Dossia
Demander un POC de 14 jours

RGPD pour courtiers en crédit : comment traiter les documents de vos emprunteurs

Base légale, minimisation, durées de conservation, droits des emprunteurs, sous-traitance : le guide RGPD pratique pour les courtiers IOBSP qui collectent des pièces justificatives.

Cover Image for RGPD pour courtiers en crédit : comment traiter les documents de vos emprunteurs

En bref : un courtier en crédit traite des données personnelles particulièrement sensibles — revenus, relevés bancaires, situation familiale, parfois données de santé via l'assurance emprunteur. Le RGPD vous impose une base légale claire (le plus souvent l'exécution du mandat et les obligations légales de l'IOBSP), la minimisation des pièces collectées, des durées de conservation définies et justifiables, la maîtrise de vos sous-traitants, et la capacité de répondre aux droits des emprunteurs — dont le droit à l'effacement. La collecte par e-mail et le suivi sous Excel rendent ces obligations très difficiles à tenir.

Ce guide est une synthèse pratique, pas un avis juridique : pour les cas particuliers, rapprochez-vous d'un conseil ou consultez les référentiels de la CNIL.

Pourquoi vous êtes en première ligne

Un dossier de prêt contient l'essentiel de la vie financière d'un foyer : identité, bulletins de salaire, avis d'imposition, relevés de comptes, crédits en cours, compromis de vente. En tant que courtier, vous êtes responsable de traitement pour les données que vous collectez dans le cadre de votre mandat. Vos outils (portail documentaire, CRM, hébergeur) sont vos sous-traitants — et vous répondez de leur conformité.

La base légale de vos traitements

Dans la plupart des cas, vous n'avez pas besoin du consentement (qui est révocable et fragile) :

  • Exécution du contrat / mesures précontractuelles : la collecte des pièces nécessaires au montage du dossier découle directement du mandat de recherche de financement.
  • Obligation légale : certaines conservations s'imposent à vous (lutte anti-blanchiment, traçabilité du devoir de conseil IOBSP).
  • Intérêt légitime : par exemple la conservation de preuves en vue d'un éventuel contentieux, dans la limite des délais de prescription.

Le consentement reste pertinent pour des traitements accessoires (newsletter, témoignage client), jamais pour le cœur du dossier.

Minimisation : ne collectez que le nécessaire

Le principe de minimisation est simple à énoncer et exigeant en pratique : chaque pièce demandée doit être justifiable par le montage du dossier. Concrètement :

  • Adaptez la liste au profil (salarié, indépendant, investisseur) plutôt que d'envoyer une liste maximale « au cas où ».
  • Ne demandez pas de pièces que la banque n'exigera pas pour ce dossier.
  • Évitez de conserver des versions multiples et obsolètes de la même pièce.
  • Attention aux données sensibles « embarquées » : un relevé bancaire peut révéler des cotisations syndicales, des dépenses de santé ou des convictions religieuses. Vous n'avez pas à les exploiter, mais vous devez les protéger.

Durées de conservation : le tableau de référence

La règle générale : conservation en base active pendant la durée de la relation, puis archivage intermédiaire pendant les délais de prescription, puis suppression. Les recommandations de la CNIL pour le secteur banque/crédit vont dans ce sens — vérifiez les référentiels en vigueur pour votre situation.

Données / documentsBase activeArchivage intermédiaire (ordre de grandeur)
Dossier d'un prospect sans suiteDurée de l'étude3 ans après le dernier contact (prospection)
Pièces d'un dossier financéDurée de la relationJusqu'à 5 ans après la fin de la relation (prescription de droit commun)
Justificatifs liés au devoir de conseil IOBSPDurée de la relationDurée permettant de prouver le conseil en cas de litige
Documents LCB-FT (si assujetti)Durée de la relation5 ans après la fin de la relation
Données de santé (assurance emprunteur)À ne pas conserver au-delà du strict nécessaireTransmission à l'assureur, pas de stockage durable chez le courtier

Le point clé n'est pas le chiffre exact — il varie selon les cas — mais le fait d'avoir une politique écrite, appliquée, et un mécanisme de purge effectif.

Pourquoi e-mail + Excel posent problème

La pratique majoritaire — pièces reçues par e-mail, suivi dans un tableur — cumule les non-conformités :

  • La boîte mail n'est pas un coffre-fort. Les pièces transitent souvent sans chiffrement de bout en bout, restent dans les éléments envoyés de l'emprunteur, dans votre boîte de réception, dans les transferts vers la banque. Aucun contrôle d'accès granulaire.
  • Les copies ne sont pas maîtrisées. Téléchargements sur le poste, sur le téléphone, transferts à un collaborateur, pièces jointes redondantes : impossible de savoir où vivent toutes les copies d'un avis d'imposition.
  • Pas d'effacement possible. Quand un emprunteur exerce son droit à l'effacement, comment purger une pièce dispersée dans dix e-mails, trois dossiers locaux et un Excel ? En pratique, personne ne le fait.
  • Pas de journalisation. En cas d'incident ou de demande de la CNIL, vous ne pouvez pas démontrer qui a accédé à quoi, ni quand.

Les droits de vos emprunteurs

Vous devez pouvoir répondre, en principe sous un mois, aux demandes d'accès, de rectification, d'effacement (dans les limites de vos obligations légales de conservation), de limitation et de portabilité. Deux réflexes :

  1. Informez dès la collecte : une notice de confidentialité claire, remise avec le mandat ou accessible depuis votre portail.
  2. Tracez les demandes et vos réponses : c'est votre preuve de conformité (« accountability »).

Sous-traitance et hébergement UE

Chaque outil qui touche aux pièces de vos clients doit faire l'objet d'un contrat de sous-traitance (article 28 RGPD) précisant les instructions, la sécurité, et le sort des données en fin de contrat. Privilégiez un hébergement dans l'Union européenne : les transferts hors UE exigent des garanties supplémentaires (clauses contractuelles types, analyse de transfert) que peu de cabinets ont les moyens de gérer. C'est un critère de choix essentiel pour un logiciel de gestion documentaire IOBSP.

Checklist de conformité en 8 points

  1. Cartographiez vos traitements : quelles données, où, dans quels outils (registre des traitements).
  2. Documentez la base légale de chaque traitement dans le registre.
  3. Réduisez la collecte : listes de pièces par profil, pas de pièces « au cas où ».
  4. Écrivez une politique de conservation avec des durées et appliquez une purge régulière.
  5. Remettez une notice d'information aux emprunteurs dès la collecte.
  6. Auditez vos sous-traitants : contrat article 28, hébergement UE, sécurité.
  7. Outillez les droits : procédure de réponse aux demandes d'accès et d'effacement, sous un mois.
  8. Préparez l'incident : qui notifie la CNIL sous 72 h en cas de violation, et comment.

Sur la dimension réglementaire métier (mandat, information précontractuelle, traçabilité du conseil), voyez aussi notre guide des obligations documentaires de l'IOBSP.

Mettre la conformité dans l'outil, pas dans les bonnes intentions

La conformité RGPD tient rarement à la bonne volonté : elle tient à l'outillage. Dossia a été conçu pour cela : un portail emprunteur avec lien privé sans création de compte (fini les pièces jointes par e-mail), des pièces centralisées et validées au même endroit, des relances automatiques, un hébergement exclusivement dans l'UE et un flux d'effacement RGPD intégré.

Découvrez le portail emprunteur Dossia ou demandez un POC de 14 jours — vous verrez en deux semaines ce que change une collecte maîtrisée.

Cet article est une information générale, pas un conseil juridique. Référez-vous aux textes et aux recommandations CNIL en vigueur.