En tant que CGP, vous collectez quotidiennement des données sensibles : patrimoine financier, revenus, situation familiale, numéros de contrats. Vous êtes donc pleinement concerné par le Règlement Général sur la Protection des Données (RGPD) — et les sanctions peuvent atteindre 4 % de votre chiffre d’affaires.
Pourtant, de nombreux cabinets de CGP indépendants ne sont pas pleinement conformes. Voici les actions concrètes à mettre en place pour vous protéger et protéger vos clients.
Pourquoi le RGPD est particulièrement sensible pour un CGP
Le CGP manipule des données patrimoniales à caractère hautement confidentiel : relevés bancaires, avis d’imposition, contrats d’assurance-vie, déclarations ISF/IFI. L’ACPR et l’AMF intègrent désormais le respect du RGPD dans leurs contrôles.
La bonne nouvelle : se mettre en conformité n’est pas si complexe pour un cabinet de petite taille. L’essentiel est de structurer quelques documents et processus clés.
Le registre des traitements : votre document fondateur
Le registre des traitements est le document obligatoire qui recense toutes les données personnelles que vous collectez, pourquoi vous les collectez, combien de temps vous les conservez et qui y a accès.
Concrètement, un simple tableur peut suffire au démarrage. Un groupement de CGP peut fournir un registre type pré-rempli, adapté au métier, que chaque membre personnalise.
Durées de conservation : combien de temps garder les données clients
Les données KYC/LCB-FT : 5 ans après la fin de la relation d’affaires. Les documents contractuels : durée du contrat + 5 ans. Les données de prospection : 3 ans après le dernier contact actif. Les données fiscales : 10 ans.
L’erreur la plus fréquente : conserver indéfiniment tous les documents « au cas où ». Cette pratique est contraire au principe de limitation de conservation du RGPD.
Sécuriser les échanges de documents avec vos clients
Envoyer un relevé patrimonial par email non chiffré est un risque RGPD majeur. Utilisez un espace client sécurisé, protégez les PDF par mot de passe, activez le chiffrement du disque dur et ne stockez jamais de données sur des supports non sécurisés.
Les 6 actions prioritaires pour se mettre en conformité
Rédigez votre registre des traitements. Mettez à jour votre DER avec les mentions RGPD. Rédigez votre politique de confidentialité. Sécurisez vos outils numériques. Définissez une procédure en cas de violation de données. Formez-vous et sensibilisez vos collaborateurs.
Conclusion
La conformité RGPD n’est pas une option pour un CGP — c’est une obligation légale et un gage de professionnalisme. Alliance Courtage fournit à ses membres l’ensemble des documents et procédures conformes. Contactez-nous pour en savoir plus.
Questions fréquentes
Un CGP indépendant doit-il nommer un DPO ?
Non, ce n’est pas obligatoire pour les cabinets de petite taille. La nomination d’un DPO est requise uniquement si votre activité principale implique un suivi systématique et à grande échelle des personnes.
Que faire si un client demande la suppression de ses données ?
Vous devez répondre dans un délai d’un mois. Toutefois, vous pouvez refuser la suppression si les données sont nécessaires au respect d’une obligation légale.
Cet article est proposé par Alliance Courtage, groupement de CGP indépendants. Contactez-nous pour échanger sur votre projet.
Avertissement : Les informations contenues dans cet article sont fournies à titre informatif et ne constituent pas un conseil en investissement personnalisé.