En une phrase. Les courtiers en assurance (immatriculés ORIAS) cumulent RGPD, Code des assurances (L520-1 et suiv.), DDA (Directive Distribution Assurance), secret assurance et LCB-FT. Spécificités : partage tarification avec assureurs (qualifiés comme co-responsables ou sous-traitants selon configuration), données santé pour santé/prévoyance/emprunteur (HDS obligatoire), AGIRA (fichier antécédents auto/habitation). La CNIL a sanctionné en 2021 Active Assurances 75 K€ pour hachage MD5 sans sel. Le DPO est obligatoire dès qu’il y a traitement à grande échelle de données santé (cas fréquent en courtage santé).
Le courtage français compte 25 000 courtiers immatriculés ORIAS (rapport ORIAS 2024). Le traitement de la donnée est au cœur du métier : devis, sinistres, antécédents, comparaison tarifs.
Pour approfondir : PSSI ANSSI, RGPD Suisse, PCA ANSSI.
Points clés
- Le courtier est responsable de traitement pour ses traitements propres, sous-traitant ou co-responsable pour le partage assureur selon la configuration.
- HDS obligatoire pour courtage santé/emprunteur dès externalisation.
- AGIRA (Association Gestion Informations Risque Assurance) : fichier antécédents auto, habitation, vie.
- DPO obligatoire pour courtage santé à grande échelle ou IARD important.
- Conservation : 5 ans contrat + 10 ans LCB-FT.
1. Cadre juridique du courtier
| Texte | Obligation |
|---|---|
| RGPD | Base générale |
| Code des assurances L520-1+ | Statut courtier |
| Directive DDA 2016/97 | Distribution assurance |
| Code monétaire L561-2 | LCB-FT |
| MR-005 CNIL santé | Recherche santé |
| Référentiel HDS | Hébergement santé |
| Convention AERAS | Risque aggravé santé |
2. Rôles RGPD du courtier
Trois configurations :
| Configuration | Rôle courtier | Rôle assureur |
|---|---|---|
| Courtier mandataire client | Responsable de traitement | Responsable de traitement |
| Courtier mandataire assureur | Sous-traitant assureur | Responsable de traitement |
| Co-distribution | Co-responsables | Co-responsables |
Le contrat de courtage doit expressément qualifier la relation (DPA art. 28 si sous-traitance, accord 26 si co-responsable).
3. Demande de tarification : un traitement complexe
Lors d’une demande de devis :
- Le courtier collecte : identité, situation, biens, antécédents
- Transmet à plusieurs assureurs pour cotation
- Compare et conseille
- Établit le contrat avec l’assureur retenu
Bases légales :
- Mesures précontractuelles (RGPD art. 6.1.b) pour devis
- Exécution contrat pour le contrat signé
- Consentement ou intérêt légitime pour conservation au-delà
4. Données santé : régime spécifique
Pour santé, prévoyance, emprunteur :
- Article 9 RGPD : interdiction sauf exception
- Exception 9.2.a : consentement explicite (formulaire dédié)
- Exception 9.2.h : médecine du travail, soins (rare en courtage)
- HDS obligatoire dès hébergement chez un tiers
- Médecin-conseil parfois requis pour évaluation
- Convention AERAS pour risque aggravé : encadrement spécifique
Outils HDS-certifiés courtage : SoluCRM, Net-In Force, BankSphere, certains Maincare.
5. AGIRA et fichiers de fraude
L’AGIRA centralise les données mutualisées du secteur :
- AGIRA 1 : fraude / sinistres auto
- AGIRA 2 : déchéance permis
- AGIRA 3 : recherche bénéficiaires assurance vie en déshérence
- AGIRA 4 : sinistres habitation
Inscription antécédents : 5 ans pour sinistre, 2 ans pour résiliation. Information préalable obligatoire au client (mentions information souscription).
6. LCB-FT : obligations spécifiques
Loi du 6 décembre 2013 + Sapin II :
- Identification client (KYC) : pièce identité, justificatif domicile
- Vérification PEP (Personnes Exposées Politiquement)
- Gel des avoirs (liste sanctions UE/OFAC)
- Déclaration de soupçon à TRACFIN
- Conservation : 10 ans après fin relation
La cyber-assurance et le courtage cyber sont soumis aux mêmes règles.
7. Marketing et démarchage courtier
Selon la DDA et le RGPD :
- Démarchage entrant : règles RGPD standard (opt-in B2C e-mail/SMS)
- Démarchage téléphonique : opt-in obligatoire depuis 11/08/2026 (loi 2020-901)
- Mention conseil ORIAS dans toute communication
- Information sur les conflits d’intérêts (rémunérations, % portefeuille)
- Recueil exigences et besoins du client (DDA)
8. Comparateurs et lead generation
Les courtiers achètent souvent des leads à des comparateurs (Assurland, Lelynx, LesFurets) :
- Vérifier consentement explicite du lead à être recontacté par courtier partenaire
- DPA avec le comparateur
- Documenter la traçabilité des leads (preuve consentement)
- Désinscription facile et tracée
CNIL a sanctionné en procédure simplifiée plusieurs courtiers en 2023-2025 pour leads sans consentement traçable.
9. Sinistre : traitement spécifique
À l’occurrence d’un sinistre :
- Collecte expertise (expert assigné, parfois données santé)
- Échange avec assureur : flux structurés
- Conservation pièces : 10 ans (prescription)
- Information assuré sur destinataires (expert, médecin-conseil, contre-expertise)
PIA recommandé pour les outils de gestion sinistres (volumineux, sensibles).
10. Sanctions et jurisprudence
| Année | Entité | Sanction | Motif |
|---|---|---|---|
| 2021 | Active Assurances | 75 K€ | MD5 sans sel |
| 2022 | Yvon Mau (courtier vin = pas assurance, ex) | — | — |
| 2023 | Courtier (PS) | 15 K€ | Cookies + droits |
| 2024 | Courtier santé (PS) | 18 K€ | Conservation excessive |
| 2025 | Courtier en ligne (PS) | 12 K€ | Lead non consenti |
La majorité des sanctions courtiers passent par procédure simplifiée (< 20 K€) — moins médiatisées mais réelles.
11. Conservation des données
| Document | Durée |
|---|---|
| Contrat assurance vie | 30 ans après terme |
| Contrat IARD (auto, habitation) | 5 ans après terme |
| Sinistre | 10 ans (prescription) |
| Devis non concrétisé | 3 ans |
| Données santé emprunteur | Durée du prêt + 10 ans |
| KYC LCB-FT | 10 ans après fin relation |
| Comptabilité | 10 ans |
| Logs accès SI | 1 an minimum |
12. Checklist courtier conforme 2026
À vérifier :
- Statut RGPD vis-à-vis assureurs documenté (contrat)
- Registre des traitements à jour
- Mentions information conformes (devis, contrat, site)
- Politique cookies CNIL
- DPA avec sous-traitants (CRM, hébergeur, comparateurs)
- HDS si santé/emprunteur
- DPO désigné (santé à grande échelle)
- PIA pour outils sensibles
- Procédure exercice droits opérationnelle
- Conservation par typologie documentée
- Procédure LCB-FT + DS TRACFIN
- Cyber-assurance avec garantie RGPD
FAQ
Le courtier est-il responsable ou sous-traitant vis-à-vis de l’assureur ?
Cela dépend du mandat. Courtier mandataire du client (cas fréquent) : responsable de traitement autonome. Courtier mandataire de l’assureur : sous-traitant de l’assureur. Co-distribution : co-responsables. Le contrat de courtage doit qualifier expressément.
Quelle base légale pour la transmission aux assureurs lors d’un devis ?
Mesures précontractuelles à la demande du client (RGPD art. 6.1.b). Le client demandant un devis consent implicitement à la transmission aux assureurs pour cotation. Mention information requise sur le nombre et la liste des assureurs sollicités.
Faut-il un DPO pour un cabinet de courtage ?
Obligatoire pour courtage santé/prévoyance à grande échelle (RGPD art. 37). Recommandé pour cabinet > 10 salariés ou portefeuille > 5 000 clients en IARD. Coût DPO externe mutualisé : 800-2 000 €/mois pour un cabinet moyen.
Combien de temps conserver un dossier client après résiliation ?
Contrat IARD : 5 ans après terme (prescription assurance). Contrat vie : 30 ans après terme (prescription civile). Sinistre : 10 ans après dernier événement. KYC LCB-FT : 10 ans après fin relation. Au-delà : suppression ou archivage justifié.
Quel CRM courtier conforme 2026 ?
Solutions françaises HDS-compatibles : SoluCRM, Net-In Force, Wikiass, Cogis, Solog, Astrée. Vérifier : hébergement UE, DPA conforme, journalisation accès, gestion des droits patient (santé), export portabilité. Coût indicatif : 50-200 €/mois/utilisateur.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial