1,75 millions d’euros d’amende pour manquement aux obligations relatives aux durées de conservation des données et à l’information des personnes :

 La sanction assurément salée de la CNIL contre AG2R LA MONDIALE

Le 22 juillet dernier, la CNIL rendait publique cette sanction exceptionnelle prononcée par sa formation restreinte à l’encontre de la Société de groupe d’assurance mutuelle (SGAM) « AG2R LA MONDIALE ».

Cette entité assure environ 15 millions de personnes en France. Elle collecte auprès d’eux autant de données à caractère personnel au motif que « Bien vous connaître, c’est bien vous assurer », selon le slogan adopté par la Fédération Française de l’Assurance.

Pour autant, cette intention louable ne saurait placer ces organismes d’assurance au-dessus des règles fondamentales en matière de protection des données, ce que rappelle la CNIL dans sa délibération du 20 juillet 2021.

(à retrouver en intégralité sur : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000043829617?isSuggest=true)

  • Sur le manquement à l’obligation de limiter la durée de conservation des données

L’article 5 1° e) du RGPD impose de ne conserver des données à caractère personnel que pour une « durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

A ce sujet, la CNIL a émis ses propres recommandations concernant le secteur spécifique de l’assurance.

Elle distingue :

  • Les données à caractère personnel des prospects d’une part,

Qui peuvent être conservées pour une durée de trois années à compter du dernier contact positif avec la personne concernée (envoi ou réponse à un mail, ouverture d’une page internet par le biais d’un lien envoyé, etc.).

  • Les données à caractère personnel des clients d’autre part,

Dont les durées de conservation tolérées varient selon le type de contrat (accidents et risques, épargne, retraite supplémentaire ou prévoyance par exemple) et selon les obligations légales auxquelles sont soumis les organismes d’assurance (notamment les délais de prescription prévus par le Code des assurances et le Code du commerce).

Si le référentiel défini par AG2R LA MONDIALE fixait les durées de conservation des données conformément à ces préconisations, un contrôle sur place de la CNIL révélait que cette politique interne n’était pas concrètement mise en œuvre au sein de ses systèmes d’information.

Autrement dit, tout était beau sur le papier mais bien moins en pratique…

En réalité, les données de près de 3 500 prospects n’ayant plus eu de lien avec la société depuis trois voire cinq années étaient encore présentes dans l’application dédiée à la prospection commerciale d’AG2R LA MONDIALE.

Quant aux clients de l’assureur, les données personnelles de millions d’entre eux ont été conservées au-delà des délais fixés par les dispositions légales applicables, ou sans que AG2R LA MONDIALE ait été en capacité de justifier de telles durées de conservation (parfois supérieures à 30 ans et concernant des données particulières ou sensibles : identité, coordonnées bancaires, santé, etc.).

  • Sur le manquement à l’obligation d’information des personnes

Les articles 13 et 14 du RGPD imposent de fournir aux personnes concernées différentes informations concernant la collecte de leurs données personnelles et le traitement ultérieur qui en sera fait : finalité du traitement, base juridique, identité et coordonnées du responsable de traitement, catégories de données recueillies, ses droits en matière de protection de ses données, destinataires des données, etc.

Or, le contrôle opéré par la CNIL au sein de la société AG2R LA MONDIALE a révélé de nombreux manquements à ce sujet, commis par deux de ses sous-traitants en charge d’une partie de ses opérations de prospection téléphonique.

Pour rappel, le responsable de traitement (ici AG2R LA MONDIALE) est tenu de s’assurer du respect des règles de sécurité et de confidentialité des données traitées par ses sous-traitants.

Les deux sociétés délégataires s’abstenaient d’indiquer aux personnes démarchées que leurs appels étaient susceptibles d’être enregistrés et qu’elles avaient la possibilité de s’opposer à cet enregistrement.

Les clients et prospects concernés n’étaient d’ailleurs pas informés des caractéristiques du traitement de leurs données personnelles envisagé, ni de leurs autres droits.

Ils n’étaient pas davantage mis en mesure d’obtenir ces informations ultérieurement (par renvoi vers un site internet, une boîte vocale ou par l’envoi d’un e-mail par exemple).

MAIS SURTOUT…

Si la CNIL indique avoir pris bonne note des démarches entreprises par AG2R LA MONDIALE avant la date de sa délibération (suppression de données de clients, processus d’anonymisation…), elle estime que les manquements relevés en termes de conservation de données et d’information des personnes étaient caractérisés lors de son contrôle sur place.

Elle justifie ainsi la sévérité de l’amende prononcée, faisant fi des rectifications apportées depuis par AG2R LA MONDIALE.

Cette décision s’inscrit dans le sens des nouvelles positions de la CNIL, qui tend à mettre fin aux tolérances souvent octroyées aux entreprises.

La Commission envoie ici un message clair : elle peut s’attaquer au portefeuille des sociétés incapables de justifier de leur mise en conformité, ce même sans les avoir préalablement mises en demeure de corriger leurs pratiques.

Finies les secondes chances donc !

Outre l’impact financier de ces contrôles, la publication des sanctions prises par la CNIL affecte la réputation de votre entreprise

Depuis plus de 15 ans, RGPD-Experts accompagnent les organismes dans leurs démarches de conformité en s’appuyant sur son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivez et démontrez votre conformité à l’autorité de contrôle. Notre mission, vous simplifier le développement de vos activités sereinement et vous permettre d’accroître votre CA.

Par LH