La CNIL a prononcé une sanction d’1,75 millions d’euros à l’encontre d’AG2R la Mondiale, une entreprise majeure du secteur de l’assurance. Le groupe avait notamment établi un référentiel relatif aux durées de conservation sans l’implémenter dans ses systèmes d’information, de sorte qu’il n’était pas appliqué.
Au titre du principe d’accountability, les responsables de traitement sont tenus de mettre en œuvre des politiques de protection des données personnelles lorsque cela est proportionné au regard des activités de traitement effectués (article 24.2 du RGPD).
La rédaction de politiques internes est donc indispensable dans le cadre du processus de mise en conformité, mais n’est évidemment pas suffisante : faut-il encore les implémenter. Dans sa délibération SAN-2021-010 du 20 juillet 2021, la CNIL est venue le rappeler à un acteur majeur du secteur de l’assurance.
A la suite d’un contrôle effectué au sein des locaux d’AG2R la Mondiale, portant en particulier sur les données des clients et prospects du groupe, l’autorité de contrôle a relevé des manquements relatifs aux durées de conservation des données personnelles et sur l’information portée à la connaissance des personnes concernées.
La société contrôlée opposait à la CNIL avoir rédigé un référentiel prévoyant des limitations de durées de conservation pour les traitements qu’elle mettait en œuvre et qu’en conséquence « aucun manquement ne pouvait lui être reproché au titre de la définition des durées de conservation. »
Or, la CNIL a constaté que si un référentiel définissant les durées de conservation applicables aux données des clients et prospects avait bien été établi par l’entreprise, ces limitations n’avaient pas été effectivement implémentées dans les systèmes d’information et n’étaient donc pas appliquées.
Ainsi, alors que ledit référentiel fixait une durée de conservation de trois ans pour la gestion commerciale des clients et prospects conformément aux recommandations de la CNIL, l’autorité de contrôle a relevé la présence, en base active, de données personnelles de près de 2000 prospects pour des durées excédant celle fixée par AG2R la Mondiale, sans pouvoir le justifier.
Par ailleurs, la société d’assurance a été sanctionnée pour s’être abstenue de délivrer les informations relatives au traitement de leurs données personnelles aux prospects démarchés par téléphone. Elle s’est notamment abstenue d’informer les prospects démarchés que les appels étaient susceptibles d’être enregistrés et qu’ils disposaient du droit de s’y opposer.
Si depuis le contrôle, la société a remédié, au moins partiellement, aux manquements qui lui étaient reprochés, la CNIL souligne que les mesures de mise en conformité adoptées n’exonéraient pas la société de sa responsabilité pour les manquements passé.
La CNIL a ainsi prononcé une amende administrative d’1,75 million d’euros à l’encontre d’AG2R la Mondiale, assortie de la publicité de la sanction qui se justifie au regard « du fait que les manquements aux principes élémentaires du RGPD relevés en l’espèce concernent un acteur majeur de la protection sociale et patrimoniale en France, qui gère les données à caractère personnel de millions de personnes. »
Lire la délibération de la CNIL