Blog Données personnelles
La Commission Nationale de l’Informatique et des Libertés sanctionne lourdement AG2R LA MONDIALE
Le 20 juillet dernier, la Commission Nationale de l’Informatique et des Libertés (« CNIL ») a prononcé une amende de 1,75 millions d’euros à l’encontre de la Société de groupe d’assurance mutuelle AG2R LA MONDIALE (la « Société ») pour avoir manqué aux obligations prévues au Règlement général sur la protection des données (« RGPD ») relatives aux durées de conservation de données personnelles et à l’information des personnes. Cette sanction intervient à la suite d’un contrôle effectué en 2019 dans les locaux du groupe AG2R LA MONDIALE, à laquelle appartient la Société, visant à vérifier la conformité des traitements mis en œuvre dans le cadre de sa mission de gestion des retraites complémentaires de salariés du secteur privé et de son activité assurantielle.
Sur les manquements au RGPD
La CNIL a considéré que la Société ne respectait pas l’obligation de limiter la durée de conservation des données personnelles, prévue à l’article 5.1 du RGPD. D’une part, il convient de rappeler que la Société a mis en place son propre référentiel qui comporte des durées de conservation considérées comme étant conformes par la CNIL ainsi qu’au regard des recommandations applicables dans le secteur de l’assurance. Cependant, la Société ne les a pas respectées.
D’autre part, la Société ne respectait pas les durées légales de conservation des données de clients propres au secteur assurantiel, prévues notamment par le code des assurances et le code de commerce. Ainsi, les données personnelles de plus de deux millions de clients ont été conservées au-delà des durées légales de conservation autorisées après la fin du contrat.
La Société a également manqué à son obligation d’information en application des articles 13 et 14 du RGPD, les mentions d’information obligatoires au regard de ces articles n’étant pas fournies aux personnes concernées lors de la collecte de leurs données. En effet, des sous-traitants de la Société enregistraient des appels de prospects sans informer les personnes concernées de cet enregistrement ni de leur droit de s’y opposer et aucune information ne leur était fournie sur le traitement de leurs données personnelles ou sur leurs droits. En outre, la CNIL a relevé l’absence d’instructions données par la Société à ses sous-traitants à ce sujet.
Sur la sanction prononcée
La CNIL a condamné la Société à 1 750 000 euros d’amende. Pour prononcer cette sanction, la CNIL a notamment tenu compte de la négligence grave dont a fait preuve la Société, du nombre important de personnes et de la nature des données concernées par le manquement relatif aux durées de conservation, de l’activité de la Société et de sa situation financière. Elle a pris acte de la mise en conformité partielle et des démarches de mise en conformité engagées par la Société, lesquelles ne l’exonèrent pas pour les manquements constatés. Enfin, la CNIL a considéré que la publicité de la décision était justifiée par le fait que les manquements relevés concernent « un acteur majeur de la protection sociale et patrimoniale en France, qui gère les données à caractère personnel de millions de personnes ».
La délibération de la CNIL (Délibération SAN-2021-010 du 20 juillet 2021) est accessible ici.