top of page

Point sur le RGPD et les cabinets de gestion de patrimoine


RGPD protection des clients et prospects

A l'agence, nous sommes régulièrement sollicités par nos clients courtiers et conseillers en gestion de patrimoine sur le RGPD (règlement général sur la protection des données personnelles) entrée en vigueur le 25 mai 2018. L'amende en cas de non conformité peut être lourde et cela inquiète à juste titre.

Comme si vous n'aviez pas assez d'obligations, le RGDP vous en impose d'autres mais qui ont le même objectif que vous : PROTEGER VOS CLIENTS ET PROSPECTS, MAIS AUSSI VOS SALARIES.

RGPD : les points essentiels des obligations des CGP

Attention la CNIL peut effectuer des contrôles a posteriori et infliger des amendes pouvant aller jusqu'à 4% du chiffre d'affaires annuel et mondial.

1. Le RGPD vise tous les professionnels qui traitent des données personnelles. Vous êtes donc bien concernés (vos salariés, votre site internet, votre crm, etc.)

2. Vous devez nommer un DPO (Data protection officer - si votre cabinet a beaucoup de salariés) et un responsable du traitement des données à même de démontrer les mesures de protection des données mises en place, et ce, à tout moment. Il doit aussi tenir un registre des traitements et mettre en place un plan d'alerte de la CNIL dans les 72 h en cas de violation des données.

3. Les contrats que vous faites souscrire doivent avoir été modifiés par vos fournisseurs afin que soient insérées de nouvelles mentions comme la durée de conservation des données. De manière générale, il convient de revoir tous les contrats avec vos fournisseurs en solutions patrimoniale, mais aussi avec vos sous-traitants et prestataires pour intégrer les clauses obligatoires.

4. Il convient désormais de demander à vos clients et prospects leur consentement explicite quant à l'utilisation de leurs données personnelles. L'opt-in (case à cocher) est alors insérée dans toutes les communications récoltant des données, mais également sur votre site internet. Elle ne doit plus être pré-cochée par défaut.

responsable de traitement , sous-traitant

Vos responsabilités à chaque étape du parcours client

1. Lors de la collecte d'information pour un meilleur conseil, adapté à la situation du client : vous êtes le Responsable de traitement au regard du RGPD.

2. Dès que vous saisissez ses données pour avoir un devis ou une simulation dans l'extranet de la compagnie partenaire : vous êtes le Sous-traitant de la compagnie qui prend la fonction de Responsable de traitement. Dans ce cas, vous devez suivre les règles exigées par la compagnie qui doit mettre en place des moyens de contrôle.

Les différentes étapes de la mise en place d'une protection des données conforme

A noter que la mise en conformité RGPD diffère en fonction de la taille de la structure des cabinets de courtage et CGP, du nombre d'assureurs partenaires, des produits et solutions proposés et de la nature des données collectées.

1. Identifiez et inventoriez les données personnelles que vous détenez en précisant comment vous avez eu ces informations, comment vous les exploitez. Attribuez à chaque traitement de données une note de criticité. Cela peut être long à rassembler car vous collectez énormément de données dont certaines sont sensibles comme celles sur la santé, les salaires des employés d'une entreprise etc.

2. Remplissez le registre des traitements en définissant votre rôle dans chaque cas (responsable ou sous-traitant).

3. Mettez en place des procédures de protection et de sécurisation des données.

4. Modifiez tous les questionnaires de recueil de besoins / bilan patrimonial afin d'intégrer une demande de consentement quant au traitement des données.

Modifiez également tous les documents remis au client pour que soient mentionnés les droits des clients, la localisation de l'hébergement des données et la durée de leur conservation.

Concernant la durée : cela implique que vous deviez les supprimer passé le délai communiqué. Il existe des logiciels pour le faire en masse, sinon, il vous faudra le faire dossier par dossier.

5. Sécurisez enfin les données physiques sur un cloud bien vérouillé. Complexifiez et changez régulièrement vos mots de passe.

Faites-vous aider par des spécialistes si la tâche est trop lourde

3 professionnels pour le prix de votre sérénité, efficacité et conformité, à vous de voir.


avocat spécialisé

Un avocat spécialisé

Ils sont très efficaces. Ils peuvent vous former et vous fournir des documents et des matrices. Ils vous accompagnent et vous conseillent tout le long de l'opération. Chez In'Up, nous travaillons avec un avocat RGPD qui vérifie tous les sites que nous faisons pour assurer leur conformité, il rédige certains document pour vous, etc



Une ESN pour la sécurisation des données ou votre service informatique si vous en avez un

Il sera peut-être nécessaire pour vous de changer d'hébergeur pour externaliser les données si vous avez un serveur interne.

Un DPO à temps partagé

Si la taille de votre cabinet ne justifie pas la nomination d'un DPO, externalisez-le, c'est un gage de crédibilité et cela prouve votre souci de bien faire. CSCA-RH (filiale codétenue avec l’Ifpass, l’Institut de formation de la profession de l’assurance) fait cela très bien et gère déjà beaucoup de demandes de courtiers, preuve qu'il y a de la demande.

Qu'en est-il de la promotion commerciale ?

Vous le savez, chaque conseil que vous donnez doit être en accord avec la phase d'étude de besoins du client. Du coup, il n'est plus possible de faire la promotion régulière d'un produit si l'étude n'a pas été mise à jour. Faites attention à comment vous tournez les choses...

Sources : l'Argus de l'Assurance, CNIL et expérience de Rachel Lapeyre


196 vues
bottom of page