Sanction de 1,75 millions d’euros pour manquements aux obligations relatives aux durées de conservation et à l’information des personnes

Délibération de la formation restreinte n°SAN-2021-010 du 20 juillet 2021 concernant la société SGAM AG2R LA MONDIALE

Dans une délibération du 20 juillet 2021, la société AG2R LA MONDIALE a été condamnée à une amende de 1,75 millions d’euros pour avoir manqué à ses obligations en matière de durée de conservation et d’informations des personnes.

La Commission nationale de l’informatique et des libertés a infligé à la société d’assurance AG2R LA MONDIALE une amende de 1,75 millions pour non-respect du Règlement général sur la protection des données (« RGPD ») et plus précisément pour avoir manqué à ses obligations relatives aux durées de conservation des données à caractère personnel et à l’information des personnes concernées.

Cette sanction intervient après une procédure de contrôle sur place initiée en 2019 par une délégation de la CNIL. La procédure visait à étudier la conformité aux dispositions du RGPD de l’activité de la société d’assurance et plus particulièrement des traitements des données à caractère personnel de ses clients et prospects. A l’issue de ce contrôle et de l’instruction des éléments communiqués par la société AG2R LA MONDIALE, la formation restreinte de la CNIL s’est réunie le 17 juin 2021 aux fins de délibérer.

Dans une délibération en date du 20 juillet 2021, la CNIL a considéré que la société d’assurance avait manqué à son obligation de conserver les données à caractère personnel pendant une durée limitée et à son obligation d’informer les personnes concernées.

Sur la durée de conservation

Concernant l’obligation de conserver les données personnelles pendant une durée limitée, la formation restreinte de la CNIL a constaté que la société avait mis en place un référentiel relatif aux durées de conservation concernant les données des clients et des prospects.

Ce référentiel prévoyait une durée de conservation maximale des données à caractère personnel des prospects de trois ans après l’enregistrement en base de données ou le dernier contact à l’initiative du prospect.

S’il a été estimé que la durée définie pour les prospects était proportionnée et conforme aux recommandations de la CNIL, la formation restreinte a cependant constaté que cette durée n’avait pas été implémentée dans le système d’information de la société.

S’agissant de la conservation des données des clients, la formation restreinte a relevé que la société ne respectait pas les durées de conservation imposées au secteur de l’assurance. La CNIL a estimé que les données de plus de deux millions de clients, collectées dans le cadre des contrats de santé, ont été conservées pendant des durées excessives (supérieures à la durée légale de cinq ans suivant la résiliation du contrat).

Si des mesures ont été prises immédiatement par la société d’assurance s’agissant des durées de conservation des données des prospects, cette dernière a pris des engagements fermes et documentés concernant les durées de conservation des données des clients.

Sur l’obligation d’information

D’autre part, la CNIL a relevé des manquements à l’obligation d’information des personnes dans le cadre d’opérations de démarchages téléphoniques réalisés par des sous-traitants pour le compte de la société d’assurance.

En l’espèce, il a été relevé que des personnes démarchées n’étaient pas informées de l’enregistrement de la communication téléphonique, et selon les cas, des finalités de cet enregistrement, de sa durée de conservation et du droit de s’y opposer.

Par ailleurs, il a été constaté l’absence d’instructions données par la société d’assurance à ses sous-traitants afin que ces derniers délivrent aux personnes concernées les informations imposées par le RGPD. La CNIL soulève à ce titre que les scripts d’appels téléphoniques délivrés aux sous-traitants ne contenaient aucune mention d’information relative à la protection des données personnelles des personnes concernées.

Il doit être noté que des mesures de mise en conformité à cette obligation d’information ont été prises à la date de clôture de l’instruction.

Prenant acte des démarches de mesures de mise en conformité prises par la société AG2R LA MONDIALE, la CNIL a prononcé une sanction d’un montant de 1,75 millions d’euros d’amende et a choisi de rendre publique sa délibération.

Enfin, pour justifier de la publicité de cette sanction, la CNIL a pris en compte le nombre de personnes concernées et la nature des données impactées. La formation restreinte a par ailleurs précisé que les manquements aux principes élémentaires du RGPD concernaient en l’espèce « un acteur majeur de la protection sociale et patrimoniale en France, qui gère les données à caractère personnel de millions de personnes ».

En conclusion c’est l’un des plus importantes sanctions que la CNIL prononce à l’encontre d’une société française.

A rapprocher : Délibération SAN-2021-010 du 20 juillet 2021 ; Sanction de 1,75 million d’euros à l’encontre d’AG2R LA MONDIALE, CNIL – 22 juillet 2021

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…