Droit à l'oubli RGPD et assurance : guide 2026
Droit à l'oubli RGPD en assurance : données personnelles, antécédents sinistres AGIRA, durées de conservation et pouvoirs de la CNIL en 2026.
Le droit à l’oubli RGPD permet à tout assuré d’exiger l’effacement de ses données personnelles détenues par un assureur lorsqu’elles ne sont plus nécessaires. Prévu par l’article 17 du RGPD et encadré par la CNIL, il s’applique aux contrats résiliés, aux devis non aboutis et aux fichiers mutualisés comme l’AGIRA, dans les limites du Code des assurances.
16 433
Plaintes reçues par la CNIL en 2023, dont une part significative visant le secteur de l'assurance
Le droit à l'effacement et la conservation excessive des données figurent parmi les motifs de plainte les plus fréquents.
Ce dispositif ne doit pas être confondu avec le droit à l’oubli médical issu de la convention AERAS, qui concerne la déclaration des antécédents de cancer ou d’hépatite C lors d’une demande d’assurance emprunteur. Notre guide complet de la réglementation assurance replace ces deux dispositifs dans l’ensemble des droits qui protègent les assurés en France.
Le cadre juridique du droit à l’oubli en assurance
Le droit à l’oubli en assurance résulte de l’articulation entre plusieurs textes : le RGPD de 2016, la loi Informatique et Libertés du 6 janvier 1978 modifiée, et les référentiels sectoriels de la CNIL. Il s’applique à l’ensemble des traitements de données personnelles réalisés par les assureurs, qu’il s’agisse d’une compagnie, d’une mutuelle, d’une institution de prévoyance ou d’un intermédiaire.
L’article 17 du RGPD
L’article 17 du Règlement (UE) 2016/679 consacre le droit à l’effacement, communément appelé « droit à l’oubli ». Il s’applique notamment lorsque les données ne sont plus nécessaires à la finalité initiale, lorsque la personne retire son consentement, lorsqu’elle s’oppose à un traitement ou lorsque le traitement est illicite. Le responsable de traitement doit répondre dans un délai d’un mois selon l’article 12, prolongeable de deux mois en cas de complexité documentée.
Le RGPD prévoit cependant plusieurs exceptions qui limitent la portée du droit à l’oubli : lorsqu’une obligation légale impose la conservation, lorsque les données sont nécessaires à la constatation, l’exercice ou la défense d’un droit en justice, ou lorsqu’elles relèvent d’un intérêt public prépondérant. Les assureurs invoquent fréquemment ces exceptions, notamment pour respecter la prescription biennale de l’article L114-1 du Code des assurances.
La loi Informatique et Libertés
La loi n°78-17 du 6 janvier 1978 modifiée, adaptée au RGPD par la loi n°2018-493 du 20 juin 2018, constitue le socle national. Son article 20 confère à la CNIL un pouvoir de contrôle, de mise en demeure et de sanction. Les assureurs doivent désigner un délégué à la protection des données (DPO) lorsqu’ils traitent des données sensibles à grande échelle, ce qui est le cas de la quasi-totalité des acteurs du secteur selon l’analyse de la CNIL publiée dans son référentiel assurance.
42 sanctions
Sanctions prononcées par la CNIL en 2023, tous secteurs confondus
Le montant cumulé des amendes a dépassé 89 millions d'euros, avec plusieurs décisions visant des durées de conservation excessives dans les services financiers et assurantiels.
Les référentiels CNIL applicables au secteur
La CNIL publie des référentiels sectoriels qui précisent les durées de conservation admissibles. Pour l’assurance, le référentiel relatif à la gestion des contrats et sinistres distingue trois phases de vie de la donnée : base active, archivage intermédiaire, archivage définitif. Ces durées s’imposent en pratique à tous les acteurs du secteur, sous peine d’un contrôle de la Commission nationale de l’informatique et des libertés.
Les durées de conservation des données d’assurance
Le principe cardinal du RGPD est la limitation de la conservation (article 5-1-e). Les assureurs ne peuvent conserver les données que pour la durée strictement nécessaire aux finalités poursuivies. Au-delà, le droit à l’oubli devient automatique : les données doivent être effacées ou anonymisées sans attendre une demande explicite de l’assuré.
| Type de données | Base active | Archivage intermédiaire | Fondement |
|---|---|---|---|
| Devis non abouti | 3 ans après dernier contact | Aucun | Intérêt commercial légitime (CNIL) |
| Contrat résilié sans sinistre | Durée du contrat + 2 ans | Prescription biennale (art. L114-1) | Code des assurances |
| Sinistre déclaré | Durée de gestion + 2 ans | Jusqu'à 10 ans selon prescription | Code civil, Code des assurances |
| Assurance-vie | Durée du contrat | 10 ans après décès ou clôture | Loi Eckert, Code monétaire |
| Données de santé (emprunteur) | Durée de l'étude médicale | 5 ans maximum après refus | Référentiel CNIL santé |
Durées de conservation des données personnelles en assurance
La règle des deux ans pour les contrats résiliés
La prescription biennale de l’article L114-1 du Code des assurances fixe à 2 ans le délai durant lequel une action peut être intentée. Pendant cette période, les assureurs conservent légitimement les données contractuelles pour pouvoir défendre ou justifier leurs décisions. Au-delà, le maintien des données en base active devient injustifié et expose l’assureur à un risque de sanction.
Le cas spécifique de l’assurance-vie
L’assurance-vie suit un régime dérogatoire en raison de la loi Eckert du 13 juin 2014. Les données relatives aux contrats non réclamés doivent être conservées jusqu’à leur transfert à la Caisse des dépôts et consignations, puis pendant 30 ans supplémentaires, avant reversement à l’État. Ces durées longues répondent à une obligation légale explicite et échappent donc au droit à l’oubli RGPD tant qu’elles ne sont pas expirées.
Les fichiers mutualisés du secteur assurantiel
Au-delà des bases internes, les assureurs alimentent plusieurs fichiers professionnels mutualisés qui soulèvent des enjeux spécifiques en matière de droit à l’oubli. Ces fichiers sont majoritairement gérés par l’AGIRA (Association pour la gestion des informations sur le risque en assurance).
Le fichier AGIRA 2 des sinistres auto
Le fichier des antécédents de sinistres automobiles, dit AGIRA 2, enregistre les sinistres déclarés par les assurés au cours des 5 dernières années. Il est consulté par les assureurs lors de la souscription d’un nouveau contrat pour vérifier la sincérité des déclarations du candidat. La durée de conservation est strictement limitée à 5 ans, en cohérence avec les besoins d’évaluation du risque.
5 ans
Durée maximale de conservation des sinistres auto dans le fichier AGIRA 2
Au-delà, les données sont effacées automatiquement et ne peuvent plus être opposées à l'assuré lors d'une nouvelle souscription.
L’assuré peut exercer ses droits RGPD directement auprès de l’AGIRA, via le formulaire en ligne ou par courrier postal. La vérification de l’identité est obligatoire. Ce droit est particulièrement utile avant une nouvelle souscription : un assuré peut demander à consulter les informations détenues sur lui pour vérifier leur exactitude, et corriger d’éventuelles erreurs. Pour un dossier complet sur les démarches, consultez notre guide des droits des assurés.
Le Fichier des Véhicules Assurés
Le FVA, également géré par l’AGIRA, recense l’ensemble des véhicules couverts par un contrat d’assurance en France. Il est consulté par les forces de l’ordre pour vérifier l’obligation d’assurance. Les données d’un contrat résilié sont supprimées du FVA à l’échéance, selon un flux automatique de mise à jour quotidienne.
Le fichier central des automobiles (FCA)
Le FCA, également alimenté par l’AGIRA, recense les contrats et résiliations pour motifs graves (non-paiement, sinistres fréquents, fausse déclaration). Les données y sont conservées pendant 2 ans à compter de la date de résiliation. Ce délai répond à l’intérêt légitime des assureurs à identifier les risques aggravés, tout en garantissant un effacement automatique après la période critique.
L’exercice pratique du droit à l’oubli
Exercer son droit à l’oubli auprès d’un assureur suit une procédure précise, standardisée par le RGPD et adaptée aux spécificités du secteur. Toutes les compagnies doivent désigner un point de contact clairement identifié dans leur politique de confidentialité.
Étape 1 : identifier le délégué à la protection des données
Chaque assureur dispose d’un DPO (Délégué à la Protection des Données), dont les coordonnées figurent obligatoirement dans la politique de confidentialité publiée sur son site. Selon le Rapport 2023 de la CNIL, près de 83 % des acteurs du secteur assurantiel disposent désormais d’un DPO désigné et enregistré auprès de la Commission nationale.
Étape 2 : formuler une demande écrite
La demande d’effacement peut être adressée par courrier postal, par email sécurisé ou via un formulaire dédié lorsqu’il existe. Elle doit comporter : l’identité du demandeur (avec justificatif), la référence du contrat si applicable, la liste précise des données concernées et le motif invoqué (article 17 du RGPD). Une demande générique et sans justificatif peut être rejetée par l’assureur.
Étape 3 : respecter les délais
L’assureur dispose d’un mois pour répondre à compter de la réception de la demande. Ce délai peut être prolongé de deux mois en cas de complexité documentée, à condition d’en informer l’intéressé dans le délai initial. En cas de refus, la motivation doit être explicite et renvoyer à l’une des exceptions de l’article 17-3 du RGPD.
« Le droit à l'effacement n'est pas absolu. Les assureurs invoquent souvent l'obligation de conservation liée à la prescription biennale ou à la lutte contre la fraude. Mais l'exception doit être justifiée au cas par cas, pas servir de clause de style pour refuser toute suppression. Nos contrôles révèlent encore trop de refus insuffisamment motivés. »
CNIL
Rapport sur les droits RGPD dans le secteur financier, Commission nationale de l'informatique et des libertés, 2024
Étape 4 : saisir la CNIL en cas de refus
Si l’assureur ne répond pas, refuse sans motivation valable ou fournit une réponse jugée insuffisante, l’assuré peut saisir gratuitement la CNIL. La plainte se dépose en ligne sur cnil.fr. L’autorité dispose d’un pouvoir d’investigation et peut prononcer une mise en demeure, une amende administrative ou une injonction sous astreinte. Pour les litiges contractuels sans dimension RGPD, la voie du médiateur de l’assurance reste plus adaptée.
89,2 M€
Montant cumulé des amendes prononcées par la CNIL en 2023
Le secteur financier et assurantiel représente une part croissante de ces sanctions, notamment pour violation du principe de limitation de la conservation.
Les données sensibles : un régime renforcé
Les données de santé, traitées massivement en assurance emprunteur et en complémentaire santé, relèvent du régime renforcé de l’article 9 du RGPD. Leur traitement est en principe interdit, sauf lorsqu’il repose sur un consentement explicite ou sur une obligation légale spécifique.
Le consentement explicite et ses limites
Lors de la souscription d’une mutuelle santé ou d’une assurance emprunteur, l’assuré consent expressément à la collecte de ses données médicales. Ce consentement est indispensable mais ne suffit pas à justifier une conservation illimitée. Le référentiel CNIL santé impose une suppression des données dans un délai de 5 ans maximum en cas de refus d’assurance, et à l’expiration de la prescription biennale en cas d’acceptation. Notre article sur la convention AERAS et le droit à l’oubli médical détaille les cas spécifiques où la déclaration médicale n’est plus exigible.
L’articulation avec la loi Lemoine
La loi Lemoine du 28 février 2022 a supprimé le questionnaire de santé pour les prêts immobiliers inférieurs à 200 000 euros remboursés avant 60 ans. Dans ces cas, les assureurs n’ont plus de fondement juridique pour collecter des données médicales, et tout traitement constitue un manquement au principe de minimisation posé par l’article 5-1-c du RGPD. La CNIL et l’ACPR ont rappelé cette règle dans une note commune publiée en 2024.
Limites et vigilance autour du droit à l’oubli
Malgré son efficacité théorique, le droit à l’oubli RGPD se heurte à plusieurs limites pratiques dans le secteur de l’assurance. L’assuré doit connaître ces obstacles pour exercer ses droits efficacement.
La fraude documentaire. Les assureurs peuvent invoquer la lutte contre la fraude pour conserver des données au-delà des durées habituelles. L’ACPR rappelle dans son rapport 2024 que ces dérogations doivent être strictement proportionnées, documentées et limitées dans le temps. Un simple soupçon non étayé ne justifie pas une rétention prolongée.
L’anonymisation incomplète. Certains assureurs conservent des données dans un format prétendument anonyme, mais qui permettent encore la réidentification indirecte. La CNIL rappelle que seule une anonymisation irréversible, conforme aux standards du G29, dispense du respect du RGPD. Une pseudonymisation ne suffit pas.
Les flux vers les réassureurs. Les données transmises aux réassureurs, notamment dans les dossiers complexes, échappent souvent à la vigilance de l’assuré. Or ces flux sont soumis au même régime RGPD. Une demande d’effacement doit en principe se propager à tous les destinataires des données, y compris aux réassureurs et aux courtiers intermédiaires.
La portée limitée sur les fichiers de place. Les fichiers mutualisés comme AGIRA 2 ne peuvent pas être effacés à la demande tant que le délai réglementaire n’est pas expiré. L’assuré peut toutefois demander la rectification d’informations inexactes et la vérification des inscriptions. Pour toute contestation, le recours à la directive DDA et au devoir de conseil peut compléter utilement les démarches RGPD.
Évolutions attendues en 2026
L’année 2026 apporte plusieurs chantiers qui concernent directement le droit à l’oubli en assurance. La CNIL a annoncé la publication d’un référentiel actualisé sur les données de santé en assurance, intégrant les enseignements de la loi Lemoine. Le règlement européen sur l’intelligence artificielle, pleinement applicable depuis 2025, encadre désormais l’usage des algorithmes d’évaluation du risque et renforce les droits des assurés confrontés à une décision automatisée. Les voies de recours contre les assureurs évoluent en parallèle, et peuvent être mobilisées en complément via le médiateur de l’assurance lorsque le litige dépasse le seul volet RGPD.
Sources
- CNIL : Rapport d’activité 2023 — cnil.fr
- CNIL : Référentiel relatif aux traitements de données personnelles dans le secteur de l’assurance — cnil.fr
- Règlement (UE) 2016/679 (RGPD) — eur-lex.europa.eu
- Loi n°78-17 du 6 janvier 1978 (Informatique et Libertés) modifiée par la loi n°2018-493 — legifrance.gouv.fr
- AGIRA : Notice d’information RGPD et fichiers de place — agira.asso.fr
- Code des assurances : articles L114-1, L113-8 — legifrance.gouv.fr
- ACPR : Rapport sur la protection de la clientèle 2024 — acpr.banque-france.fr
- France Assureurs : Guide de conformité RGPD pour les assureurs 2025 — franceassureurs.fr
Questions fréquentes
Qu'est-ce que le droit à l'oubli RGPD appliqué à l'assurance ?
Un assureur peut-il conserver mes données après résiliation ?
Quelle est la durée de conservation des données d'un devis non abouti ?
Comment exercer mon droit à l'effacement auprès d'un assureur ?
Quel est le rôle de l'AGIRA dans la conservation des antécédents sinistres ?
La CNIL peut-elle sanctionner un assureur qui ne respecte pas le droit à l'oubli ?
Quels types de données les assureurs collectent-ils ?
Quelle différence entre droit à l'oubli RGPD et droit à l'oubli médical AERAS ?
Dernière mise à jour : avril 2026. Les informations présentées sont données à titre indicatif et ne constituent pas un conseil personnalisé.
Articles similaires
Réglementation assurance en France : guide complet
Réglementation assurance en France : lois Hamon, Chatel, Lemoine, droits des assurés, contrats obligatoires et voies de recours applicables en 2026.
Convention AERAS : emprunter avec un risque de santé
Convention AERAS : droit à l'oubli fixé à 5 ans, grille de référence, surprime plafonnée. Emprunter malgré une maladie grave, règles applicables en 2026.
Droits des assurés en France : guide complet 2026
Connaître vos droits d'assuré : résiliation, information précontractuelle, indemnisation, recours et protections garanties par le Code des assurances.
DDA : directive distribution assurance en 2026
Directive DDA (2016/97) : obligations des distributeurs, devoir de conseil renforcé, transparence des rémunérations et formation continue imposée aux courtiers.