Article rédigé par François GUERARD, fondateur de BIZDEV34 et contributeur de Made in Courtage

Sujet O combien ! récurent et sons de cloche non moins divergents. Alors afin d’en avoir le cœur net j’ai échangé avec plusieurs confrères ainsi qu’avec la CNIL. 

Il en ressort qu’il faut dissocier deux cas bien précis :

• Les courtiers qui proposent de l’assurance de personne, y compris de la prévoyance
• Les courtiers qui n’interviennent que dans le domaine du crédit.

Concernant la première catégorie, aucun doute possible. Il y a obligation pour les courtiers de nommer un DPO interne ou externe car ils sont amenés à traiter des données sensibles au sens de l’article 9 du RGPD.

Concernant la seconde catégorie, la réponse est a priori moins évidente, … En effet que ce soit sur du regroupement de crédits, du prêt immobilier… les courtiers ne sont pas, normalement, amenés à traiter des données sensibles au sens des articles 9 et 10 du RGPD. 

Ils collectent cependant des données personnelles que l’on peut qualifier de courantes (état civil, adresse par exemple) mais également des données à caractère hautement personnel (informations bancaires, données fiscales par exemple). 

Pour rappel une étude RSA de janvier 2018 relève que 81% des français se disent préoccupés par l’utilisation de leurs données financières et fiscales.

La CNIL m’a confirmé que les courtiers doivent porter une attention à ces données et documenter, en interne, les raisons pour lesquelles ils feraient le choix de ne pas désigner un DPO.

Ils doivent également désigner une personne, en interne ou en externe qui puisse traiter les demandes des clients, salariés, partenaires, sous-traitant (au sens du RGPD) et y répondre dans un délai raisonnable. Ce ne peut être le responsable des traitements.

A dire vrai ces mesures ne sont pas spécifiques aux courtiers, mais ils ne sauraient s’y soustraire…

Retrouvez tous les articles de François GUERARD consacrés au RGPD dans notre dossier spécial