Conservation des données personnelles : RGPD pour assureurs
Vous êtes chargé de revoir le référentiel de durées de conservation de votre compagnie d’assurance.
Devant vous, quatre portes principales :
- “Prescription civile : 5 ans”;
- “Prescription assurance : 2 ans”;
- “Prescription fiscale : 10 ans”;
- “Recommandations CNIL : variables”.
Derrière, une multitude d’autres s’entrouvrent : sinistre construction, dommage corporel, préjudice écologique… et le labyrinthe se complexifie.
Chaque battant cache un risque : perdre une preuve, subir une sanction, ou encombrer vos serveurs à vie.
Pour sortir de la pièce, il faut trouver la combinaison parfaite : celle qui respecte la loi, protège l’entreprise et satisfait la CNIL.
Bienvenue dans l’Escape Game des durées de conservation.
Chaque minute compte et chaque donnée aussi.
Salle 1 : Les règles du jeu
Pour les experts du secteur, le dilemme n’est pas de comprendre le principe de limitation des durées de conservation (article 5.1.e du RGPD) : il est d’en déduire une règle opérationnelle dans un univers où le droit n’a jamais voulu être précis.
La finalité reste le pivot, mais en assurance, une même donnée en sert plusieurs : gestion contractuelle, obligations prudentielles, preuve en cas de litige, lutte contre la fraude, contrôle interne… autant de couches qui s’additionnent sans jamais s’effacer.
Le RGPD ne fixe pas de durée : il impose une capacité à la justifier. Autrement dit, pas de chiffres magiques, mais un impératif de cohérence — entre les finalités, les bases légales et les délais de prescription applicables.
Le véritable enjeu ? Relier les durées entre base active, archivage restreint et purge finale.
C’est cette traçabilité des purges et la preuve d’exécution (ticket, export, log) qui fondent la conformité réelle.
Les règles de conformité réglementaire imposent de justifier chaque étape du cycle de vie des données.
Salle 2 : Les indices dans les codes
Le Code des assurances s’impose d’abord.
L’article L114-1 fixe une prescription biennale : deux ans pour toute action dérivant d’un contrat d’assurance.
Cette règle n’impose pas une durée de conservation des données, mais influence directement le cycle de vie du traitement.
En pratique, après la clôture d’un dossier, les données demeurent en base active pendant deux ans ; la période de rémanence avant tout archivage ou suppression.
Ces durées influencent directement la relation client en assurance, où les obligations de preuve et de traçabilité s’étendent bien au-delà du contrat.
Le Code civil élargit le jeu.
L’article 2224 pose la prescription de droit commun à cinq ans (obligations contractuelles).
Mais le temps juridique se tord : suspension, interruption, contentieux… autant de variables que le registre des traitements doit documenter.
L’article 2226 porte le délai à dix ans pour les dommages corporels, vingt ans lorsqu’ils résultent d’un crime.
Le chronomètre démarre à la consolidation du dommage — pas à sa survenance.
Et l’article 2235 suspend encore le délai pour les mineurs : la conservation peut aller jusqu’à leurs 28 ans, voire davantage.
Le préjudice écologique (2226-1) ajoute une énigme : dix ans à compter de la connaissance du dommage, sans plafond fixe.
Certaines branches comme la construction ou la réassurance ajoutent leur propre temporalité (garantie décennale, actions récursoires, coassurance…).
Enfin, les obligations comptables et fiscales bouclent la boucle :
- L123-22 du Code de commerce : conservation 10 ans (comptabilité).
- L102 B du LPF : conservation 6 ans (contrôle fiscal).
Deux logiques qui se superposent et prolongent la vie des pièces contenant des données personnelles.
💡 À ce stade, chaque texte fournit un indice, mais aucun ne donne la clé. La cohérence se construit dans le référentiel.
Estimez votre maturité RGPD en 10 questions
Salle 3 — La CNIL : la salle des miroirs
Le pack conformité Assurance (CNIL) reste la boussole du secteur.
Bien qu’ancien, il demeure la référence pour fixer les durées, cadrer les finalités et organiser la suppression des données.
Ici, rien d’obligatoire : la CNIL propose une doctrine pratique.
L’erreur serait de l’appliquer “à la lettre” ; il faut en extraire la logique de gouvernance :
- relier chaque durée à sa finalité ;
- relier chaque passage de statut (base active → archivage → purge) à une preuve ;
- tracer l’ensemble dans un registre des traitements ou un référentiel de conservation.
Ce qui compte, ce n’est pas la durée, c’est la cohérence et la justification.
La CNIL sanctionne une absence de sens, pas une valeur chiffrée.
Un bon équilibre entre conformité RGPD et lutte contre la fraude en assurance reste indispensable pour éviter les dérives.
Salle 4 — La sortie
La combinaison gagnante ?
Un référentiel de conservation documenté, justifiable et vivant.
Un bon référentiel :
- relie les durées entre elles,
- distingue juridique / métier / risque,
- et trace chaque durée jusqu’à sa source (article, recommandation, procédure).
Les équipes les plus matures abordent la conservation non comme un sujet RGPD, mais comme un projet de gouvernance des données :
Réglementation + Métier + Technologie.
C’est une véritable transformation organisationnelle, où juridique, métier et technologie avancent enfin ensemble.
C’est ce triptyque qui permet de piloter les purges, de produire les preuves d’audit, et d’éviter le “tout garder / tout supprimer”.
Sortir de l’Escape Game, ce n’est pas trouver la clé.
C’est construire la serrure.
Chez Niutime, nous aidons les entreprises à maîtriser la conservation et la traçabilité des données : audit RGPD, structuration du référentiel, déclencheurs de purge et preuves d’audit.
Discutons ensemble de votre dispositif actuel et des moyens de le rendre plus
cohérent, opposable et durable.
Sources & références
Cet article s’appuie sur les textes et recommandations en vigueur relatifs à la conservation des données personnelles dans le secteur de l’assurance.
FAQ sur Conservation des données personnelles
