Articles de blog de Marlène Burgard
La formation restreinte de la CNIL a infligé une amende de 1,75 million d'euros à une société de groupe d'assurance mutuelle pour avoir manqué aux obligations du RGPD relatives aux durées de conservation et à l'information des personnes.
Cette sanction intervient à la suite d’un contrôle effectué par la CNIL en 2019 auprès d’un groupe de protection sociale et patrimoniale, lequel visait à vérifier la conformité des traitements mis en œuvre dans le cadre de sa mission de gestion des retraites complémentaires de salariés du secteur privé ainsi que de son activité assurantielle.
À cette occasion, la CNIL a constaté que la société de groupe d’assurance mutuelle (SGAM), en charge de coordonner l’activité assurantielle de prévoyance, dépendance, santé, épargne et retraite supplémentaire du groupe, conservait les données de millions de personnes pendant une durée excessive et ne respectait pas les obligations d’information dans le cadre de campagnes de démarchage téléphonique.
Sur la base de ces éléments, la formation restreinte de la CNIL a considéré que la société avait manqué à deux obligations fondamentales prévues par le RGPD :
- un manquement à l’obligation de limiter la durée de conservation des données (RGPD, art. 5.1 e) ;
- un manquement à l’obligation d’information des personnes (RGPD, art. 13 et 14).
Elle a ainsi prononcé une amende de 1 750 000 euros et a décidé de rendre publique sa décision.
Manquement à l’obligation de limiter la durée de conservation des données
Rappelons qu’aux termes de l’article 5.1 e) du RGPD, les données à caractère personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ».
En l’espèce, la société n’a pas mis en œuvre dans ses systèmes les durées de conservation qu’elle avait définies dans son référentiel, excepté s’agissant des traitements relatifs à la lutte contre le blanchiment, aux actions locales et aux données de santé. En conséquence, elle conservait les données personnelles de ses prospects et clients sur des durées excessives.
Conservation des données à caractère personnel des prospects
S’agissant des données des prospects, la société ne respectait pas la durée maximale de conservation de 3 ans fixée dans son référentiel et dans le registre des traitements du groupe. Les données de près de 2 000 clients n’ayant pas eu de contact avec la société depuis plus de 3 ans, parfois 5, étaient conservées.
Remarque : la durée de 3 ans constitue une durée de conservation proportionnée et conforme aux recommandations faites par la CNIL dans le cadre de la norme simplifiée n° NS-056 (délibération n° 2013-213, 11 juill. 2013) concernant les traitements automatisés de données relatifs à la gestion commerciale de clients et de prospects mis en œuvre par les organismes d’assurance, capitalisation, réassurance, assistance et par les intermédiaires d’assurance. Si depuis l’entrée en application du RGPD le 25 mai 2018, les normes simplifiées n’ont plus de valeur juridique, elles constituent toujours un point de repère pour les responsables de traitement, leur permettant de s’assurer de leur conformité. Pour tenir compte du RGPD, un guide actualisant le Pack de conformité assurance a été publié le 15 juillet dernier.
Conservation des données à caractère personnel des clients
S’agissant des données des clients, la société ne respectait pas les durées maximales de conservation légales prévues notamment par le code des assurances et le code de commerce. En l’occurrence, la société conservait les données de plus de 2 millions de clients, dont certaines de nature sensible (santé) ou particulière (coordonnées bancaires), au-delà des durées légales de conservation autorisées après la fin du contrat.
La formation restreinte de la CNIL a ainsi pu relever que les données de milliers de clients titulaires de contrats de type incendies, accidents et risques divers, lesquelles peuvent être conservées entre 2 ans après la fin du contrat (C. assur., art L. 114-1 fixant les délais de prescription des actions dérivant d’un contrat d’assurance, aucune autre finalité n’ayant été mise en avant par la société pour justifier d’une conservation à l’issue de l’expiration des contrats) et 10 ans pour certaines pièces comptables (C. com., art. L. 123-22), l’ont été pour des durées excédant 10 ans et parfois supérieures à 30 ans. Idem pour les données à caractère personnel de près de 100 000 clients titulaires de contrats épargne, épargne patrimoniale, retraite supplémentaire, obsèques et prévoyance, lesquelles peuvent être conservées pour des durées variables pouvant aller jusqu’à 30 ans après le dénouement du contrat pour la finalité de gestion des contentieux mais qui l’ont été pour une durée supérieure. Ou encore sur les données à caractère personnel de plus de 2 millions de clients, collectées dans le cadre des contrats santé, qui ont été conservées pour des durées excédant la durée légale de 5 ans suivant la résiliation du contrat (jusqu’à 30 ans !).
Enfin, hormis pour les données concernant les prestations de santé, il n’existait pas, au jour du contrôle, de mécanisme d’archivage permettant la conservation des données des clients à des fins comptables, fiscales ou contentieuses dans la limite des délais de prescription que ce soit en les transférant au sein d’une base d’archives dédiée ou en mettant en place des restrictions d’accès à ces données pour qu’elles ne puissent être consultées que par des personnes spécialement habilitées, ayant un intérêt à en connaître en raison de leurs fonctions (par exemple, le service en charge du contentieux).
Manquement à l’obligation d’information des personnes
Les articles 13 et 14 du RGPD imposent au responsable de traitement de fournir à la personne concernée différentes informations relatives notamment à son identité et ses coordonnées, aux finalités du traitement mis en œuvre, sa base juridique, les destinataires ou les catégories de destinataires des données, au fait que le responsable du traitement a l’intention d’effectuer un transfert de données vers un pays tiers. En outre, la réglementation impose, lorsque cela apparaît nécessaire pour garantir « un traitement équitable et transparent » des données personnelles en l’espèce, d’informer les personnes sur la durée de conservation des données, l’existence des différents droits dont bénéficient les personnes, l’existence du droit de retirer son consentement à tout moment et le droit d’introduire une réclamation auprès d’une autorité de contrôle.
En l’espèce, la société confiait à ses sous-traitants une partie des opérations de prospection téléphonique à mener auprès de ses clients et prospects. Or, l’information fournie aux personnes démarchées téléphoniquement par ces sous-traitants ne comportait pas l’ensemble des éléments exigés par le RGPD. En effet, les appels téléphoniques passés par les sous-traitants pouvaient être enregistrés sans que la personne contactée ne soit informée du principe de l’enregistrement ou de son droit à s’y opposer. De plus, aucune autre information n’était fournie aux personnes démarchées concernant les traitements relatifs à leurs données personnelles ou leurs autres droits. Enfin, les personnes ne se voyaient pas offrir la possibilité d’accéder à une information plus complète, par exemple en activant une touche sur leur téléphone ou par l’envoi d’un courriel.
Mesures correctrices
Des mesures ont été prises par la société à la suite du contrôle, puis au cours de la procédure pour atteindre la mise en conformité. La conformité est acquise s’agissant des données des prospects. S’agissant des données des clients, la société a pris des engagements fermes et documentés de la démarche de mise en conformité qu’elle a engagée et dont la réalisation partielle a été démontrée. Elle a également pris un engagement s’agissant de la date à laquelle elle sera entièrement en conformité sur ce point (fin 2022).
S’agissant du manquement à l’obligation d’information des personnes en application des articles 13 et 14 du RGPD, la formation restreinte prend acte de la mise en conformité de la société sur ce point. En effet, la société démontre avoir envoyé des instructions écrites à ses prestataires afin que soit délivrée une information complète aux personnes démarchées téléphoniquement pour son compte, et y avoir joint des scripts d’appels complétés des mentions d’information obligatoires. Par ailleurs, l’écoute des échantillons d’appels téléphoniques communiqués par la société atteste de la délivrance effective de ces informations aux personnes concernées.
Sanction et publicité
La formation restreinte rappelle qu’elle doit tenir compte, pour le prononcé d’une amende administrative et pour la détermination de son montant, des critères précisés à l’article 83 du RGPD, tels que la nature, la gravité et la durée de la violation, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données à caractère personnel concernées par la violation. Elle rappelle également que les amendes administratives doivent être dissuasives mais proportionnées. Par ailleurs, l’activité de la société et sa situation financière doivent être prises en compte pour la détermination de la sanction et notamment, en cas d’amende administrative, de son montant.
En l’espèce, la société a fait preuve d’une négligence grave au regard de l’atteinte portée à des principes fondamentaux prévus par le RGPD et même si son résultat net a diminué de manière assez significative entre 2019 et 2020, la CNIL souligne que celui-ci reste largement positif. Le prononcé d’une amende de 1 750 000 euros apparaît donc justifié.
Enfin, la formation restreinte considère que la publicité de la sanction se justifie au regard du fait que les manquements aux principes élémentaires du RGPD relevés en l’espèce concernent un acteur majeur de la protection sociale et patrimoniale en France, qui gère les données à caractère personnel de millions de personnes. Dans ce contexte, la publicité de la sanction permet d’informer les personnes concernées de la nature et de l’étendue de ces manquements. Elle décide donc de rendre publique, sur le site de la CNIL et sur le site de Legifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai d’un an à compter de sa publication.