RGPD et agent vocal en assurance : le guide complet 2026.
Déployer un agent vocal en assurance impose de respecter six obligations RGPD : information de l'appelant, base légale, sous-traitance, durée de conservation, sécurité technique et droits des personnes. Voici la grille de lecture, basée sur le RGPD et le Code des assurances, pour sécuriser votre choix d'éditeur.
Les 6 obligations RGPD spécifiques au courtage en assurance
Le courtage en assurance est l'un des secteurs où la conformité RGPD est la plus exigeante : données de santé, devoir de conseil DDA, archivage long, sous-traitance. Mettre un agent vocal sur ses appels entrants implique de vérifier 6 points incontournables.
- Localisation des serveurs en Union européenne. Dès qu'une mutuelle santé est mentionnée dans un appel, les données collectées relèvent de l'article 9 du RGPD (données sensibles de santé). L'éditeur doit héberger ces données sur des serveurs situés dans l'UE — idéalement en France pour les cabinets sensibles à la souveraineté.
- DPA (Data Processing Agreement) signé. Le cabinet est responsable du traitement, l'éditeur de l'agent vocal est sous-traitant. Un contrat de sous-traitance conforme à l'article 28 du RGPD doit être signé. Sans DPA, vous êtes en infraction.
- Registre des sous-traitants tenu à jour. Si l'éditeur s'appuie lui-même sur des prestataires (hébergeur, fournisseur de moteur vocal), il doit en tenir un registre transparent et vous le communiquer sur demande.
- Durées de conservation calibrées. 5 ans pour les preuves de conseil DDA, 3 ans pour la prospection commerciale, 6 mois maximum pour les enregistrements bruts hors archivage légal. Au-delà, suppression ou anonymisation obligatoire.
- Information préalable de l'appelant. Un message d'accueil de quelques secondes doit indiquer que l'appel est traité par un agent vocal et enregistré. C'est une obligation prévue par l'article 13 du RGPD.
- Procédure d'exercice des droits. Accès, rectification, suppression, portabilité : le cabinet doit pouvoir répondre sous 1 mois. Un dashboard admin avec export par numéro de téléphone est indispensable.
Données de santé : le niveau de vigilance supplémentaire
Les courtiers en mutuelle santé manipulent quotidiennement des données qui relèvent de l'article 9 du RGPD : numéro de Sécurité sociale, nature de pathologie, prise en charge en cours, médecin traitant. Ces données "sensibles" imposent un niveau de protection supérieur.
Concrètement, Vikora doit :
- Hébergement sur serveurs certifiés HDS (Hébergeur de Données de Santé) lorsque le contenu des appels contient des informations médicales, ou à défaut limiter strictement la collecte à des données administratives non médicales.
- Anonymisation immédiate des éléments médicaux dans les transcriptions, sauf accord explicite du client.
- Journal d'accès aux enregistrements (qui a écouté quel appel et quand) — base de la traçabilité exigée par la CNIL.
VikoraAI applique par défaut la limitation de collecte : l'agent ne pose jamais de questions médicales. Si le client en livre spontanément, ces éléments sont automatiquement floutés dans la transcription transmise au conseiller.
Devoir de conseil DDA : la frontière à ne pas franchir
La Directive sur la Distribution d'Assurances (DDA), transposée dans le Code des assurances, impose que le devoir de conseil soit assuré par un intermédiaire d'assurance habilité — concrètement, par un courtier inscrit à l'ORIAS.
Un agent vocal ne peut donc en aucun cas :
- Recommander un contrat d'assurance ou de mutuelle santé
- Modifier une garantie existante
- Conseiller sur le bon montant de capital décès, de franchise ou de plafond de remboursement
- Confirmer une indemnisation de sinistre
En revanche, l'agent vocal peut parfaitement :
- Recueillir une demande de devis et la transmettre au conseiller
- Renvoyer une attestation, une carte de tiers payant ou un RIB déjà existant
- Qualifier l'objet de l'appel et programmer un rappel par un conseiller habilité
- Fournir des informations factuelles sur l'organisation du cabinet (horaires, partenaires mutuelles)
RGPD et agent vocal en assurance : questions fréquentes
Les points de conformité les plus posés par les cabinets de courtage avant de mettre un agent vocal en production.
Un agent vocal en assurance santé est-il conforme au RGPD ?
Un agent vocal en assurance santé est conforme au RGPD à condition que l'éditeur héberge les données en Union européenne, fournisse un DPA (Data Processing Agreement), trace les accès aux données de santé (article 9 du RGPD) et applique des durées de conservation maîtrisées : 5 ans pour les preuves DDA, 3 ans pour la prospection commerciale.
Un agent vocal pour le courtage est-il conforme au RGPD ?
Oui, à condition que l'éditeur héberge les données en Union européenne, fournisse un DPA (Data Processing Agreement) standardisé, et applique des durées de conservation conformes au RGPD. VikoraAI héberge l'ensemble des données en France et fournit le DPA dès la phase de devis.
Combien de temps un agent vocal peut-il conserver les enregistrements d'appels ?
Pour le courtage en assurance, la pratique recommandée pour les preuves du devoir de conseil DDA est une conservation de 5 ans après la fin du contrat (recommandation ACPR 2016-R-01 relative au devoir de conseil, et prescription quinquennale de droit commun de l'article 2224 du Code civil). Pour les données strictement liées à la prospection commerciale, la durée recommandée par la CNIL est de 3 ans à compter du dernier contact. Au-delà, les enregistrements doivent être supprimés ou anonymisés.
Le consentement du client est-il obligatoire avant un appel à l'agent vocal ?
Pour les appels entrants (le client appelle votre cabinet), l'information préalable suffit : un message d'accueil de quelques secondes mentionne que l'appel est traité par un agent vocal et enregistré. Pour les appels sortants à des fins commerciales, le consentement explicite est obligatoire (opt-in).
Les données de santé sont-elles concernées ?
Oui, dès qu'une mutuelle santé est mentionnée. Les données de santé relèvent de l'article 9 du RGPD (données sensibles) : hébergement en Union européenne obligatoire, accès tracé, suppression au plus tard 5 ans après la fin de la relation contractuelle.
Que se passe-t-il si le client exerce son droit d'accès ?
Vous devez pouvoir, sous 1 mois, fournir au client la liste des données collectées et l'enregistrement de ses appels. VikoraAI fournit dans le dashboard admin une fonction d'export par numéro de téléphone qui répond à cette obligation.
L'agent vocal peut-il remplacer le devoir de conseil DDA ?
Non. Le devoir de conseil DDA (Directive sur la Distribution d'Assurances) doit obligatoirement être assuré par un intermédiaire d'assurance habilité. L'agent vocal qualifie la demande et transfère systématiquement vers un conseiller dès qu'un avis de souscription, de modification de garantie ou de sinistre est requis.
Vérifier la conformité de votre projet
On vous envoie notre DPA standardisé et notre fiche RGPD courtage pour que vous puissiez les confronter à votre DPO ou conseil juridique.
Réserver une démo gratuiteÀ lire aussi