L’assureur AG2R La Mondiale sanctionné pour non respect du RGPD

L’assureur AG2R La Mondiale devra régler une amende de 1,75 million d’euros pour non respect du RGPD. La Cnil lui reproche de ne pas a voir respecté les obligations liées aux durées de conservation des données et à l’information des personnes. La Cnil a effectué un contrôle de l’assureur en 2019. Elle voulait vérifier la conformité des traitements dans la gestion des retraites complémentaires des salariés du privé ainsi que dans l’activité assurantielle.

Les données de millions de personnes conservées trop longtemps

À cette occasion, la Cnil a constaté que la société en charge de coordonner l’activité assurantielle de prévoyance, dépendance, santé, épargne et retraite supplémentaire du groupe, conservait les données de millions de personnes pendant une durée excessive. Par ailleurs, elle ne respectait pas les obligations d’information dans le cadre de campagnes de démarchage téléphonique.

AG2R conservait les données de plus de 2 millions de clients au-delà des durées légales

L’obligation de limiter la durée de conservation des données est définie par l’article 5.1.e du RGPD. L’assureur n’avait pas mis en œuvre dans ses systèmes les durées de conservation qu’il avait définies dans son référentiel. En conséquence, il conservait les données personnelles de ses prospects et de ses clients sur des durées excessives. S’agissant des données des clients, la société ne respectait pas les durées maximales de conservation légales prévues notamment par le Code des assurances et le Code de commerce. En l’occurrence, la société conservait les données de plus de 2 millions de clients, dont certaines de nature sensible concernant la santé ou particulières comme les coordonnées bancaires, au-delà des durées légales de conservation autorisées après la fin du contrat.

Des mesures ont été prises par la société à la suite du contrôle, puis au cours de la procédure pour atteindre la mise en conformité. S’agissant des données des clients, la société a pris des engagements fermes et documentés de la démarche de mise en conformité qu’elle a engagée et dont la réalisation partielle a été démontrée. Elle a également pris un engagement s’agissant de la date à laquelle elle sera entièrement en conformité sur ce point.

La conformité est désormais acquises pour les données des prospects

S’agissant des données des prospects, la société ne respectait pas la durée maximale de conservation de 3 ans fixée dans son référentiel et dans le registre des traitements du groupe. Les données de près de 2000 clients n’ayant pas eu de contact avec la société depuis plus de trois ans, et parfois de cinq ans, étaient ainsi conservées. La conformité est désormais acquise s’agissant des données des prospects.

Les sous traitants d’AG2R ne communiquaient pas aux prospects démarchés les éléments exigés par le RGPD

Autre point, l’obligation d’information des personnes est définie par les articles 13 et 14 du RGPD. L’information fournie aux personnes démarchées téléphoniquement par des sous-traitants de l’assureur ne comportait pas l’ensemble des éléments exigés par le RGPD. En effet, les appels téléphoniques passés par les sous-traitants pouvaient être enregistrés sans que la personne contactée ne soit informée du principe de l’enregistrement ou de son droit à s’y opposer.

De plus, aucune autre information n’était fournie aux personnes démarchées concernant les traitements relatifs à leurs données personnelles ou leurs autres droits. Enfin, les personnes ne se voyaient pas offrir la possibilité d’accéder à une information plus complète, par exemple en activant une touche sur leur téléphone ou par l’envoi d’un e-mail. L’assureur a cependant mis en place des mesures pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD, après le contrôle puis au cours de la procédure