Dossier réglementaire

RGPD appliqué aux IOBSP

Base légale, minimisation, sécurité, sous-traitants, droits et conservation.

Mis à jour le 17 juillet 2026 · lecture pédagogique, vérification des textes officiels recommandée

Cartographier les traitements

Prospection, simulation, étude, transmission aux prêteurs, signature, facturation, réclamation, enregistrement d’appels et mesure d’audience sont des finalités distinctes à documenter dans un registre.

Informer

Au moment de la collecte, fournir une information concise sur le responsable, les finalités, bases légales, destinataires, durées, transferts, droits et recours auprès de la CNIL. Une politique générale ne remplace pas toujours la mention au formulaire.

Minimiser et conserver

Ne collecter que ce qui est nécessaire à l’étape concernée. Fixer une durée active puis, lorsque justifié, une archive intermédiaire liée aux obligations et délais de prescription. Supprimer ou anonymiser à l’issue.

Sécuriser

Authentification forte, chiffrement des échanges, gestion des habilitations, journalisation, sauvegardes, postes maîtrisés, clauses de sous-traitance et procédure de violation de données sont essentiels compte tenu de la sensibilité financière des dossiers.

Prospection

Distinguer consentement, intérêt légitime, clients existants et transmission à des partenaires. La preuve du choix et la possibilité d’opposition simple doivent être conservées.

Base légale par finalité

Le cabinet doit distinguer l’exécution des mesures précontractuelles pour l’étude demandée, les obligations légales, l’intérêt légitime pour certaines sécurités ou préventions de fraude et le consentement pour les prospections qui l’exigent. Une base légale unique appliquée indistinctement à tous les traitements est rarement pertinente.

Données sensibles et excessives

Les relevés bancaires, pièces d’identité, données patrimoniales et informations familiales sont particulièrement intrusifs. Seules les données nécessaires au produit et au stade du parcours doivent être demandées. Les pièces d’un prospect abandonné ne doivent pas être conservées aussi longtemps que celles d’un dossier financé sans justification documentée.

Sous-traitants, transferts et sécurité

CRM, coffre-fort, signature électronique, hébergeur, outil de scoring, centre d’appel et prestataire marketing doivent être recensés. Les contrats doivent définir les instructions, la confidentialité, la sécurité, les sous-traitants ultérieurs, l’assistance aux droits, la notification des violations et la restitution ou suppression des données.

Textes et ressources officielles