Les durées de conservation des données du secteur de l’assurance
Une durée de conservation doit être déterminée en fonction de la finalité du traitement. Dans le secteur de l’assurance, ces durées peuvent notamment dépendre de la conclusion du contrat ou de délais de prescription spécifiques.
Le principe général
Au cours de ces durées de conservation, les responsables de traitement peuvent être amenés à traiter les données. Ces dernières doivent faire l’objet d’un archivage lorsque cela est possible, notamment lorsqu’elles présentent encore un intérêt administratif pour l’organisme ou doivent être conservées pour répondre à une obligation légale.
Le RGPD ne définit pas la durée précise pendant laquelle les données personnelles doivent être conservées. Le responsable doit identifier et évaluer ses besoins opérationnels, notamment en se référant aux délais de prescription sectoriels afin d’apprécier les durées de conservation au cas par cas.
Les durées de conservation dans le secteur de l’assurance
Dans le secteur de l’assurance, il est ainsi généralement nécessaire de distinguer les traitements de données réalisés en dehors de la conclusion d’un contrat d’assurance de ceux mis en œuvre dans le cadre d’un contrat.
Exemples :
- en l’absence de conclusion du contrat d’assurance, dans le cadre de la gestion de la prospection, le responsable de traitement ne peut conserver les données du prospect au-delà de 3 ans à compter de leur collecte ou du dernier contact émanant du prospect.
- Pour les données pouvant permettre la constatation, la défense ou l’exercice de droit en justice, elles peuvent être conservées pendant une durée maximale de 5 ans à compter de leur collecte ou du dernier contact émanant du prospect (cela en application du délai de prescription de droit commun).
- Lorsqu’un contrat d’assurance est conclu, certains délais de prescription spécifiques sont susceptibles de s’appliquer. C’est le cas des contrats d’assurance vie pour lesquels le Code des assurances prévoit un délai de prescription de 30 ans à compter du décès de l’assuré pour les actions du bénéficiaire.
Enfin, concernant les traitements de lutte contre la fraude, il convient de distinguer deux étapes :
- L’appréciation de la pertinence de l’alerte : à partir de l’émission de l’alerte, l’organisme dispose de 6 mois pour qualifier l’alerte de pertinente ou de non pertinente. Il est recommandé de supprimer sans délai les alertes qualifiées de non pertinentes.
- La conservation de l’alerte qualifiée de pertinente : si l’alerte est « pertinente », les données ne peuvent être conservées plus de 5 ans à compter de la clôture du dossier de fraude.