Conformité RGPD et réglementation CGP : ce que tout CGPI doit avoir en place en 2026

# Conformité RGPD et réglementation CGP : ce que tout CGPI doit avoir en place en 2026

La conformité est le sujet que les CGP repoussent à plus tard — jusqu'au jour où ils reçoivent un courrier de l'ACPR ou une plainte client qui aurait pu être évitée. En 2026, les exigences réglementaires sur les CGP indépendants se sont renforcées. Ignorer ce sujet, c'est mettre en danger à la fois ton activité et ta réputation.

Bonne nouvelle : la mise en conformité n'est pas aussi complexe qu'on le croit. Avec une journée de travail et les bons outils, tu peux cocher l'essentiel de la check-list.

Voici ce que tu dois avoir en place — sans jargon juridique inutile.

Le cadre réglementaire du CGP indépendant en 2026

Les casquettes réglementaires du CGPI

Un CGPI indépendant porte en général plusieurs casquettes réglementaires simultanément. Chacune implique des obligations spécifiques :

Activité	Statut requis	Régulateur	Obligations clés
Conseil en investissement financier	CIF (enregistrement ORIAS)	AMF via asso. professionnelle	MIF2, LCB-FT, code de déontologie
Intermédiation en assurance	IAS (inscription ORIAS)	ACPR	DDA, devoir de conseil assurance
Intermédiation en opérations de banque	IOBSP	ACPR	Règles crédit
Transactions immobilières	Carte T ou mandat agent	CCI / préfecture	Loi Hoguet

La première étape de ta mise en conformité : vérifier que tu es bien enregistré pour chaque activité que tu exerces réellement. Des contrôles ACPR ont sanctionné des CGPI qui exerçaient une activité sans le statut correspondant — parfois de bonne foi.

Vérifie ton inscription ORIAS sur orias.fr — la mise à jour annuelle est obligatoire avant le 15 février.

MIF2 : ce qui a vraiment changé

La directive MIF2 (Markets in Financial Instruments Directive) s'applique à ton activité de CIF depuis 2018, mais ses exigences continuent d'évoluer via des mises à jour et précisions de l'AMF.

En 2026, les points de vigilance sont :

1. La documentation du conseil Chaque conseil délivré doit être documenté dans un rapport écrit (le "rapport de suitability") qui démontre :

• Que tu as évalué la situation financière du client
• Que le produit recommandé est adapté à ses objectifs et à sa tolérance au risque
• Que tu as informé des risques et des coûts

2. Les coûts et frais L'obligation de transparence sur les frais est désormais très stricte. Le client doit recevoir, avant toute transaction, un état des coûts totaux incluant tes honoraires ou commissions, les frais du produit, et l'impact agrégé sur le rendement.

3. La politique de gestion des conflits d'intérêts Si tu perçois des rémunérations de producteurs (commissions sur placements), tu dois avoir une politique écrite de gestion des conflits d'intérêts et l'avoir communiquée à tes clients.

4. Les enregistrements MIF2 impose la conservation des enregistrements de communication (emails, courriers, mais aussi notes d'appel) pendant 5 ans minimum.

RGPD : tes obligations concrètes

Pourquoi le RGPD est particulièrement sensible pour les CGP

Les CGP traitent des données parmi les plus sensibles qui soient : situation financière, revenus, patrimoine, situation familiale, projets de vie. Ces données sont une cible privilégiée pour les cyber-attaques et font l'objet d'une surveillance accrue de la CNIL.

En cas de contrôle ou de plainte client, la CNIL vérifie en priorité 5 éléments. Assure-toi de les avoir tous en ordre.

Les 5 éléments RGPD à avoir absolument

1. Le registre des traitements

Obligatoire pour toute entreprise traitant des données personnelles. C'est un document interne qui liste toutes les activités de traitement de données que tu effectues.

Pour un CGP, le registre comprend typiquement :

• Gestion des clients (CRM, dossiers)
• Gestion des prospects et de la prospection
• Comptabilité et facturation
• Gestion des ressources humaines (si tu as des salariés)
• Newsletters et communications marketing

Pour chaque traitement, tu dois documenter : la finalité, les catégories de données traitées, les personnes concernées, la durée de conservation, les sous-traitants impliqués (CRM, hébergeur, etc.), les mesures de sécurité.

Un modèle de registre est disponible gratuitement sur le site de la CNIL.

2. La politique de confidentialité

Affichée sur ton site web, elle doit être claire, complète et à jour. Elle informe les visiteurs et clients de leurs droits : accès, rectification, effacement, portabilité, opposition.

Éléments obligatoires :

• Qui est le responsable du traitement (toi, avec ton SIRET)
• Quelles données tu collectes et pourquoi
• Combien de temps tu les conserves
• Avec qui tu les partages (sous-traitants, partenaires)
• Comment exercer ses droits
• Comment te contacter pour une demande RGPD

3. Les mentions légales de collecte

Sur tout formulaire de collecte de données (contact, simulateur, newsletter), tu dois afficher une mention légale explicite :

• La base légale du traitement (consentement, exécution d'un contrat, intérêt légitime...)
• Le lien vers ta politique de confidentialité complète
• La possibilité de retirer son consentement

4. La gestion des consentements

Pour les communications marketing (newsletter, campagnes email), le consentement doit être :

• Libre (pas une case pré-cochée)
• Éclairé (le client sait à quoi il consent)
• Univoque (une action positive, pas passive)
• Traçable (tu dois pouvoir prouver qu'il a consenti et quand)

Utilise un outil qui conserve automatiquement les preuves de consentement. Brevo (ex-Sendinblue) et Mailchimp le font nativement.

5. Les contrats avec tes sous-traitants

Ton CRM, ton hébergeur, ton outil de signature électronique — tous traitent des données personnelles de tes clients pour ton compte. Tu dois avoir avec chacun d'eux un contrat de traitement de données (ou DPA - Data Processing Agreement) qui formalise leurs obligations RGPD.

La plupart des grands éditeurs (HubSpot, Salesforce, DocuSign) proposent un DPA standard en ligne. Signe-le et conserve-le.

LCB-FT : la lutte contre le blanchiment

Tes obligations LCB-FT en tant que CIF

En tant que CIF, tu es soumis aux obligations de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT). Ces obligations ont été renforcées par la 6ème directive européenne anti-blanchiment.

Ce que tu dois avoir en place :

Procédure de connaissance client (KYC) Avant tout conseil ou transaction, tu dois identifier et vérifier l'identité de ton client. Pour les personnes physiques : pièce d'identité + justificatif de domicile de moins de 3 mois. Pour les personnes morales : extrait Kbis, statuts, identification des bénéficiaires effectifs.

Classification des risques Tu dois classer tes clients selon un niveau de risque (faible, modéré, élevé) et adapter tes mesures de vigilance en conséquence. Les critères : nationalité, source de revenus, nature des transactions, résidence dans un pays à risque.

Déclaration de soupçon Si tu identifies une opération suspecte, tu as l'obligation de la déclarer à Tracfin (la cellule de renseignement financier de Bercy). La déclaration se fait en ligne sur leur portail. Ne pas déclarer est une infraction pénale.

Formation obligatoire Tes collaborateurs (si tu en as) doivent être formés régulièrement aux procédures LCB-FT. Conserve les attestations de formation.

La check-list de conformité complète

Voici la check-list que tu peux utiliser comme audit de ta situation :

Enregistrements et statuts

• [ ] Inscription ORIAS à jour (mise à jour annuelle avant le 15 février)
• [ ] Adhésion à une association professionnelle agréée (ANACOFI, CNCGP, CGPC, La Compagnie des CGP)
• [ ] Attestation d'assurance responsabilité civile professionnelle en cours de validité
• [ ] Garantie financière si tu manipules des fonds clients

Relation client — MIF2

• [ ] Questionnaire de connaissance client (profil d'investisseur) rempli et signé pour chaque client
• [ ] Rapport de suitability pour chaque conseil délivré
• [ ] Document d'entrée en relation (DER) signé par le client
• [ ] Politique de gestion des conflits d'intérêts remise au client
• [ ] État des coûts et frais remis avant toute transaction
• [ ] Contrats de mission ou lettres de mission signés

RGPD

• [ ] Registre des traitements tenu à jour
• [ ] Politique de confidentialité sur ton site web
• [ ] Mentions légales sur tous tes formulaires de collecte
• [ ] Consentements marketing traçables et documentés
• [ ] Contrats de sous-traitance (DPA) signés avec tes prestataires
• [ ] Procédure interne pour répondre aux demandes d'exercice de droits (délai : 1 mois)
• [ ] Procédure de notification en cas de violation de données (délai CNIL : 72h)

LCB-FT

• [ ] Procédure KYC documentée
• [ ] Classification des risques clients
• [ ] Copies des documents d'identité conservées (durée légale : 5 ans après fin de relation)
• [ ] Accès au portail Tracfin activé
• [ ] Formation LCB-FT réalisée (et documentée)

Conservation des documents

• [ ] Archivage des enregistrements de communication (5 ans)
• [ ] Conservation des dossiers clients (5 ans après fin de relation)
• [ ] Sauvegarde sécurisée des données (règle 3-2-1 : 3 copies, 2 supports différents, 1 hors site)

Les erreurs les plus fréquentes

Erreur n°1 : Le consentement implicite pour la newsletter

Beaucoup de CGP ajoutent automatiquement leurs clients dans leur liste de newsletter. C'est illégal sans consentement explicite. Ajoute une case à cocher dans ton formulaire d'entrée en relation.

Erreur n°2 : La politique de confidentialité copiée-collée

Une politique de confidentialité copiée depuis un autre site qui ne correspond pas à tes traitements réels est pire qu'une absence de politique. Elle induit le client en erreur et ne te protège pas en cas de contrôle. Prends le temps de la personnaliser ou fais appel à un juriste (2-3h de consultation suffisent).

Erreur n°3 : Les durées de conservation indéfinies

"Je garde tout indéfiniment" n'est pas conforme au RGPD. Tu dois définir des durées de conservation pour chaque catégorie de données et effectivement supprimer les données obsolètes. Pour les clients inactifs depuis plus de 3 ans, une purge régulière est recommandée.

Erreur n°4 : Négliger la sécurité des données

La CNIL punit les violations de données même quand elles sont involontaires. Tes minimums : antivirus à jour, mots de passe forts (gestionnaire de mots de passe type Bitwarden ou 1Password), chiffrement des emails sensibles, verrouillage automatique de l'ordinateur.

Par où commencer si tu pars de zéro

Si tu dois tout mettre en place, voici l'ordre de priorité :

Semaine 1 — Urgences absolues

• Vérifier et mettre à jour ton inscription ORIAS
• Vérifier que ton assurance RCP est valide et couvre toutes tes activités
• Activer l'accès Tracfin si pas encore fait

Semaine 2-3 — Conformité client

• Créer ou mettre à jour tes modèles de documents MIF2 (DER, questionnaire profil, rapport suitability)
• Créer ta politique de confidentialité
• Ajouter les mentions légales sur ton site et tes formulaires

Semaine 4 — Processus internes

• Rédiger ton registre des traitements
• Signer les DPA avec tes principaux sous-traitants
• Mettre en place un processus de demande d'exercice de droits

La conformité n'est pas un projet qu'on fait une fois pour toutes — c'est une routine. Plan une revue annuelle de ta conformité chaque janvier, en même temps que le renouvellement ORIAS.

---

Découvre comment structurer et développer ton cabinet sur l'espace professionnels. Pour comprendre les opportunités commerciales du dispositif Jeanbrun, consulte notre guide complet et teste les simulations sur notre simulateur.