La formation restreinte de la Commission nationale de l’informatique et des libertés (ci-après la « Cnil ») a sanctionné la société du groupe d’assurance mutuelle AG2R LA MONDIALE pour : 

 

- manquement à l’obligation de limiter la durée de conservation des données personnelles prévue à l’article 5.1.e du Règlement général sur la protection des données personnelles (ci-après « RGPD ») ;

 

- manquement à l’obligation d’information des personnes prévue aux articles 13 et 14 du RGPD. 

 

Dans la délibération SAN-2021-010 du 20 juillet 2021, la Cnil indique que le montant de cette amende s’élève à 1,75 million d’euros. 

 

Cette amende fait suite à un contrôle sur place qui a été réalisé le 29 octobre 2019 dans les locaux du groupe AG2R LA MONDIALE. En effet, dans le cadre de sa mission, la Cnil dispose de la faculté de réaliser des contrôles auprès de tout organisme qui traite des données personnelles. 

 

Manquement à l’obligation de limiter la durée de conservation des données 

 

L’article 5.1.e du RGPD indique que : « Les données à caractère personnel doivent être : [.]

e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; »

 

Il est révélé que la société AG2R LA MONDIALE, bien que disposant d’un référentiel sur les durées de conservation, ne respectait pas, en pratique, ses durées. 

 

Ainsi, les données personnelles de prospects étaient conservées au-delà de la durée maximale de trois ans, qui était pourtant indiquée dans le référentiel. En pratique, les données de certains prospects étaient conservées parfois pendant plus de 5 ans. 

 

Concernant les clients de la société, il a été constaté qu’après le terme du contrat, des données d’identité, des données bancaires et des données liées à la vie personnelle et professionnelle des personnes étaient conservées en base active pendant des durées excédant dix ans, voire trente ans dans certains cas. 

 

Manquement à l’obligation d’information des personnes 

 

La Cnil a reproché à la société AG2R LA MONDIALE d’avoir manqué aux obligations prévues aux articles 13 et 14 du RGPD. Ces articles sont relatifs aux informations à fournir lors de la collecte directe et indirecte de données personnelles. 

 

Au regard de la réglementation sur les données à caractère personnel, il est, notamment, nécessaire d’informer la personne concernée sur « la durée de conservation des données, l’existence des différents droits dont bénéficient les personnes, l’existence du droit de retirer son consentement à tout moment et le droit d’introduire une réclamation auprès d’une autorité de contrôle » (délibération de la Cnil du 20 juillet 2021). 

 

De plus, sur son site internet à la rubrique « Besoin d’aide » la Cnil indique que toute personne doit au moment d’un appel téléphonique être informée de l’enregistrement de l’appel et de son droit de s’y opposer. 

 

Il a été constaté que les appels téléphoniques réalisés par les sous-traitants de la société AG2R LA MONDIALE ne respectaient pas les exigences du RGPD au regard de l’obligation d’information des personnes concernées. 

 

Les personnes concernées n’étaient pas informées sur le droit de s’opposer à l’enregistrement de l’appel téléphonique ni sur « les traitements relatifs à leurs données personnelles ou leurs autres droits » (communiqué de la Cnil du 22 juillet 2021).

 

Or, il revient à chaque responsable du traitement de faire appel à des sous-traitants qui sont conforme à la réglementation sur les données personnelles. 

 

L’assiette de l’amende 

 

En raison de la gravité des manquements, la Cnil a estimé qu’« une amende de 1 750 000 euros apparaît justifié, compte tenu notamment de la nécessité de sanctionner des manquements à des principes élémentaires du RGPD, commis par un acteur majeur de la protection sociale en France, concernant plusieurs millions de personnes et portant sur des données de nature sensible ou particulière, comme les coordonnées bancaires » (délibération de la Cnil du 20 juillet 2021).

 

La Cnil a rappelé que, lors du contrôle, la société « a cependant mis en place des mesures pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD, après le contrôle puis au cours de la procédure » (communiqué de la Cnil du 22 juillet 2021). 

 

Il peut s’agir d’une des raisons pour laquelle l’amende de la Cnil apparait atténuée au regard de la sanction prévue à l’article 83 du RGPD. En effet, le montant des sanctions pécuniaire prononcées par la Cnil peut s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total. Pour mieux comprendre le principe de l’amende administrative prononcée par la Cnil, vous pouvez consulter l’article sur les sanctions prononcées à l’encontre des sociétés Carrefour France et Carrefour Banque. 

 

Comme pour les sanctions prononcées à l’encontre des sociétés Carrefour France et Carrefour Banque, la Cnil a également décidé de rendre publique la délibération. Cela permet ainsi aux personnes concernées de connaitre « de la nature et de l’étendue de ces manquements » (délibération de la Cnil du 20 juillet 2021).