Une compagnie d’assurance ou un courtier conforme au RGPD traite les données de santé (questionnaires médicaux) comme des données sensibles de l’article 9, cale ses durées de conservation sur la durée du contrat augmentée de la prescription biennale (article L114-1 du code des assurances, soit une conservation usuelle d’environ 5 ans après la fin du contrat), qualifie clairement chaque courtier comme responsable de traitement ou sous-traitant selon son autonomie, et encadre par un DPA tous les gestionnaires et plateformes de santé. À cela s’ajoutent la purge en cas de résiliation (loi Hamon, résiliation infra-annuelle), la lutte anti-fraude à l’assurance (dispositif type ALFA), et le respect du « pack de conformité assurance » de la CNIL.
Le cœur du risque en assurance, c’est le cumul de données de santé et de durées longues appliquées à des millions de clients. C’est précisément ce cumul qui a valu à AG2R La Mondiale une sanction de 1,75 million d’euros. Voici la feuille de route pour ne pas répéter l’erreur.
Obligations RGPD spécifiques à l’assurance
Données de santé : questionnaires et article 9
Le questionnaire de santé, l’expertise médicale, les justificatifs de sinistre corporel révèlent l’état de santé : ce sont des données sensibles de l’article 9, interdites par principe et admises par exception (nécessité liée au contrat, consentement, constatation de droits en justice). Accès strictement réservé au personnel habilité (service médical, gestion des sinistres), cloisonnement vis-à-vis des services commerciaux, et purge à la fin de l’instruction du dossier.
À noter : la loi Lemoine de 2022 a supprimé le questionnaire de santé pour certains prêts immobiliers (sous conditions de montant et d’échéance). Concrètement, l’assureur ne doit plus collecter ces données de santé dans ces cas : toute collecte devenue sans base est un manquement à la minimisation.
Le « pack de conformité assurance » de la CNIL
La CNIL a publié une recommandation sectorielle — communément appelée le pack de conformité assurance — qui encadre en termes généraux les traitements du secteur (souscription, gestion, sinistres, lutte anti-fraude). Elle ne dispense pas de l’analyse au cas par cas, mais fournit un cadre de référence utile pour justifier ses choix de finalités, de durées et de destinataires.
Courtier : responsable de traitement ou sous-traitant ?
La qualification dépend de l’autonomie du courtier et de son mandat. Un courtier qui détermine ses propres finalités (constitution de sa clientèle, prospection pour son compte, conseil personnalisé) agit en responsable de traitement. Un courtier qui se borne à exécuter la gestion pour le compte de la compagnie, selon ses instructions, agit en sous-traitant (article 28) et doit être lié par un DPA. Beaucoup de courtiers cumulent les deux casquettes selon les traitements : il faut le trancher traitement par traitement. Nos repères sur les obligations du sous-traitant aident à qualifier.
Résiliation et purge : loi Hamon et résiliation infra-annuelle
La loi Hamon et la résiliation infra-annuelle ont fluidifié la fin des contrats. Chaque résiliation doit déclencher la bascule du dossier en archivage puis, au terme des délais, sa purge effective. Un fichier de clients résiliés conservé au-delà du nécessaire est exactement le manquement sanctionné chez AG2R.
Lutte contre la fraude à l’assurance (dispositif type ALFA)
Les dispositifs de lutte anti-fraude (type ALFA) reposent sur l’intérêt légitime, avec des garanties renforcées : critères d’inscription objectifs, information des personnes, durée limitée, droits d’accès et de rectification effectifs. Le profilage anti-fraude doit rester proportionné et documenté. Une inscription sur une liste de vigilance a des conséquences lourdes pour l’assuré (refus de garantie, majoration) : elle exige donc une base factuelle sérieuse, une possibilité de contestation, et une purge dès que le motif disparaît. Un dispositif anti-fraude qui inscrit sur simple soupçon, sans preuve ni information, expose l’assureur à un manquement caractérisé — les mêmes exigences pèsent sur le scoring pratiqué dans la banque.
Information et droits des personnes
Souscripteur, assuré, bénéficiaire, tiers lésé : l’assurance manipule plusieurs catégories de personnes concernées, dont certaines n’ont jamais contracté directement. Chacune doit recevoir une information conforme aux articles 13 et 14 (finalités, base légale, durées, destinataires, droits) et pouvoir exercer ses droits d’accès, de rectification et d’opposition. Le point sensible : les tiers dont les données sont collectées indirectement (dans un dossier sinistre, par exemple) doivent aussi être informés, ce qui est souvent négligé.
Sous-traitants : gestionnaires et plateformes de santé
Gestionnaires délégués, plateformes de tiers payant, réseaux de soins, éditeurs : tous traitent des données pour le compte de l’assureur et doivent signer un DPA (article 28). L’ensemble doit figurer dans le registre des traitements, colonne sous-traitants.
Durées de conservation
| Donnée / traitement | Durée en base active | Archivage / justification |
|---|---|---|
| Contrat d’assurance | Durée du contrat | + prescription biennale (2 ans, art. L114-1 code des assurances) ; conservation usuelle ~5 ans après la fin |
| Données de santé | Le temps de l’instruction | Purge à la fin de l’instruction du dossier |
| Prospects | 3 ans après le dernier contact | Puis suppression ou anonymisation |
| Pièces comptables | Durée d’usage | Archivage 10 ans (obligations comptables) |
La règle d’or : distinguer la base active (gestion courante) de l’archivage intermédiaire à accès restreint, et documenter le fait générateur de chaque purge. Voir notre méthode sur les durées de conservation.
Bases légales par traitement
| Traitement | Base légale (art. 6 / art. 9) | Commentaire |
|---|---|---|
| Souscription, gestion, sinistres | Art. 6-1-b (exécution du contrat) | Nécessaire au contrat d’assurance |
| Données de santé | Art. 9-2 | Nécessité liée au contrat / consentement / constatation de droits |
| Obligations réglementaires | Art. 6-1-c | LCB-FT, obligations comptables et prudentielles |
| Lutte anti-fraude | Art. 6-1-f (intérêt légitime) | Dispositif type ALFA, mise en balance |
| Prospection | Art. 6-1-a (consentement) | Consentement pour la prospection électronique |
Le choix de la base juridique conditionne les droits applicables et les durées : à documenter par traitement, pas globalement.
Sanctions CNIL réelles du secteur assurance
SGAM AG2R LA MONDIALE — 1 750 000 € — 20 juillet 2021. C’est la décision de référence du secteur, et elle vise deux manquements que toute compagnie doit surveiller.
D’abord, des durées de conservation excessives : les données de plus de 2 millions de clients « santé » étaient conservées au-delà de 5 ans après la fin du contrat, sans justification, et certains prospects au-delà de 3 ans. La CNIL a considéré que le volume et la sensibilité aggravaient le manquement — c’est le risque assurance par excellence.
Ensuite, une information insuffisante en prospection téléphonique réalisée par des sous-traitants : les personnes démarchées n’étaient pas correctement informées de l’usage de leurs données et de leurs droits. La responsabilité de l’assureur, donneur d’ordre, restait engagée pour l’action de ses sous-traitants. Détail de la sanction AG2R La Mondiale.
Deux enseignements opérationnels : purger réellement les dossiers santé au terme des durées (une durée écrite mais non appliquée ne protège pas), et contrôler l’information délivrée par les centres d’appels sous-traitants. Le sujet des durées est au cœur de la doctrine CNIL, détaillée sur sa page durées de conservation.
Erreurs courantes
- Conserver les données de santé au-delà de l’instruction du dossier, sans purge — le manquement exact d’AG2R.
- Collecter un questionnaire de santé là où la loi Lemoine l’a supprimé (certains prêts immobiliers) : collecte sans base.
- Ne pas qualifier chaque courtier (responsable ou sous-traitant) traitement par traitement, et omettre le DPA quand il est sous-traitant.
- Laisser les services commerciaux accéder aux données de santé faute de cloisonnement des habilitations.
- Ne pas contrôler l’information délivrée par les centres d’appels sous-traitants en prospection.
- Inscrire des personnes dans un dispositif anti-fraude sans critères objectifs, information ni durée limitée.
- Oublier la purge après résiliation (loi Hamon, résiliation infra-annuelle), en gardant un fichier de résiliés indéfiniment.
FAQ
Un assureur peut-il encore exiger un questionnaire de santé ?
Cela dépend du produit. La loi Lemoine de 2022 a supprimé le questionnaire de santé pour certains prêts immobiliers (sous conditions de montant et d’échéance). En dehors de ces cas, la collecte de données de santé reste possible lorsqu’elle est nécessaire à l’appréciation du risque et fondée sur une exception de l’article 9. Là où la loi l’interdit, toute collecte est un manquement à la minimisation.
Un courtier est-il responsable de traitement ou sous-traitant ?
Les deux sont possibles, selon son autonomie et son mandat. S’il détermine ses propres finalités (sa clientèle, sa prospection, son conseil), il est responsable de traitement. S’il se borne à gérer pour le compte de la compagnie selon ses instructions, il est sous-traitant et doit signer un DPA (article 28). La qualification se fait traitement par traitement, pas en bloc.
Combien de temps conserver un dossier d’assurance après résiliation ?
Le repère usuel est la durée du contrat augmentée de la prescription biennale de deux ans (article L114-1 du code des assurances), soit une conservation d’environ cinq ans après la fin du contrat en archivage à accès restreint, puis purge. Les données de santé, elles, doivent être purgées dès la fin de l’instruction du dossier concerné. Les pièces comptables suivent leur propre délai de dix ans.
Conclusion
En assurance, deux réflexes évitent l’essentiel du risque : purger réellement les données de santé au terme de l’instruction, et borner la conservation des contrats à la durée utile augmentée de la prescription biennale. Ajoutez la qualification propre de chaque courtier, un DPA avec tous les gestionnaires et plateformes, le respect de la loi Lemoine, et le contrôle de l’information délivrée par vos centres d’appels. Un outil comme Legiscope, qui automatise le registre des traitements et les AIPD, matérialise ces durées et ces qualifications et les rend démontrables en contrôle. La sanction AG2R le rappelle : dans l’assurance, ce ne sont pas des données perdues qui coûtent le plus cher, ce sont des données gardées trop longtemps — comme le rappelle le texte du RGPD.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial