La CNIL sanctionne l'AG2R pour deux manquements au RGPD

Par Amanda Dubarry et Virgile Servant Volquin 

Et de 16. Le 20 juillet 2021, la Cnil a rendu une décision à l’encontre du groupe AG2R La Mondiale, la 16^ème depuis l’entrée en vigueur du RGPD.

AG2R La Mondiale est un grand groupe d’assurance français à but non-lucratif, au chiffre d’affaires de 9.3 milliards d’euros en 2019. Fin 2019, la Cnil a opéré un contrôle sur la société, plus spécifiquement sur les traitements de données à caractère personnel des clients et des prospects, les durées de conservation des données et l’information portée à la connaissance des personnes concernées.

A l’issue du contrôle, la Cnil a décidé de sanctionner AG2R à hauteur de 1.75 millions d’euros, soit 0.02% du chiffre d’affaires en matière d’assurance du groupe. Rappelons que selon l’article 83 du RGPD, la Cnil est habilitée à prononcer des sanctions allant jusqu’à 4% du chiffre d’affaires mondial du groupe pour une société et 20 millions d’euros pour tout autre organisme.

Un manquement à la durée de conservation des données

Le contrôle de la Cnil s’est dans un premier temps axé sur le respect des durées de conservation des données. A ce titre, AG2R a établi un référentiel fixant les durées de conservation des données à caractère personnel des prospects et des clients.

Ce référentiel, ou politique de durée de conservation est établi en vue de se conformer à l’article 5.1.e) du RGPD :

• «  Les données à caractère personnel doivent être :

1. e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées»

Dans le cadre de ses activités, AG2R est amenée à traiter des données sensibles (données de santé) et « hautement personnelles » (coordonnées bancaires).

La nature spécifique de ces données rend la mise en place d’un contrôle de la durée de conservation des données d’autant plus important pour se conformer aux obligations du RGPD. A ce titre, la Cnil a constaté plusieurs manquements de la part d’AG2R :

• Concernant les prospects, AG2R a conservé des données personnelles plus de 5 ans alors que la Cnil a recommandé que cette durée ne dépasse pas 3 ans dans un référentiel datant de 2013.
• Concernant ses clients, la Cnil relève que les données de plus de 2 millions de clients ont été conservées plus de 5 ans après la résiliation du contrat d’assurance, pour plus de 1.3 millions au-delà de 10 ans et pour plusieurs milliers d’entre eux, au-delà de 30 ans.

L’AG2R a objecté que certaines catégories d’informations, notamment dans le domaine assurantiel, devaient être conservées au-delà de 5 ans pour des raisons légales :

• Certains documents comptables doivent être conservés 10 ans, en vertu de l’article L123-22 du code de commerce
• Les données relatives aux contrats d’assurance-vie doivent être conservées 30 ans à des fins probatoires en cas de contentieux en vertu de l’article L114-1 code des assurances.

Or, même dans ces cas précis, la Cnil a constaté que la durée de conservation des données excédait ce qui était prévu dans le référentiel.

Un manquement à l’obligation d’information

L’obligation d’information des personnes concernées par la collecte des données est prévue par les articles 12, 13 et 14 du RGPD. Elle comporte plusieurs mentions obligatoires à fournir lors du démarchage téléphonique i.

Dans le cadre de son contrôle, la Cnil a examiné les cinquante derniers appels de démarchage et a relevé que 30% des appels étaient enregistrés à des fins de contrôle qualité.

Or, le scénario d’appel du démarchage téléphonique qu’AG2R avait sous-traité à deux sociétés ne prévoyait strictement aucune information aux personnes concernées. Dès lors, l’autorité a relevé que la mutuelle avait manqué à son obligation d’information.

Les facteurs pris en compte dans la modulation de l’amende

Dans une décision précédente, la Cnil avait sanctionné Google à hauteur de 50 millions d’euros pour manquement à l’obligation d’information, notamment dans l’indication de la durée de conservation de certaines données.

Sur son chiffre d’affaires de 182 milliards d’euros en 2021, l’amende représente une part de 0.03%, soit un tiers de plus que pour AG2R, en proportion.

Deux pistes semblent expliquer cet écart :

• La nature d’AG2R, une caisse de mutualisation des cotisations des Français, est un facteur dissuasif du prononcé d’une trop grande amende.
• D’un point de vue juridique, il est relevé qu’AG2R a activement coopéré à la suite du contrôle et au cours de la procédure pour atteindre une conformité optimale au RGPD.

Or, le degré de coopération des organismes contrôlés est un critère pris en compte dans la modulation de l’amende, selon l’article 83 du RGPD. 

***

Le cabinet HAAS Avocats, cabinet spécialisé en cybersécurité, accompagne depuis plus de 20 ans ses clients dans la mise en conformité de leurs traitements à la réglementation « informatique et libertés ». Service de DPO externalisé, audit, cartographie des traitements, réalisation/consolidation du référentiel sécurité, établissement des accords contractuels avec les sous-traitants, mise en conformité des sites Web, etc. sont autant d’exemples de missions menées au quotidien par les avocats du Cabinet HAAS auprès de PME, de grands comptes comme d’entités publiques.

N’hésitez pas à nous contacter pour tout renseignement complémentaire en cliquant ici.