Structurez votre assurance-vie luxembourgeoise avec un expert
Triangle de sécurité, fonds dédiés, fiscalité internationale, architecture ouverte : nous vous aidons à choisir le bon cadre luxembourgeois selon votre patrimoine et votre mobilité.
Votre Interlocuteur Sur Ce Sujet
Quentin Hagnéré
CGP indépendant spécialisé en assurance-vie luxembourgeoise
Quentin Hagnéré accompagne les épargnants mobiles, dirigeants et familles patrimoniales sur la mise en place de contrats luxembourgeois adaptés à leurs objectifs fiscaux, successoraux et financiers.
Sommaire
- 1. Le RGPD s'applique-t-il à votre contrat luxembourgeois ?
- 2. Vos 6 droits sur vos données personnelles
- 3. La base légale du traitement (article 6)
- 4. RGPD ≠ anonymat fiscal : le point qui change tout
- 5. Combien de temps vos données sont-elles conservées ?
- 6. La CNPD, votre autorité de contrôle
- 7. Transferts de données hors de l'Union
- 8. Le RGPD, 3e pilier de la sécurité juridique
- 9. Comment exercer vos droits en 5 étapes
- FAQ — 8 questions fréquentes
Deux questions s'emmêlent dès qu'on parle de données et d'assurance vie luxembourgeoise. La première : « que fait l'assureur de mes informations, et quels sont mes droits ? » La seconde, plus fantasmée : « est-ce que le Luxembourg me met à l'abri du fisc ? » La réponse à la première est rassurante ; la réponse à la seconde est un noncatégorique. Et les deux tiennent dans un même texte : le RGPD.
Le Règlement général sur la protection des données — le Règlement (UE) 2016/679— protège vos données personnelles partout dans l'Union. Il s'applique donc à votre contrat luxembourgeois comme à un contrat français, avec les mêmes droits et une autorité de contrôle dédiée. Mais protéger des données n'a jamais signifié organiser un anonymat. Le RGPD encadre la façon dont on traite vos informations ; il n'empêche en rien l'assureur de déclarer votre contrat au fisc.
Mettez deux chiffres face à face. D'un côté, votre protection : un assureur qui maltraite vos données s'expose à une amende pouvant atteindre 20 millions d'euros ou 4 % de son chiffre d'affaires mondial(art. 83 du RGPD). De l'autre, votre obligation : « oublier » de déclarer votre contrat luxembourgeois vous coûte 1 500 € d'amende par contratet par an (art. 1766 du CGI). Confidentialité solide d'un côté, transparence fiscale sans échappatoire de l'autre : tout ce guide tient dans cette tension.
Je suis Quentin Hagnéré, conseiller en gestion de patrimoine, CIF ORIAS 23002291, dirigeant du cabinet Hagnéré Patrimoine. Dans ce guide, je pose ce que le RGPD vous garantit concrètement, la base légale qui autorise l'échange fiscal, et pourquoi la confidentialité d'un contrat luxembourgeois n'est pas une cape d'invisibilité.
À retenir en 30 secondes
- Le RGPD (Règlement (UE) 2016/679) s'applique pleinementau contrat luxembourgeois : l'assureur est responsable de traitement, la LPS n'y change rien.
- Vous disposez de 6 droits (accès, rectification, effacement sous réserves, limitation, portabilité, opposition), avec une réponse sous 1 mois.
- L'autorité de contrôle est la CNPDluxembourgeoise (pas la CNIL), avec des sanctions jusqu'à 20 M€ / 4 %du chiffre d'affaires (art. 83).
- Aucun droit ne vous rend anonymeface au fisc : le CRS et le formulaire 3916 restent obligatoires. Confidentialité ≠ anonymat.
Avertissement
Le RGPD s'applique-t-il à votre contrat luxembourgeois ?
Oui, sans réserve. Le RGPD est un règlement européen— pas une directive à transposer — donc un texte d'application directe et uniforme dans les 27 États membres. La compagnie d'assurance luxembourgeoise est établie dans l'Union et traite les données d'un souscripteur résident dans l'Union : elle est responsable de traitementau sens du RGPD, et vous êtes la « personne concernée ».
Le fait que l'assureur commercialise en France en libre prestation de services (le passeport européen de Solvabilité II) n'y change rien : où que vous résidiez dans l'Union, vos données bénéficient exactement de la même protection qu'avec un contrat français. C'est la première chose que je dis à mes clients : souscrire au Luxembourg ne vous fait perdre aucun droit sur vos données.
Qui fait quoi dans le traitement de vos données
- La compagnie luxembourgeoise(OneLife, Wealins, Lombard International…) : responsable de traitement principal, elle gère l'essentiel de vos données contractuelles.
- La banque dépositaire : elle conserve les actifs cantonnés du contrat et traite les données liées à la tenue de compte-titres.
- Votre conseiller (CGP) en France : intermédiaire d'assurance, il traite vos données au titre du devoir de conseil et relève, côté français, de la CNIL.
Une fois posé qui traite vos données, la vraie question devient : que pouvez-vous exiger ?
Vos 6 droits sur vos données personnelles
Le chapitre III du RGPD (articles 12 à 22) vous confère une série de droits concrets, opposables à l'assureur. Le responsable de traitement doit répondre à votre demande dans un délai d'un mois(art. 12(3)), prolongeable de deux mois pour les demandes complexes. Passons-les en revue, avec la limite propre à chacun sur un contrat d'assurance vie.
| Droit | Article | Ce que vous demandez | Limite sur une AVL |
|---|---|---|---|
| Accès | Art. 15 | Une copie des données traitées sur vous | Aucune : droit large |
| Rectification | Art. 16 | Corriger une donnée inexacte ou incomplète | Aucune |
| Effacement | Art. 17 | Supprimer vos données (« droit à l'oubli ») | Neutralisé pour les données légales (art. 17(3)(b)) |
| Limitation | Art. 18 | Geler temporairement un traitement contesté | Possible, sauf conservation légale |
| Portabilité | Art. 20 | Récupérer vos données dans un format réutilisable | Limité aux traitements sur contrat/consentement (art. 20(1)) |
| Opposition | Art. 21 | Vous opposer à un traitement (ex. prospection) | Sans effet sur les traitements légaux obligatoires |
Au-delà des six droits : deux protections souvent ignorées
- Le droit à l'information(art. 13 et 14) : dès la souscription, l'assureur doit vous remettre une notice de protection des donnéesprécisant les finalités, les bases légales, les durées de conservation et les coordonnées du DPO. C'est le document à lire en premier.
- Le droit face aux décisions automatisées(art. 22) : vous ne pouvez pas faire l'objet d'une décision produisant des effets juridiques fondée uniquement sur un traitement automatisé (scoring, profilage), sans intervention humaine — une garantie utile face à la digitalisation de la souscription.
Cas pratique — Hélène, 63 ans, exerce son droit d'accès
Hélène, retraitée, détient depuis six ans un contrat luxembourgeois. Elle veut savoir précisément quelles informations son assureur détient sur elle. Elle adresse une demande d'accès (art. 15) écrite au délégué à la protection des données de la compagnie. Sous un mois, elle reçoit une copie de ses données : identité, coordonnées, données du contrat, historique des versements et arbitrages, éléments de connaissance client et origine des fonds. Rien de sorcier — c'est un droit, et il fonctionne aussi bien avec un assureur luxembourgeois qu'avec une banque française.
Deux de ces droits (effacement et portabilité) sont assortis de limites importantes. Pour les comprendre, il faut regarder pourquoil'assureur traite vos données : la base légale.
La base légale du traitement : l'article 6, clé de tout
Le RGPD interdit tout traitement de données qui ne repose pas sur une base légale. Son article 6 en énumère plusieurs. Pour une assurance vie luxembourgeoise, l'assureur s'appuie sur quatre d'entre elles, selon la finalité.
| Base légale | Article | Finalité pour l'AVL |
|---|---|---|
| Exécution du contrat | Art. 6(1)(b) | Gérer versements, arbitrages, rachats, dénouement |
| Obligation légale | Art. 6(1)(c) | KYC / LCB-FT et déclarations fiscales CRS, FATCA |
| Intérêt légitime | Art. 6(1)(f) | Sécurité, lutte contre la fraude, gestion des risques |
| Consentement | Art. 6(1)(a) | Prospection commerciale, newsletters (révocable) |
La clé : l'article 6(1)(c)
C'est cette ligne qui démonte le fantasme de l'anonymat. Lorsque l'assureur déclare votre contrat au fisc via le CRS, ou qu'il conserve vos justificatifs anti-blanchiment, il agit au titre d'une obligation légale (art. 6(1)(c)). Le RGPD ne l'interdit pas : il l'autoriseet l'encadre. Mieux : l'article 23 permet expressément au droit national de limiter certains de vos droitspour préserver les intérêts budgétaires, fiscaux et la prévention des infractions. Autrement dit, la loi a prévu que le fiscal et l'anti-blanchiment priment sur votre droit d'opposition ou d'effacement.
Impossible, donc, de « retirer votre consentement » au traitement fiscal : il ne repose pas sur votre consentement, mais sur la loi. Le détail des obligations anti-blanchiment est développé dans notre guide LCB-FT et assurance vie luxembourgeoise. Et c'est précisément là que se joue le vrai malentendu.
RGPD ≠ anonymat fiscal : le point qui change tout
C'est le malentendu numéro un, et il faut le dissiper sans détour : le RGPD ne vous rend pas anonyme vis-à-vis du fisc. Trois notions se télescopent en permanence — la protection des données, le secret professionnel et l'anonymat fiscal. Or la troisième n'existe tout simplement pas.
| Notion | Ce qu'elle recouvre | Vous rend anonyme face au fisc ? |
|---|---|---|
| Protection des données (RGPD) | Encadre l'usage de vos données, vous ouvre 6 droits | Non |
| Secret professionnel (art. 300) | Interdit à l'assureur de parler aux tiers privés | Non |
| Anonymat fiscal | Le fisc ignore que vous détenez le contrat | Inexistant |
Le RGPD protège l'usage de vos données ; le secret professionnel de l'assureur vous protège des tiers privés(banque, employeur, créancier, entourage). Ni l'un ni l'autre ne crée d'opacité fiscale. Au contraire : l'assureur déclare automatiquement votre contrat au fisc français via le CRS (FATCA ne visant, lui, que les « US persons », vers l'administration fiscale américaine), et vous le déclarez vous-même chaque année sur le formulaire 3916 (art. 1649 AA du CGI). Le panorama complet de ces échanges est détaillé dans notre guide du cadre fiscal européen.
Cas pratique — Bernard, 68 ans, et l'effacement impossible
Bernard demande à son assureur d'effacer ses données, dans l'espoir que son contrat « disparaisse » des échanges CRS. Refus légitime, et parfaitement fondé : le droit à l'effacement ne s'applique pasaux données soumises à une obligation légale (art. 17(3)(b)). L'assureur doit conserver les données KYC cinq ans et déclarer le contrat au fisc. Aucune demande RGPD ne peut faire échec à cette obligation. À retenir : le RGPD est un bouclier de vie privée, pas un outil d'évasion.
Confidentiel n'est pas anonyme
Votre contrat luxembourgeois est confidentiel (protégé face aux tiers) et transparent (déclaré au fisc). Ce n'est pas une contradiction, ce sont les deux faces d'un produit moderne et légal. Chercher à s'en servir pour dissimuler un avoir relève de la fraude fiscale et expose à de lourdes sanctions — un point que nous refusons catégoriquement d'accompagner chez Hagnéré Patrimoine.
Un contrat luxembourgeois structuré dans les règles
Protection de vos données, déclaration fiscale correcte, clause bénéficiaire discrète : nous vous aidons à tirer du contrat luxembourgeois ce qu'il apporte réellement — sécurité des actifs (super-privilège illimité, vs 70 000 € garantis en France), multidevises et clause bénéficiaire sur mesure, jamais un pseudo-anonymat fiscal. Bilan offert, 30 minutes avec un CGP.
Combien de temps vos données sont-elles conservées ?
Le RGPD (art. 5(1)(e)) pose un principe de limitation de la conservation : on ne garde les données que le temps nécessaire à la finalité. Mais le règlement ne fixe pas de durée chiffrée unique : il renvoie aux prescriptions sectorielles. Pour une assurance vie, cela donne des durées précises, encadrées par d'autres textes.
| Type de donnée | Durée | Fondement |
|---|---|---|
| Connaissance client (KYC / LCB-FT) | 5 ans après la fin de la relation d'affaires | Loi luxembourgeoise du 12 novembre 2004 |
| Données du contrat | Jusqu'à 30 ans après le décès de l'assuré | Prescription de l'action du bénéficiaire |
| Alerte fraude « pertinente » | 5 ans maximum après clôture du dossier | Référentiels CNIL |
| Prospection (consentement) | Jusqu'au retrait du consentement | RGPD art. 6(1)(a) |
Ces durées expliquent pourquoi l'assureur ne peut pas « tout effacer » à la clôture du contrat : il reste tenu par des obligations de conservation. Les documents remis à la souscription (notice de protection des données incluse) détaillent ces durées — voir notre guide sur les documents de souscription. Mais que se passe-t-il si l'assureur ne respecte pas ces durées, ou si vos données fuitent ? C'est là qu'intervient une autorité de contrôle — et ce n'est pas celle que vous croyez.
La CNPD, votre autorité de contrôle (pas la CNIL)
En France, on connaît la CNIL. Mais pour une compagnie établie au Luxembourg, l'autorité compétente est la CNPD — Commission nationale pour la protection des données. Elle exerce ses pouvoirs au titre de la loi luxembourgeoise du 1er août 2018, qui met en œuvre le RGPD et organise l'autorité.
Pourquoi la CNPD et pas la CNIL ? Le RGPD organise un guichet unique(art. 56 et 60) : l'autorité « chef de file » est celle de l'établissement principaldu responsable de traitement. Pour un assureur luxembourgeois, c'est le Luxembourg. Les autorités coopèrent ensuite entre elles : en pratique, vous pouvez saisir la CNIL, qui transmettra à la CNPD si nécessaire.
CNPD vs CNIL : qui pour quoi ?
- CNPD (Luxembourg) : autorité chef de file pour la compagnie d'assurance luxembourgeoise.
- CNIL (France) : compétente pour le traitement réalisé par votre conseiller ou distributeur français, et point d'entrée pratique pour un résident français.
- Sanctions (art. 83) : jusqu'à 10 M€ ou 2 %du chiffre d'affaires mondial (palier 1), et jusqu'à 20 M€ ou 4 % (palier 2, pour la violation des droits des personnes).
Vous exercez toujours vos droits d'abord auprès de l'assureur(via son DPO). La saisine de l'autorité n'intervient qu'en cas de litige.
Aller plus loin — et si vos données fuitent ?
Le RGPD anticipe le pire. En cas de violation de données(piratage, fuite, perte), l'assureur doit la notifier à la CNPD dans les 72 heures (art. 33) et, lorsque la fuite présente un risque élevé pour vous, vous en informer sans délai(art. 34). Vous n'êtes donc pas seulement titulaire de droits « à la demande » : la loi impose à l'assureur une obligation active de transparence à votre égard.
Transferts de vos données hors de l'Union : ce que dit le RGPD
Un client m'a posé la question récemment : « Mes relevés vont-ils atterrir sur un serveur américain ? » La réponse tient dans le chapitre V du RGPD (articles 44 à 49), qui encadre strictementtout transfert vers un pays tiers. Un tel transfert n'est possible que sous conditions : décision d'adéquation de la Commission européenne (le pays offre un niveau de protection équivalent), clauses contractuelles types, ou dérogations limitées de l'article 49.
En pratique, pour une AVL
La compagnie luxembourgeoise et la banque dépositaire sont établies dans l'Union européenne : l'essentiel de vos données y reste hébergé et traité, sans transfert hors UE. Si un prestataire technique (informatique, gestion) devait intervenir depuis un pays tiers, le RGPD impose les garanties ci-dessus. La notice de protection des données de votre contrat précise ces éventuels transferts : c'est un point à vérifier à la souscription, aux côtés de l'architecture d'investissement du contrat.
Le RGPD, 3e pilier de la sécurité juridique du contrat
Le RGPD n'est qu'une pièce du dispositif. Trois textes européens se répartissent la protection du souscripteur d'assurance vie luxembourgeoise, chacun sur son terrain.
| Pilier | Texte | Ce qu'il protège |
|---|---|---|
| Distribution & conseil | DDA — Directive (UE) 2016/97 | Devoir de conseil, adéquation, information produit |
| Marchés & investissement | MiFID II — Directive 2014/65/UE (via IBIPs) | Adéquation des UC, transparence des coûts |
| Données personnelles | RGPD — Règlement (UE) 2016/679 | Usage de vos données, vos 6 droits, CNPD |
La DDA encadre la façon dont on vous conseille ; les exigences de MiFID II sont retransposées aux unités de compte (régime des IBIPs) ; le RGPD protège vos données. Trois textes distincts, mais une logique commune : vous ne signez jamais seul face à l'assureur — le conseil, l'adéquation des supports et l'usage de vos données sont tous encadrés.
Données protégées, actifs protégés : deux sujets distincts
Attention à ne pas confondre la protection de vos données (RGPD) et la protection de vos actifs. Cette dernière repose sur le triangle de sécurité (compagnie / banque dépositaire qui cantonne les actifs / Commissariat aux Assurances) et sur le super-privilège (art. 118 de la loi du 7 décembre 2015) : le souscripteur est créancier de premier rang, avec une protection illimitée, là où le fonds de garantie français est plafonné à 70 000 €. Ce sont ces atouts — sécurité, multidevises, architecture ouverte — qui font le vrai intérêt du contrat luxembourgeois, pas un quelconque avantage fiscal.
Un rappel utile : pour un résident fiscal français, la fiscalité d'un contrat luxembourgeois est strictement identiqueà celle d'un contrat français (mêmes règles de rachat, mêmes articles 990 I et 757 B, mêmes prélèvements sociaux de 17,2 %). Aucun avantage de barème ; la sécurité juridique, en revanche, est d'un tout autre niveau.
Comment exercer vos droits en 5 étapes
En pratique, comment fait Hélène si elle veut corriger son adresse ou récupérer son historique ? Cinq étapes suffisent — la même procédure que face à une banque française.
| Étape | Action |
|---|---|
| 1. Identifier le droit | Choisir le droit visé (accès, rectification, effacement…) et vérifier qu'il n'est pas neutralisé par une obligation légale |
| 2. Contacter le DPO | Écrire au délégué à la protection des données de la compagnie (coordonnées dans la notice), avec une preuve d'identité |
| 3. Attendre 1 mois | Le responsable doit répondre sous 1 mois (art. 12(3)), prolongeable de 2 mois pour les demandes complexes |
| 4. Saisir l'autorité | En cas de refus non justifié ou de silence : réclamation auprès de la CNPD (ou de la CNIL en France) |
| 5. Se faire accompagner | Un CGP vous aide à formuler la demande et à sécuriser votre conformité fiscale (3916) |
3 réflexes à garder en tête
- Une demande d'effacement portant sur des données KYC ou fiscales sera légitimement refusée : ce n'est pas un dysfonctionnement.
- Retirer votre consentement marketingest un droit ; cela n'efface ni le contrat, ni les déclarations fiscales.
- Le RGPD ne dispense jamais de la déclaration annuelle du contrat étranger (formulaire 3916). En cas de doute sur un contrôle fiscal, votre conseiller est votre premier appui.
L'essentiel à retenir
- Le RGPD (Règlement (UE) 2016/679)s'applique à votre contrat luxembourgeois comme à un contrat français : 6 droits, une réponse sous 1 mois, une autorité dédiée (la CNPD).
- L'assureur traite vos données sur une base légale(art. 6) : souvent l'exécution du contrat et l'obligation légale (KYC, fiscal) — que vous ne pouvez ni « retirer » ni effacer.
- Confidentialité ≠ anonymat : le CRS et le formulaire 3916 restent dus. Le RGPD protège votre vie privée, il n'organise aucune évasion.
Hélène a obtenu la copie de ses données ; Bernard s'est vu refuser un effacement — les deux réponses sont parfaitement normales. Un contrat luxembourgeois bien tenu, c'est exactement cela : des données protégées face aux tiers, et une case 3916 cochée chaque printemps. C'est la ligne que je tiens avec chaque client du cabinet Hagnéré Patrimoine.

