?
L’intermédiaire en assurance — courtier, agent général, mandataire d’intermédiaire (MIA) ou intermédiaire à titre accessoire — est soumis à une double contrainte réglementaire qui peut sembler paradoxale : d’un côté, la Directive sur la Distribution d’Assurances (DDA) 2016/97/UE et le Code des assurances lui imposent de collecter un volume significatif de données personnelles pour satisfaire son devoir de conseil ; de l’autre, le Règlement Général sur la Protection des Données (RGPD) encadre strictement la collecte, le traitement, la conservation et la sécurité de ces mêmes données. Comprendre comment le RGPD s’articule concrètement avec les obligations de recueil d’informations et de conservation des documents de conseil imposées par la DDA est aujourd’hui indispensable pour tout professionnel de la distribution d’assurance en France. Cet article, rédigé par les experts d’academieconformite.fr, détaille l’ensemble des obligations applicables, les risques en cas de manquement et les bonnes pratiques à mettre en œuvre.
1. Le devoir de conseil DDA : une collecte massive de données personnelles imposée par la loi
1.1. Le recueil des exigences et besoins : fondement légal du traitement de données
L’article L. 522-5 du Code des assurances, transposant l’article 20 de la Directive DDA, impose à tout intermédiaire de recueillir les exigences et besoins du client avant toute recommandation. Ce recueil porte sur la situation personnelle, familiale, patrimoniale, professionnelle et financière du souscripteur potentiel. En assurance-vie et pour les produits d’investissement fondés sur l’assurance (IBIP), l’intermédiaire doit en outre évaluer les connaissances, l’expérience, la tolérance au risque et la capacité à subir des pertes du client. Ce processus génère un traitement de données personnelles sensibles au sens du RGPD : données de santé (en assurance emprunteur ou prévoyance), données financières, situation familiale détaillée. L’intermédiaire se retrouve donc responsable de traitement ou, selon les configurations, sous-traitant au sens de l’article 4 du RGPD. Pour approfondir la méthodologie de ce recueil, consultez notre article dédié au recueil des exigences et besoins du client selon la DDA.
1.2. La conservation du document de conseil et la traçabilité réglementaire
La DDA impose la remise d’une recommandation personnalisée matérialisée par un document de conseil écrit. Ce document doit être conservé par l’intermédiaire pendant toute la durée de la relation contractuelle, et au minimum cinq ans après la fin de celle-ci conformément aux prescriptions civiles et aux exigences de l’ACPR en matière de contrôle. Cette obligation de conservation entre en tension directe avec le principe de limitation de la conservation posé par l’article 5-1-e du RGPD. L’intermédiaire doit donc définir des durées de conservation précises et justifiées, les documenter dans son registre des traitements, et procéder à la purge ou à l’anonymisation des données à l’expiration de ces délais. Le défaut de conservation expose à des sanctions ACPR ; l’excès de conservation expose à des sanctions CNIL.
2. L’intermédiaire en assurance comme responsable de traitement RGPD : obligations concrètes
2.1. Qualification juridique et base légale du traitement
L’intermédiaire en assurance qui collecte des données clients pour exercer son devoir de conseil agit en tant que responsable de traitement au sens de l’article 4-7 du RGPD lorsqu’il détermine les finalités et les moyens du traitement. C’est le cas du courtier en assurance qui utilise son propre CRM et son propre processus de recueil. Lorsque l’intermédiaire agit pour le compte d’un assureur dans le cadre d’un mandat, la qualification peut évoluer vers celle de sous-traitant, ce qui implique la conclusion d’un contrat de sous-traitance conforme à l’article 28 du RGPD. La base légale du traitement des données dans le cadre du devoir de conseil repose principalement sur l’obligation légale (article 6-1-c du RGPD) issue des articles L. 521-4 et L. 522-5 du Code des assurances, et sur l’exécution de mesures précontractuelles (article 6-1-b). Le traitement de données de santé en assurance prévoyance ou emprunteur nécessite en outre une dérogation spécifique au titre de l’article 9-2-g du RGPD (motif d’intérêt public important).
2.2. Obligations opérationnelles quotidiennes
Concrètement, l’intermédiaire en assurance doit intégrer les obligations RGPD suivantes dans sa pratique quotidienne du devoir de conseil DDA :
- Information du client : remettre une notice d’information conforme aux articles 13 et 14 du RGPD, précisant l’identité du responsable de traitement, les finalités (conseil, gestion, obligations légales), les bases légales, les destinataires, les durées de conservation et les droits de la personne concernée.
- Registre des activités de traitement : tenir à jour un registre (article 30 du RGPD) décrivant les traitements liés au recueil des besoins, à l’émission du document de conseil, à la gestion des sinistres et à la formation continue DDA.
- Minimisation des données : ne collecter que les données strictement nécessaires au conseil. Par exemple, en assurance automobile, il n’est pas pertinent de recueillir des données de santé.
- Sécurité des données : mettre en place des mesures techniques et organisationnelles appropriées — chiffrement des fichiers clients, accès restreint par mot de passe, sauvegarde sécurisée des documents de conseil.
- Gestion des droits des personnes : organiser un processus de réponse aux demandes d’accès, de rectification, d’effacement et de portabilité dans le délai d’un mois.
- Analyse d’impact (AIPD) : réaliser une analyse d’impact lorsque le traitement porte sur des données sensibles à grande échelle (cabinets de courtage traitant des centaines de dossiers santé/prévoyance).
3. Articulation concrète entre DDA et RGPD selon le statut IAS de l’intermédiaire
Le niveau de responsabilité RGPD et l’étendue des données collectées varient selon la catégorie d’immatriculation ORIAS de l’intermédiaire. Le tableau ci-dessous synthétise les principaux points de différenciation :
| Critère | IAS 1 — Courtier | IAS 2 — Mandataire (MIA, MA) | IAS 3 — Accessoire |
|---|---|---|---|
| Qualification RGPD principale | Responsable de traitement (en propre) | Sous-traitant ou responsable conjoint selon le mandat | Sous-traitant dans la majorité des cas |
| Volume de données collectées (devoir de conseil) | Élevé — analyse globale du besoin client | Variable — selon l’étendue du mandat | Limité — produits accessoires à l’activité principale |
| Obligation de registre des traitements | Oui (systématique) | Oui (si plus de 250 salariés ou traitement non occasionnel) | Oui (si traitement de données sensibles) |
| Contrat de sous-traitance RGPD (art. 28) | Nécessaire avec les prestataires IT, comparateurs | Nécessaire avec le mandant (assureur ou courtier) | Nécessaire avec l’assureur partenaire |
| Durée de conservation des documents de conseil | 5 ans minimum après fin de la relation | 5 ans minimum — archivage mutualisé possible avec le mandant | 5 ans minimum |
| Obligation DDA de formation continue (LC 15h/an) | Oui — incluant volet conformité/RGPD | Oui | Oui (7h ou 15h selon les cas) |
Pour les mandataires d’intermédiaire en assurance (MIA), la question de la qualification RGPD est particulièrement complexe. Le mandant qui détermine les finalités du traitement des données clients reste en principe responsable de traitement, tandis que le MIA qui exécute le recueil selon les instructions du mandant agit comme sous-traitant. Toutefois, lorsque le MIA utilise ses propres outils numériques et définit ses propres processus de prospection, il peut devenir responsable conjoint au sens de l’article 26 du RGPD. Il est essentiel de clarifier cette qualification dans le mandat de distribution. Sur la responsabilité du mandant envers les actes du MIA, notre article sur la responsabilité du mandant au titre de la DDA détaille le régime juridique applicable.
4. Risques et sanctions : le cumul ACPR-CNIL
4.1. Sanctions ACPR pour manquement au devoir de conseil
L’ACPR, autorité de contrôle prudentiel et de résolution, peut sanctionner un intermédiaire qui ne collecterait pas suffisamment de données pour fonder son conseil, ou qui ne conserverait pas les documents de conseil requis. Les sanctions vont de l’avertissement au blâme, en passant par des amendes pouvant atteindre 100 millions d’euros pour les manquements les plus graves. L’ACPR vérifie notamment, lors de ses contrôles sur place, la qualité et la complétude du recueil des besoins, la cohérence de la recommandation et la traçabilité du processus de conseil. Un intermédiaire qui aurait purgé prématurément des données clients au nom du RGPD, sans respecter les durées de conservation légales, s’exposerait donc paradoxalement à une sanction ACPR.
4.2. Sanctions CNIL pour manquement au RGPD
La CNIL peut infliger des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial en cas de violation du RGPD. Pour un cabinet de courtage, les risques les plus fréquents sont : le défaut d’information des personnes concernées, l’absence de registre des traitements, la conservation excessive de données au-delà des durées justifiées, le défaut de mesures de sécurité (fichiers Excel non chiffrés contenant des données de santé) et l’absence de réponse aux demandes d’exercice de droits. La CNIL a déjà sanctionné des acteurs du secteur financier et assurantiel pour ces manquements.
4.3. Le piège du double manquement
Le risque majeur pour l’intermédiaire est de se trouver pris en étau entre les deux régulateurs. Un exemple concret : un courtier collecte des données de santé détaillées pour un contrat de prévoyance (obligation DDA), mais les stocke sur un serveur non sécurisé et sans limitation de durée (manquement RGPD). Inversement, un agent général qui refuserait de conserver les questionnaires de santé pour respecter le principe de minimisation RGPD se retrouverait en défaut vis-à-vis de l’ACPR. La clé réside dans la proportionnalité : collecter ce qui est strictement nécessaire au conseil, sécuriser les données pendant toute la durée légale de conservation, puis procéder à leur archivage intermédiaire ou à leur suppression dans le respect des deux cadres réglementaires.
5. Bonnes pratiques : conformité RGPD intégrée au processus de conseil DDA
Pour concilier efficacement le devoir de conseil DDA et les obligations RGPD, voici les bonnes pratiques recommandées par les experts d’academieconformite.fr :
- Cartographier les traitements de données liés à chaque étape du parcours client : prospection, recueil des besoins, émission du document de conseil, souscription, gestion en cours de vie du contrat, gestion des sinistres, réclamations.
- Documenter les bases légales pour chaque traitement dans le registre : obligation légale (Code des assurances) pour le recueil des besoins, exécution contractuelle pour la gestion du contrat, intérêt légitime pour la prospection commerciale (avec droit d’opposition).
- Définir une politique de durées de conservation claire et écrite, distinguant la conservation active, l’archivage intermédiaire et la destruction. Exemple : documents de conseil conservés 5 ans après la fin du contrat en archivage intermédiaire, puis détruits sauf contentieux en cours.
- Intégrer la notice RGPD dans le document d’entrée en relation (DER) remis au client conformément à l’article L. 521-2 du Code des assurances, afin de satisfaire simultanément l’obligation d’information DDA et l’obligation d’information RGPD.
- Former les collaborateurs aux enjeux conjoints DDA-RGPD dans le cadre de la formation continue obligatoire de 15 heures par an. Les modules de formation DDA proposés par l’Académie de la Conformité pour les collaborateurs salariés de cabinet de courtage intègrent désormais systématiquement un volet protection des données.
- Nommer un DPO (Délégué à la Protection des Données) si le volume de données sensibles traitées le justifie, ou désigner un référent RGPD interne dans les structures de taille plus modeste.
- Auditer régulièrement les sous-traitants : prestataires de comparaison, éditeurs de CRM, hébergeurs cloud. S’assurer que les contrats de sous-traitance incluent bien les clauses de l’article 28 du RGPD.
6. Cadre légal de référence : textes applicables
Pour une conformité sans faille, l’intermédiaire en assurance doit maîtriser l’articulation des textes suivants :
- Directive (UE) 2016/97 du 20 janvier 2016 sur la distribution d’assurances (texte intégral sur EUR-Lex), transposée en droit français.
- Code des assurances, notamment les articles L. 511-1 à L. 522-5 relatifs à l’intermédiation et au devoir de conseil.
- Règlement (UE) 2016/679 (RGPD), applicable depuis le 25 mai 2018.
- Loi Informatique et Libertés modifiée (loi n° 78-17 du 6 janvier 1978) et son décret d’application.
- Recommandation ACPR 2019-R-01 relative à la gouvernance et la surveillance des produits d’assurance.
- Doctrine CNIL : référentiel relatif aux traitements de données dans le secteur de la gestion commerciale et de l’assurance.
L’ACPR rappelle régulièrement dans ses rapports de contrôle que la conformité au RGPD fait partie intégrante du dispositif de contrôle interne que tout intermédiaire doit mettre en place au titre de la réglementation applicable aux intermédiaires en assurance.
Questions fréquentes
Un client peut-il exiger la suppression de ses données de conseil en invoquant le droit à l’effacement RGPD ?
Non, le droit à l’effacement prévu par l’article 17 du RGPD n’est pas absolu. Lorsque le traitement des données est fondé sur une obligation légale — ce qui est le cas de la conservation des documents de conseil imposée par le Code des assurances — l’intermédiaire peut et doit refuser la demande d’effacement pendant toute la durée de conservation légale. Il doit en revanche informer le client de cette limitation et de son fondement juridique. Au-delà de la durée légale de conservation, le droit à l’effacement redevient pleinement applicable.
Le recueil des besoins DDA nécessite-t-il le consentement du client au titre du RGPD ?
Dans la majorité des cas, le recueil des besoins au titre du devoir de conseil DDA ne repose pas sur le consentement comme base légale RGPD, mais sur l’obligation légale (article 6-1-c du RGPD) et sur l’exécution de mesures précontractuelles (article 6-1-b). Le consentement n’est requis comme base légale que pour des traitements annexes tels que la prospection commerciale par voie électronique ou l’utilisation de cookies de suivi. Il est cependant impératif d’informer clairement le client des finalités de la collecte.
Combien de temps un courtier en assurance doit-il conserver les données personnelles collectées lors du devoir de conseil ?
La durée de conservation recommandée est de cinq ans après la fin de la relation contractuelle, conformément au délai de prescription civile de droit commun et aux attentes de l’ACPR en matière de traçabilité du conseil. Pour les produits d’assurance-vie, cette durée peut être étendue jusqu’à dix ans compte tenu des délais de prescription allongés. Pendant la phase d’archivage intermédiaire, les données doivent être séparées de la base active et accessibles uniquement en cas de contrôle, contentieux ou réclamation. Passé ce délai, les données doivent être supprimées ou anonymisées de manière irréversible.
La formation continue DDA de 15 heures doit-elle intégrer un module RGPD ?
Bien que la réglementation ne prescrive pas explicitement un module RGPD dans le programme de formation continue DDA de 15 heures par an, l’ACPR attend des intermédiaires qu’ils maîtrisent l’ensemble des obligations de conformité applicables à leur activité, y compris la protection des données personnelles. En pratique, les organismes de formation sérieux comme l’Académie de la Conformité intègrent systématiquement un volet RGPD dans leurs programmes DDA, car la collecte et le traitement des données personnelles sont au cœur même du devoir de conseil.
Vous souhaitez maîtriser l’ensemble de vos obligations réglementaires, du devoir de conseil DDA à la protection des données personnelles ? Découvrez les formations DDA et IAS proposées par academieconformite.fr : programmes complets, conformes aux exigences ACPR, intégrant les dernières évolutions réglementaires en matière de RGPD. Obtenez votre attestation de formation continue et sécurisez votre pratique professionnelle dès maintenant.
