1,75 millions d’euros d’amende pour manquement aux obligations relatives aux durées de conservation des données et à l’information des personnes :

 La sanction assurément salée de la CNIL contre AG2R LA MONDIALE

Le 22 juillet dernier, la CNIL rendait publique cette sanction exceptionnelle prononcée par sa formation restreinte à l’encontre de la Société de groupe d’assurance mutuelle (SGAM) « AG2R LA MONDIALE ».

Cette entité assure environ 15 millions de personnes en France. Elle collecte auprès d’eux autant de données à caractère personnel au motif que « Bien vous connaître, c’est bien vous assurer », selon le slogan adopté par la Fédération Française de l’Assurance.

Pour autant, cette intention louable ne saurait placer ces organismes d’assurance au-dessus des règles fondamentales en matière de protection des données, ce que rappelle la CNIL dans sa délibération du 20 juillet 2021.

(à retrouver en intégralité sur : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000043829617?isSuggest=true)

  • Sur le manquement à l’obligation de limiter la durée de conservation des données

L’article 5 1° e) du RGPD impose de ne conserver des données à caractère personnel que pour une « durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

A ce sujet, la CNIL a émis ses propres recommandations concernant le secteur spécifique de l’assurance.

Elle distingue :

  • Les données à caractère personnel des prospects d’une part,

Qui peuvent être conservées pour une durée de trois années à compter du dernier contact positif avec la personne concernée (envoi ou réponse à un mail, ouverture d’une page internet par le biais d’un lien envoyé, etc.).

  • Les données à caractère personnel des clients d’autre part,

Dont les durées de conservation tolérées varient selon le type de contrat (accidents et risques, épargne, retraite supplémentaire ou prévoyance par exemple) et selon les obligations légales auxquelles sont soumis les organismes d’assurance (notamment les délais de prescription prévus par le Code des assurances et le Code du commerce).

Si le référentiel défini par AG2R LA MONDIALE fixait les durées de conservation des données conformément à ces préconisations, un contrôle sur place de la CNIL révélait que cette politique interne n’était pas concrètement mise en œuvre au sein de ses systèmes d’information.

Autrement dit, tout était beau sur le papier mais bien moins en pratique…

En réalité, les données de près de 3 500 prospects n’ayant plus eu de lien avec la société depuis trois voire cinq années étaient encore présentes dans l’application dédiée à la prospection commerciale d’AG2R LA MONDIALE.

Quant aux clients de l’assureur, les données personnelles de millions d’entre eux ont été conservées au-delà des délais fixés par les dispositions légales applicables, ou sans que AG2R LA MONDIALE ait été en capacité de justifier de telles durées de conservation (parfois supérieures à 30 ans et concernant des données particulières ou sensibles : identité, coordonnées bancaires, santé, etc.).

  • Sur le manquement à l’obligation d’information des personnes

Les articles 13 et 14 du RGPD imposent de fournir aux personnes concernées différentes informations concernant la collecte de leurs données personnelles et le traitement ultérieur qui en sera fait : finalité du traitement, base juridique, identité et coordonnées du responsable de traitement, catégories de données recueillies, ses droits en matière de protection de ses données, destinataires des données, etc.

Or, le contrôle opéré par la CNIL au sein de la société AG2R LA MONDIALE a révélé de nombreux manquements à ce sujet, commis par deux de ses sous-traitants en charge d’une partie de ses opérations de prospection téléphonique.

Pour rappel, le responsable de traitement (ici AG2R LA MONDIALE) est tenu de s’assurer du respect des règles de sécurité et de confidentialité des données traitées par ses sous-traitants.

Les deux sociétés délégataires s’abstenaient d’indiquer aux personnes démarchées que leurs appels étaient susceptibles d’être enregistrés et qu’elles avaient la possibilité de s’opposer à cet enregistrement.

Les clients et prospects concernés n’étaient d’ailleurs pas informés des caractéristiques du traitement de leurs données personnelles envisagé, ni de leurs autres droits.

Ils n’étaient pas davantage mis en mesure d’obtenir ces informations ultérieurement (par renvoi vers un site internet, une boîte vocale ou par l’envoi d’un e-mail par exemple).

MAIS SURTOUT…

Si la CNIL indique avoir pris bonne note des démarches entreprises par AG2R LA MONDIALE avant la date de sa délibération (suppression de données de clients, processus d’anonymisation…), elle estime que les manquements relevés en termes de conservation de données et d’information des personnes étaient caractérisés lors de son contrôle sur place.

Elle justifie ainsi la sévérité de l’amende prononcée, faisant fi des rectifications apportées depuis par AG2R LA MONDIALE.

Cette décision s’inscrit dans le sens des nouvelles positions de la CNIL, qui tend à mettre fin aux tolérances souvent octroyées aux entreprises.

La Commission envoie ici un message clair : elle peut s’attaquer au portefeuille des sociétés incapables de justifier de leur mise en conformité, ce même sans les avoir préalablement mises en demeure de corriger leurs pratiques.

Finies les secondes chances donc !

Outre l’impact financier de ces contrôles, la publication des sanctions prises par la CNIL affecte la réputation de votre entreprise

Depuis plus de 15 ans, RGPD-Experts accompagnent les organismes dans leurs démarches de conformité en s’appuyant sur son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivez et démontrez votre conformité à l’autorité de contrôle. Notre mission, vous simplifier le développement de vos activités sereinement et vous permettre d’accroître votre CA.

Par LH

La plateforme de prise de rendez-vous, recommandée par le gouvernement français, a reconnu utiliser des cookies transmettant notamment les mots-clés recherchés des utilisateurs allemands pour mesurer l’efficacité d’une campagne marketing. Elle assure qu’aucune donnée de santé n’a été concernée.

La société Doctolib, société de droit français, est soumise au RGPD comme toutes entreprises européennes. Elle se doit de respecter le Règlement Européen des utilisateurs dont elle traite les données.

Doctolib nous dit ne pas avoir transmis de données de santé à Facebook et Oubrain. Le paragraphe relevé dans l’article des échos nous dit l’inverse.

« Ces informations, transmises sous forme d’URL, contenaient notamment la retranscription des recherches effectuées par les utilisateurs allemands sur la plateforme. Pouvaient apparaître la spécialité médicale recherchée (neurologue, psychologue, etc.), mais aussi l’adresse IP – le numéro d’identification unique – de l’appareil utilisé. »

On y retrouve les détails suivants : spécialité médicale et adresse IP. Le croisement de ces deux données permet d’en déduire pour une personne une pathologie potentielle en fonction de la spécialité du praticien. (Une adresse IP est une donnée à caractère personne)

La direction de Doctolib nous fait remarquer :´

« Il s’agissait de cookies génériques ne collectant que des informations standards […] et en aucun cas des données de santé », précise-t-elle, les mots-clés recherchés par les utilisateurs n’étant pas considérés légalement comme des données de santé. »

Ce qui est en contradiction avec les informations venues d’Allemagne.  (Cf : premier paragraphe). Contrairement à la communication de Doctolib. Malheureusement Doctolib, semble ne pas avoir bien intégré que la définition d’une donnée de santé est très large et que la réalité du terrain démontre que les données transmises par les cookies sont belles et bien des données sensibles au titre de l’article 9 du RGPD.

Concernant le dépôt de cookies, là encore la plateforme précise dans son communiqué :

«Avoir agi en totale conformité avec le RGPD », puisque l’accord était demandé à l’utilisateur, mais reconnaît qu’il est complexe pour les utilisateurs de comprendre clairement l’impact de leur consentement à un cookie. Pour cette raison, Doctolib « a pris la décision de stopper toute utilisation de cookies marketing externes sur nos services en Allemagne » et précise s’être assuré que les données concernées ont bien été supprimées par Facebook et Outbrain. »

Pourquoi avoir décidé de stopper suite à cette diffusion en Allemagne et ne pas avoir mis de cookie en France ?

Doctolib assure « Nous n’utilisons aucun cookie externe sur note site en Français comme sur nos applications mobiles et n’en utiliserons jamais ».

Sans doute par ce qu’en France les exigences de la CNIL en matière de cookie font que cela serait bel et bien jugé comme non conforme. Sans doute est-il bon de rappeler à Doctolib qu’ en tant qu’Autorité chef de file, suite à des plaintes déposées en Allemagne, c’est la CNIL qui sera chargée d’effectuer les contrôles nécessaires.

Au final Doctolib a décidé de ne plus déposer de cookie en Allemagne, pour nos beaux yeux sans doute ?

« Pour cette raison, Doctolib « a pris la décision de stopper toute utilisation de cookies marketing externes sur nos services en Allemagne » et précise s’être assuré que les données concernées ont bien été supprimées par Facebook et Outbrain. »

Nous rappelons également à Doctolib que c’est au responsable de traitement de prouver que toutes les mesures techniques et organisationnelles ont été mises en œuvre afin de sécuriser et transférer les données. Le simple fait de dire s’être assuré n’est pas en soi une preuve de la réelle destruction des données. Mais plus grave encore, transmettre des données santé ou pas à Facebook n’est pas conforme depuis l’arrêt Shrems 2 du 16 juillet 2020, quand bien même ces données seraient stockées en Europe. La loi FISA américaine permettant aux agences fédérales américaines (donc à l’État américain) de réclamer toutes les données qu’ils veulent et en exigeant de la part des sociétés le silence absolu sur la demande faite.

Nous terminerons en rappelant que les données de prise de RDV de vaccination Covid 19 sont traitées en partie par Doctolib. Je vous laisse évaluer le bien-fondé de passer par une société qui réalise son chiffre d’affaires avec vos données y compris de santé.