Dans le secteur de l’assurance, il est essentiel de savoir pendant combien de temps les données personnelles doivent être conservées. Ces durées de conservation sont déterminées en fonction de différents critères, tels que les obligations légales et les besoins opérationnels des organismes.
Le principe général
Pendant ces durées de conservation, les responsables de traitement sont autorisés à traiter les données. Toutefois, il est recommandé de les archiver lorsque cela est possible. Cela peut être le cas si ces données ont encore une valeur administrative pour l’organisme ou si elles doivent être conservées pour répondre à une obligation légale.
Le RGPD ne précise pas la durée exacte pendant laquelle les données personnelles doivent être conservées. Il appartient donc au responsable de traitement d’identifier et d’évaluer ses besoins opérationnels, en se référant notamment aux délais de prescription spécifiques à son secteur pour déterminer les durées de conservation au cas par cas.
Les durées de conservation dans le secteur de l’assurance
Dans le secteur de l’assurance, il est généralement nécessaire de distinguer les traitements de données effectués en dehors de la conclusion d’un contrat d’assurance de ceux mis en œuvre dans le cadre d’un contrat.
Voici quelques exemples :
- En l’absence de conclusion d’un contrat d’assurance, dans le cadre de la gestion de la prospection, le responsable de traitement ne peut conserver les données du prospect au-delà de 3 ans à compter de leur collecte ou du dernier contact émanant du prospect.
- Pour les données pouvant permettre la constatation, la défense ou l’exercice des droits en justice, elles peuvent être conservées pendant une durée maximale de 5 ans à compter de leur collecte ou du dernier contact émanant du prospect, conformément au délai de prescription de droit commun.
- Lorsqu’un contrat d’assurance est conclu, certains délais de prescription spécifiques peuvent s’appliquer. Par exemple, pour les contrats d’assurance vie, le Code des assurances prévoit un délai de prescription de 30 ans à compter du décès de l’assuré pour les actions du bénéficiaire.
En ce qui concerne les traitements de lutte contre la fraude, il convient de distinguer deux étapes :
- L’appréciation de la pertinence de l’alerte : à partir de son émission, l’organisme dispose de 6 mois pour déterminer si l’alerte est pertinente ou non. Les alertes qualifiées de non pertinentes doivent être supprimées immédiatement.
- La conservation de l’alerte qualifiée de pertinente : si l’alerte est jugée “pertinente”, les données ne peuvent être conservées plus de 5 ans à compter de la clôture du dossier de fraude.
Il est donc crucial pour les acteurs du secteur de l’assurance de respecter ces durées de conservation afin de garantir la protection des données personnelles de leurs clients.