Le point sur la RGPD, les courtiers et les cabinets de gestion de patrimoine



RGPD protection des clients et prospects

A l'agence, nous sommes régulièrement sollicités par nos clients courtiers et conseillers en gestion de patrimoine sur la RGPD (réglementation générale sur la protection des données personnelles) entrée en vigueur le 25 mai 2018. Certes, nous sommes une agence de communication et de marketing digital et nous sommes concernés par certains aspects (non des moindres et nous nous en occupons) mais pas tous.

Comme si vous n'aviez pas assez d'obligations, la RGDP vous en impose d'autres mais qui ont le même objectif que vous : PROTEGER VOS CLIENTS ET PROSPECTS, MAIS AUSSI VOS SALARIES.

Les points essentiels pour vous éclairer sur vos obligations

Attention la CNIL peut effectuer des contrôles a posteriori et infliger des amendes pouvant aller jusqu'à 4% du chiffre d'affaires annuel et mondial.

1. La RGPD vise tous les professionnels qui traitent des données personnelles. Vous êtes donc bien concernés.

2. Vous devez nommer un DPO (Data protection officer - si votre cabinet a beaucoup de salariés) et des responsables de traitement des données à même de démontrer les mesures de protection des données mises en place, et ce, à tout moment. Il doit aussi tenir un registre des traitements et mettre en place un plan d'alerte de la CNIL dans les 72 h en cas de violation des données.

3. Les contrats d'assurance doivent être modifiés pour insérer de nouvelles mentions comme la durée de conservation des données. De manière générale, il convient de revoir tous les contrats avec les sous-traitants pour intégrer les clauses obligatoires.

4. Il convient désormais de demander à vos clients et prospects leur consentement explicite quant à l'utilisation de leurs données personnelles. L'opt-in (case à cocher) est alors insérée dans toutes les communications récoltant des données. Elle ne doit plus être pré-cochée.


responsable de traitement , sous-traitant

Vous endossez des responsabilités différentes à e étape du parcours client chaque

1. Lors de la collecte d'information pour un meilleur conseil qui plus est adapté : vous êtes le Responsable de traitement au regard de la RGPD.

2. Dès que vous saisissez ses données pour avoir un devis ou une simulation dans l'extranet de la compagnie partenaire : vous êtes le Sous-traitant de la

compagnie qui prend la fonction de Responsable de traitement. Dans ce cas, vous devez suivre les règles exigées par la compagnie qui doit mettre en place des moyens de contrôle.

Les différentes étapes

A noter que la mise en conformité RGPD diffère en fonction de la taille de la structure des cabinets de courtage et CGP, du nombre d'assureurs partenaires, des produits et solutions proposés et de la nature des données collectées.

1. Identifiez et inventoriez les données personnelles que vous détenez en précisant comment vous avez eu ces informations, comment vous les exploitez. Attribuez à chaque traitement de données une note de criticité. Cela peut être long à rassembler car vous collectez énormément de données et même certaines qui sont sensibles comme celles sur la santé, les salaires des employés d'une entreprise etc. Pour vous aider, cartographie vue par la CNIL.

2. Remplissez le registre des traitements en définissant votre rôle dans chaque cas (responsable ou sous-traitant). Modèle de registre de la CNIL

3. Mettez en place des procédures de protection et de sécurisation des données.

4. Modifiez tous les questionnaires de recueil de besoins / bilan patrimonial afin d'intégrer une demande de consentement quant au traitement des données.

Modifiez également tous les documents remis au client pour que soient mentionnés les droits des clients, la localisation de l'hébergement des données et la durée de leur conservation.

Concernant la durée : cela implique que vous deviez les supprimer passé le délai communiqué. Il existe des logiciels pour le faire en masse, sinon, il vous faudra le faire dossier par dossier.

5. Sécurisez enfin les données physiques sur un cloud bien vérouillé. Complexifiez et changez régulièrement vos mots de passe.

Faites-vous aider par des spécialistes si la tâche est trop lourde

3 professionnels pour le prix de votre sérénité, efficacité et conformité, à vous de voir.


avocat spécialisé

Un avocat spécialisé

Ils sont très efficaces. Ils peuvent vous former et vous fournir des documents et des matrices. Ils vous accompagnent et vous conseillent tout le long de l'opération.

Une ESN pour la sécurisation des données ou votre service informatique si vous en avez un

Il sera peut-être nécessaire pour vous de changer d'hébergeur pour externaliser les données si vous avez un serveur interne.

Un DPO à temps partagé

Si la taille de votre cabinet ne justifie pas la nomination d'un DPO, externalisez-le, c'est un gage de crédibilité et cela prouve votre souci de bien faire. CSCA-RH (filiale codétenue avec l’Ifpass, l’Institut de formation de la profession de l’assurance) fait cela très bien et gère déjà beaucoup de demandes de courtiers, preuve qu'il y a de la demande.

Qu'en est-il de la promotion commerciale ?

Vous le savez, chaque conseil que vous donnez doit être en accord avec la phase d'étude de besoins du client. Du coup, il n'est plus possible de faire la promotion régulière d'un produit si l'étude n'a pas été mise à jour. Faites attention à comment vous tournez les choses...

Sources : l'Argus de l'Assurance, CNIL et Rachel Lapeyre